AK>>>> изначально он наоборот, начисто не умел chroot EG>>> chroot тогда не умел, а /usr/local вместо /etc было изначально. VS>> А был толк в этом chroot? Я его по жизни отключал, может напрасно? AK> был, учитывая количество гнили внутри bind, включая и remote code exec AK> Правильнее, конечно, подобную гниль вообще уносить в jail, но AK> bsd'шники почему-то очень не любят этот подход в системных AK> скриптах. (то есть вот банальная замена $app_binary на "jail / AK> $app_binary" уже сильно уменьшает возможности для шаловливых ручонок, AK> не требуя вообще ничего особо менять.)
IMHO что jail что chroot - разница небольшая с той точки зрения, что внутрь jail/chroot придется монтировать devfs с нужными правилами, создавать каталоги, класть какие-то нужные файлы и т.п. Ради одного-двух демонов это еще можно потерпеть, а если на каждого создавать jail/chroot - получится монструозно.
А jail еще и другие ограничения имеет, например видимость IP адресов из него etc.