/sbin        /var/jails/outers/sbin        nullfs  ro 0 0

/lib         /var/jails/outers/lib         nullfs  ro 0 0

/libexec     /var/jails/outers/libexec     nullfs  ro 0 0

/usr/bin     /var/jails/outers/usr/bin     nullfs  ro 0 0

/usr/sbin    /var/jails/outers/usr/sbin    nullfs  ro 0 0

/usr/lib     /var/jails/outers/usr/lib     nullfs  ro 0 0

/usr/libexec /var/jails/outers/usr/libexec nullfs  ro 0 0

/usr/libdata /var/jails/outers/usr/libdata nullfs  ro 0 0

/usr/include /var/jails/outers/usr/include nullfs  ro 0 0

/usr/share   /var/jails/outers/usr/share   nullfs  ro 0 0

/var/jails/_4mount/outers/etc /var/jails/outers/etc   nullfs  ro 0 0

При первом запуске каталог etc нужно примонтировать вручную на чтение-запись, чтобы sshd смог сохранить сгенерированные ключи. Это также может понадобиться и ряду других программ, которые сохраняют свои данные непосредственно в etc – проверьте свои пакеты на этот счёт.

Осталось подмонтировать порты, как показано выше, зайти в jail и установить необходимые программы. После этого каталог ports можно размонтировать – пока не потребуется установить что-то ещё или обновить какой-то пакет, он нам не понадобится. Кстати, если быть последовательным, то можно и /usr/local, по примеру /etc, вынести в отдельный каталог, а в jail подключать через монтирование. Или даже сделать две «тюрьмы» – одну для настроек, не имеющую выхода в Интернет, но с каталогами, монтируемыми на чтение-запись; и вторую – рабочую, куда монтирование тех же каталогов выполняется только на чтение. В общем, нет предела паранойе.

Кстати, у jail есть ещё одно ограничение, полезное при работе с «общими» файлами, – процессы, запущенные внутри «тюрьмы», не могут менять флаги уровня безопасности, выставленные на файлы. Благодаря этому файлы, которые jail разделяет с основной системой или другой «тюрьмой», можно объявить неизменяемыми. Правда, основной системе тоже придётся учитывать эти ограничения.

Небольшое замечание по работе с файлом паролей. Поскольку в jail каталог etc недоступен для записи, все изменения нужно будет вносить в /var/jails/_4mount/outers/etc. Для этого удобнее всего использовать команду pw с параметром -V, указывающим на альтернативный каталог размещения файлов: