security.jail 子树主要控制或查询 jail 子系统的状态和行为
| security.jail.jailed | 当前进程是否是 jail 中的? | ||
| security.jail.list | 当前 jail 列表(用户不应直接操作) | ||
| security.jail.mount_allowed | jail 中的进程是否可以挂接或卸载对 jail 友好的文件系统 | ||
| security.jail.chflags_allowed | jail 中的进程是否可以改变系统文件标志 | ||
| security.jail.allow_raw_sockets | jail 中的 root 是否可以创建原生 socket(例如ping) | ||
| security.jail.enforce_statfs | jail 中的进程可以看到系统中多少文件系统 | ||
| security.jail.sysvipc_allowed | jail 中的进程是否可以使用 System V IPC 原语 | ||
| security.jail.socket_unixiproute_only | jail 中的进程是否只能创建 UNIX/IPv4/route sockets | ||
| security.jail.set_hostname_allowed | jail 中的进程是否可以设置 jail 的主机名 |
security.bsd 子树
| security.bsd.suser_enabled | uid 0拥有特权 | ||
| security.bsd.unprivileged_proc_debug | 非特权进程可以使用调试机制 | ||
| security.bsd.conservative_signals | 非特权进程是否不能向已经改变信任状的进程发信号 | ||
| security.bsd.see_other_gids | 非特权进程是否能看到隶属其他 gid 的主体/对象 | ||
| security.bsd.see_other_uids | 非特权进程是否能看到隶属其他 uid 的主体/对象 | ||
| security.bsd.unprivileged_read_msgbuf | 非特权进程是否能读取内核消息缓冲 | ||
| security.bsd.hardlink_check_gid | 非特权进程是否不能创建隶属其他 gid 的文件的硬连接 | ||
| security.bsd.hardlink_check_uid | 非特权进程是否不能创建隶属其他 uid 的文件的硬连接 | ||
| security.bsd.unprivileged_get_quota | 非特权进程是否能读取其他 uid 和 gid 的空间配额信息 |