From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,DKIM_SIGNED, DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM autolearn=ham autolearn_force=no version=3.4.1 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail; t=1474871377; bh=y/mk7OZ2g6y/m5ylgF4CcRUo00nHm9dKhYAju2fVNr4=; h=Subject:To:References:From:Message-ID:Date:In-Reply-To; b=e2uS6qQjsvvF4TaEXmh9kowNA4bEX6DHlbOh3Qe5Bxci4T8FnnRPr0XSgs03LnukT YLtDeeD9nqiMzjTXmDsuS0JuJwvTiUNP4u5ioXlKgDK4hCNapxy4nUxxYPETGXxWfv eq7QtCsSryxjghq7i2VbX5zHGDc/7EATrMqR7sMw= Authentication-Results: smtp3h.mail.yandex.net; dkim=pass header.i=@yandex.ru X-Yandex-Suid-Status: 1 0 To: ALT Linux Community general discussions References: <38c809c5-025f-492b-6231-67e840a6c993@yandex.ru> <20160924234214.GC32588@altlinux.org> <20160926001331.67990a43@sem-notebook> From: Alexander Message-ID: Date: Mon, 26 Sep 2016 09:29:37 +0300 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Thunderbird/45.3.0 MIME-Version: 1.0 In-Reply-To: <20160926001331.67990a43@sem-notebook> Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [Comm] =?utf-8?b?0L3QtdC/0YDQuNCy0LXQu9C10LPQuNGA0L7QstCw0L3QvdGL?= =?utf-8?b?0Lkg0LrQvtC90YLQtdC50L3QtdGAIGx4YyAtINC60LDQuiDRgdC+0LfQtNCw?= =?utf-8?b?0YLRjCDQuCDQt9Cw0L/Rg9GB0YLQuNGC0Yw/?= X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Community general discussions List-Id: ALT Linux Community general discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 26 Sep 2016 06:29:41 -0000 Archived-At: List-Archive: List-Post: 26.09.2016 00:13, Mikhail Efremov пишет: > On Sun, 25 Sep 2016 09:29:36 +0300 Alexander wrote: >> 25.09.2016 02:42, Dmitry V. Levin пишет: >>> Hi, >>> >>> On Sat, Sep 24, 2016 at 10:51:47PM +0300, Alexander wrote: >>>> Доброй ночи! >>>> >>>> Пытаюсь запустить непривилегированный >>>> lxc-контейнер (root контейнера - обычный >>>> пользователь хоста). >>> ..... >>> По умолчанию это не разрешено. >> setgid: Invalid argument >> ..... >> Подскажите пожалуйста что и где еще нужно разрешить? > ...... > Подозреваю, что lxc-create хочет suid'ный newuidmap. У нас же все эти > утилиты не suid'ные. Наверно нужно добавить соответствующий control в > пакет. Причем мне помнится, что где-то в этих утилитах была уязвимость > в случае их suid'ности. > Да, похоже так и есть - в ubuntu утилита с suid битом, у нас - без него. После установки suid бита на эти утилиты это место удалось проскочить. Теперь ругается так: $ lxc-create -t download -n p1 -- -l mktemp: не удалось создать каталог по шаблону «/tmp/.private/user/tmp.XXXXXXXXXX»: Отказано в доступе Хотя вот так проходит вполне себе успешно: $ mktemp -d /tmp/.private/user/tmp.CCqmQm9Iz5 Похоже, что непривилегированные lxc-контейнеры у нас никто не запускал и не настраивал? Вроде же везде пишут что они более безопасные чем привилегированные? Или нет? -- С уважением, Александр