From: "Konstantin A. Lepikhov" <lakostis@anti-leasure.ru>
To: ALT Linux Sisyphus discussion list <sisyphus@lists.altlinux.org>
Subject: Re: [sisyphus] Работа с openvpn из сизифа
Date: Sat, 20 May 2006 11:21:39 +0400
Message-ID: <20060520072139.GA9710@lks.home> (raw)
In-Reply-To: <20060519115403.10450eab@naf177.naf.net.ru>
[-- Attachment #1: Type: text/plain, Size: 1389 bytes --]
Hi Nikolay!
Friday 19, at 11:54:03 AM you wrote:
> А есть гарантии, что _клиент_ всегда будет получать от сервера
> одинаковый известный заранее IP?
да, поскольку он там один :)
<skip>
> > > А какие там могут быть привилегии принципиально большие по сравнению с
> > > выполнением на хост-системе? Хотя, наверное, это действительно лишнее.
> > [root@disaster ~]# cat /etc/vservers/crash/bcapabilities
> > NET_ADMIN
> > NET_RAW
> > ..
> > некошерно.
>
> [JT] Ну да. А разве этими же возможностями openvpn не обладает
> (по-умолчанию, и с добавлением всего остального) на хост-системе?
> Работа в vserver'е может только урезать права openvpn по сравнению с
> работой в хост-системе.
просто vserver делают не только для openvpn, а давать еще кому-то такие
права не хочется.
<skip>
> > > - из конфигурации канала можно задать скрипт 'up', он будет вызываться
> > > самим openvpn после поднятия канала, но _до_ сброса привилегий.
> > о! вот это мне и нужно. проще там сказать service sshd condrestart и не
> > заморачиваться. Я-то думал, что этот скрипт вызывается после сброса
> > привилегий, а в сорцы было лень лезть.
> >
>
> IMHO правильнее всё-таки делать redirect средствами iptables.
это будет оправдано, если у меня клиентов будет > 3, а для одного можно и
лишний раз sshd передернуть. Тем более, надо это всего один раз.
--
WBR et al.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]
prev parent reply other threads:[~2006-05-20 7:21 UTC|newest]
Thread overview: 8+ messages / expand[flat|nested] mbox.gz Atom feed top
2006-05-18 21:19 Konstantin A. Lepikhov
2006-05-19 5:08 ` Nikolay A. Fetisov
2006-05-19 6:16 ` Konstantin A. Lepikhov
2006-05-19 7:00 ` Andrei Bulava
2006-05-19 7:06 ` Konstantin A. Lepikhov
2006-05-19 8:09 ` Nikolay A. Fetisov
2006-05-19 7:54 ` Nikolay A. Fetisov
2006-05-20 7:21 ` Konstantin A. Lepikhov [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20060520072139.GA9710@lks.home \
--to=lakostis@anti-leasure.ru \
--cc=sisyphus@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git