Jail

用 poudriere 完成包管理

由于使用的 port 的编译选项与官方的往往不一致（例如我非常讨厌 gnutls、avahi 这两个包，此外有时我希望使用一个和官方不太一样的 OpenLDAP 版本， 或者采用不同的编译选项等等），我之前一直是 portmaster(8) 的用户。 portmaster 是 Doug Barton 早年用 shell 脚本写的一个 portupgrade(1) 的替代品，和后者相比，它不需要使用数据库，并且充分利用了 shell 的任务管理功能实现了尽可能利用 CPU 的计算能力，我个人也从这个脚本中学到了不少 shell 脚本的技巧。

不过，使用 portmaster 需要在每一台机器上都有一份 ports tree，并且由于直接操作的是本地的生产环境， 因此对于比较基础的库，如 gettext 之类，或是在升级操作系统时， 由于升级时间较久导致出现问题的可能性相对要大一些。 另一方面，使用 port 来管理第三方软件意味着需要把联编过程中的所有依赖软件包全都都装到生产环境中， 有时这是非常不经济的，例如大部分时候运行环境并不需要完整的跨平台 LLVM，等等，而使用 port 安装的话， 每一个系统中都需要整体重新联编一遍。

我之前已经用过很长时间的 poudriere 了。 这是一款现代化的联编系统，它充分利用了 FreeBSD 的一系列特性，包括 ZFS 快照/克隆、 tmpfs、 jail 等等，支持交叉编译。除此之外它还支持使用 ccache 来减少重复编译，等等。 不过，线上的机器出于习惯^H^H懒惰导致的惯性一直还是在沿用之前采用 portmaster 来进行更新。

让多个 FreeBSD jail 共享同一套 MTA

FreeBSD 从 4.0 版本开始提供了非常强大的虚拟化工具—-jail。对于许多应用来说，jail能够在确保应用程序之间的有效隔离的前提下，最大限度地发挥硬件性能（每个jail不会单独运行自己的内核），而在 jail 内部看来，则基本上与真正的服务器无异，且性能损失很小；通过内核提供的 ABI 模拟，jail能够提供 FreeBSD 早期版本，以及 Linux 2.4.x 或 2.6.x 的兼容能力。

许多传统的 Unix 应用程序假定系统中存在一个可用的 MTA。FreeBSD 中内建了 sendmail，但在 jail 中配置 sendmail 会遇到一个比较麻烦的问题，即在 jail 中，127.0.0.1 指代的是 jail 的 IP 地址而不是本地 loopback 设备。换言之，原本监听本地 socket 的 MTA 变成了监听 jail 对外的 IP，这会是一个安全隐患。