> jail_sysvipc_allow="YES" # INSECURE (shared memory isn't jailed)
え、まじで?
古い記事を見ているから今は大丈夫かもしれないが、あとで確認しよう。
@nya2510@mastodon.white-void.net FreeBSD?? そのオプション無いとPostgreSQLはjail上で動かない気がしますー
@ityuki
YES、FreeBSDですね。
あちこちで必要になるので、INSECUREと書かれててびっくりしてるのです。
@nya2510@mastodon.white-void.net sysvIPCは、jail超えてシステムで共有されるので、セキュアじゃないって書いてあるのかと思いますー
jail1からjail2(で確保したと認識しやすい)共有メモリを書き換えられるので……!
@ityuki
allow.sysvipc すると、sysvmsg, sysvsem, sysvshmにinherit指定したのと同じらしく、これだとシステムと共通の空間になる=jailやホスト間と共有になるみたいです。
sysvmsg=newとか指定するとjail固有の空間にできるっぽいので、大体の場合はこっちで良さそうです。
@nya2510@mastodon.white-void.net 雰囲気、jail.confの設定が、sysvipc_allow="YES"ではなく、sysvshm="new"にしないと駄目な感じですかねー……? FreeBSD 11からできたのかこの設定。。
@ityuki SYSV semaphoreとmessageを使ってない場合はきっとそれでOKですね。
私は誰がどれを使ってるか把握してないので、これから検証してまわらないといけないかも……。
@nya2510@mastodon.white-void.net ひょぇ……大変だ……。お疲れ様です
@nya2510@mastodon.white-void.net 共有メモリはjail使っててもシステムで共有される(どのjailからも同じデータが読み書きできる)と思ってますが、もし違ってたら教えてくださいー!