forum.opennet.ru

Составление сообщения

Исходное сообщение

"Релиз systemd 232"
Отправлено Michael Shigorin, 07-Ноя-16 23:52

> Ума не приложу как из шелловых простынок не очень криво собрать сервису
> ограниченный контекст не имеющий доступа в основную систему. Это не работает.
Приложите глаза вот сюда: http://git.altlinux.org/gears/c/chrooted.git
> Чтобы вызвать утилиты - надо доступ к системе и либам.
> А его то и хочется убрать. Переть все либы и софтины в
> огораживаемый контекст - это трэш и угар администрирования.
> Это значит что все должен сделать один caller, который уже вгрузил
> все потребные shared libs заранее
Потребные _кому_? Себе любимому? А сервису от этого холодно или жарко?..
Вы бы всё-таки посмотрели на прикладной privsep, что ли.
Нормально делается только унутре самой запускаемой софтины, которая при таком варианте может требуемую инициализацию (например, сокета) выполнить от рута, затем бросить лишние привилегии (включая setreuid'ы) и работать дальше -- возможно, и не под одним псевдопользователем, а под несколькими.
Как-то можно оформить и снаружи, но если в контексте не остаётся рута и способа его вернуть.

Исходное сообщение
"Релиз systemd 232" Отправлено Michael Shigorin, 07-Ноя-16 23:52
> Ума не приложу как из шелловых простынок не очень криво собрать сервису > ограниченный контекст не имеющий доступа в основную систему. Это не работает. Приложите глаза вот сюда: http://git.altlinux.org/gears/c/chrooted.git > Чтобы вызвать утилиты - надо доступ к системе и либам. > А его то и хочется убрать. Переть все либы и софтины в > огораживаемый контекст - это трэш и угар администрирования. > Это значит что все должен сделать один caller, который уже вгрузил > все потребные shared libs заранее Потребные _кому_? Себе любимому? А сервису от этого холодно или жарко?.. Вы бы всё-таки посмотрели на прикладной privsep, что ли. Нормально делается только унутре самой запускаемой софтины, которая при таком варианте может требуемую инициализацию (например, сокета) выполнить от рута, затем бросить лишние привилегии (включая setreuid'ы) и работать дальше -- возможно, и не под одним псевдопользователем, а под несколькими. Как-то можно оформить и снаружи, но если в контексте не остаётся рута и способа его вернуть.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Ума не приложу как из шелловых простынок не очень криво собрать сервису >> ограниченный контекст не имеющий доступа в основную систему. Это не работает. > Приложите глаза вот сюда: http://git.altlinux.org/gears/c/chrooted.git >> Чтобы вызвать утилиты - надо доступ к системе и либам. >> А его то и хочется убрать. Переть все либы и софтины в >> огораживаемый контекст - это трэш и угар администрирования. >> Это значит что все должен сделать один caller, который уже вгрузил >> все потребные shared libs заранее > Потребные _кому_? Себе любимому? А сервису от этого холодно или > жарко?.. > Вы бы всё-таки посмотрели на прикладной privsep, что ли. > Нормально делается только унутре самой запускаемой софтины, которая при таком варианте > может требуемую инициализацию (например, сокета) выполнить от рута, затем бросить лишние > привилегии (включая setreuid'ы) и работать дальше -- возможно, и не под > одним псевдопользователем, а под несколькими. > Как-то можно оформить и снаружи, но если в контексте не остаётся рута > и способа его вернуть.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру