JAIL内からSSH経由で接続しようとすると、次のエラーが発生します。
# ssh test@test.com
...
debug1: read_passphrase: can not open / dev / tty: No such file or directory
Host key verification failed.
JAILの外では、すべてが適切に機能しています。何か案は?
再現する手順:
# jls
JID IP Address Hostname Path
1 10.10.3.1 demo.example.com /jails/demo
# jexec 1 tcsh
(inside jail:)
# ssh test@test.com
あなたのjailルートにはdevfsマウントを介して移入された/devファイルシステムがありますか?今はそうではないようです。
重要な注意: devfsルールを使用して、jailされたプロセスに表示されるデバイスを制限できるはずです。特に、 rawディスクデバイスノードへのアクセスはお勧めできません。jail(8)のマンページでは、次の段落の近くでこれについて説明しています。
devfs内の適切なデバイスノードのみがjailにさらされることが重要です。刑務所内のディスクデバイスにアクセスすると、刑務所内のプロセスが、刑務所外のファイルを変更することにより、刑務所内のサンドボックス化をバイパスできる場合があります。devfsルールを使用してjailごとのdevfsのエントリへのアクセスを制限する方法については、devfs(8)を参照してください。刑務所用の単純なdevfsルールセットは、のルールセット#4として利用できます
/etc/defaults/devfs.rules。
次のコマンドをroot/jails/demo/devとして実行することで、devfsを下にマウントし、推奨されるjailデバイスルールを適用できるはずです。
# mkdir /jails/demo/dev
# mount -t devfs devfs /jails/demo/dev
# devfs -m /jails/demo/dev rule -s 4 applyset
もちろん、/etc/defaults/devfs.rules特定のjailにのみ適用される特別なdevfsルールセットでさえ、カスタムルールセットを作成することもできます。
詳細については、jail(8)、devfs(8)、およびdevfs.rules(5)のマンページも参照してください。
jailコマンドを使用してjailに入った場合にも、これが発生する可能性があります。刑務所を立ち上げてSSHで接続すれば、幸運が訪れるはずです。
devfsファイルシステムはおそらくjailにマウントされていません。sshだけでなく、多くのことが失敗します。
適切にフィルタリングされたdevfsを自動的にマウントするには、rc.conf変数を使用するのが最善の策です。
jail_enable = YES
jail_list = "JAILNAME"
jail_devfs_enable = YES
jail_JAILNAME_rootdir ='/ jails / demo'
jail_JAILNAME_hostname = "demo"
次に、「/ etc / rc.d /jailstartdemo」を使用して停止/停止できます。e