From: "Konstantin A. Lepikhov" <lakostis@anti-leasure.ru> To: ALT Linux Sisyphus discussion list <sisyphus@lists.altlinux.org> Subject: Re: [sisyphus] Работа с openvpn из сизифа Date: Sat, 20 May 2006 11:21:39 +0400 Message-ID: <20060520072139.GA9710@lks.home> (raw) In-Reply-To: <20060519115403.10450eab@naf177.naf.net.ru> [-- Attachment #1: Type: text/plain, Size: 1389 bytes --] Hi Nikolay! Friday 19, at 11:54:03 AM you wrote: > А есть гарантии, что _клиент_ всегда будет получать от сервера > одинаковый известный заранее IP? да, поскольку он там один :) <skip> > > > А какие там могут быть привилегии принципиально большие по сравнению с > > > выполнением на хост-системе? Хотя, наверное, это действительно лишнее. > > [root@disaster ~]# cat /etc/vservers/crash/bcapabilities > > NET_ADMIN > > NET_RAW > > .. > > некошерно. > > [JT] Ну да. А разве этими же возможностями openvpn не обладает > (по-умолчанию, и с добавлением всего остального) на хост-системе? > Работа в vserver'е может только урезать права openvpn по сравнению с > работой в хост-системе. просто vserver делают не только для openvpn, а давать еще кому-то такие права не хочется. <skip> > > > - из конфигурации канала можно задать скрипт 'up', он будет вызываться > > > самим openvpn после поднятия канала, но _до_ сброса привилегий. > > о! вот это мне и нужно. проще там сказать service sshd condrestart и не > > заморачиваться. Я-то думал, что этот скрипт вызывается после сброса > > привилегий, а в сорцы было лень лезть. > > > > IMHO правильнее всё-таки делать redirect средствами iptables. это будет оправдано, если у меня клиентов будет > 3, а для одного можно и лишний раз sshd передернуть. Тем более, надо это всего один раз. -- WBR et al. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 191 bytes --]
prev parent reply other threads:[~2006-05-20 7:21 UTC|newest] Thread overview: 8+ messages / expand[flat|nested] mbox.gz Atom feed top 2006-05-18 21:19 Konstantin A. Lepikhov 2006-05-19 5:08 ` Nikolay A. Fetisov 2006-05-19 6:16 ` Konstantin A. Lepikhov 2006-05-19 7:00 ` Andrei Bulava 2006-05-19 7:06 ` Konstantin A. Lepikhov 2006-05-19 8:09 ` Nikolay A. Fetisov 2006-05-19 7:54 ` Nikolay A. Fetisov 2006-05-20 7:21 ` Konstantin A. Lepikhov [this message]
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20060520072139.GA9710@lks.home \ --to=lakostis@anti-leasure.ru \ --cc=sisyphus@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Sisyphus discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \ sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru public-inbox-index sisyphus Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sisyphus AGPL code for this site: git clone https://public-inbox.org/public-inbox.git