* [devel] iniscripts and vserver @ 2004-01-12 16:22 Anton Farygin 2004-01-12 16:29 ` Dmitry V. Levin 0 siblings, 1 reply; 9+ messages in thread From: Anton Farygin @ 2004-01-12 16:22 UTC (permalink / raw) To: devel Господа, возник интересный вопрос с стартовыми скриптами и vserver'ом: как известно, для корректной работы виртуальных серверов необходимо сделать так, что бы запускаемые сервера в host системе не захватывали алиасы для виртуальных серверов. Так поступают, в частности nfs, dhcp и т.д. Для этого в util-vserver есть утилитка chbind, запускающая сервисы таким образом, что бы они не видели ничего кроме того, что им разрешат. Вопрос заключается в том, как бы сделать так, что бы после установки ядра с vserver'ом и утилит все запускаемые из initscripts сервисы стартовали через chbind ? Как вариант - может быть исправить start-stop-daemon или функцию start_daemon для того, что бы оно смотрело некий конфигурационный файл и читало запускаующий процесс из него? Есть у кого-нить мысли на эту тему? 2ldv: что скажешь ? Rgds, Rider ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] iniscripts and vserver 2004-01-12 16:22 [devel] iniscripts and vserver Anton Farygin @ 2004-01-12 16:29 ` Dmitry V. Levin 2004-01-12 16:56 ` Алексей Любимов ` (2 more replies) 0 siblings, 3 replies; 9+ messages in thread From: Dmitry V. Levin @ 2004-01-12 16:29 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 847 bytes --] On Mon, Jan 12, 2004 at 07:22:43PM +0300, Anton Farygin wrote: > Господа, возник интересный вопрос с стартовыми скриптами и vserver'ом: > > как известно, для корректной работы виртуальных серверов необходимо > сделать так, что бы запускаемые сервера в host системе не захватывали > алиасы для виртуальных серверов. Так поступают, в частности nfs, dhcp и > т.д. У них у всех есть возможность указать listen interface. Если у кого=то такой возможности нет, то это, скорее всего, bug. > Для этого в util-vserver есть утилитка chbind, запускающая сервисы таким > образом, что бы они не видели ничего кроме того, что им разрешат. > > Вопрос заключается в том, как бы сделать так, что бы после установки > ядра с vserver'ом и утилит все запускаемые из initscripts сервисы > стартовали через chbind ? Запускать /etc/rc.d/rc через chbind? -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] iniscripts and vserver 2004-01-12 16:29 ` Dmitry V. Levin @ 2004-01-12 16:56 ` Алексей Любимов 2004-01-12 17:07 ` Dmitry V. Levin 2004-01-12 17:28 ` Anton Farygin 2004-01-12 17:26 ` Anton Farygin 2004-01-20 13:13 ` Andrey Brindeew 2 siblings, 2 replies; 9+ messages in thread From: Алексей Любимов @ 2004-01-12 16:56 UTC (permalink / raw) To: ALT Devel discussion list Dmitry V. Levin пишет: >On Mon, Jan 12, 2004 at 07:22:43PM +0300, Anton Farygin wrote: > > >>Господа, возник интересный вопрос с стартовыми скриптами и vserver'ом: >> >>как известно, для корректной работы виртуальных серверов необходимо >>сделать так, что бы запускаемые сервера в host системе не захватывали >>алиасы для виртуальных серверов. Так поступают, в частности nfs, dhcp и >>т.д. >> >> > >У них у всех есть возможность указать listen interface. > bind() в chbind и bind("interface") - разные вещи. Если первый цепляется ко всем интерфейсам, которые ему показаны chbind, то второй цепляется только к конкретному (одному) интерфейсу. > >Если у кого=то такой возможности нет, то это, скорее всего, bug. > > и соотственно много много соровождаемого кода в этих забаженных пакетах. оно нам надо? > > >>Для этого в util-vserver есть утилитка chbind, запускающая сервисы таким >>образом, что бы они не видели ничего кроме того, что им разрешат. >> >>Вопрос заключается в том, как бы сделать так, что бы после установки >>ядра с vserver'ом и утилит все запускаемые из initscripts сервисы >>стартовали через chbind ? >> >> > >Запускать /etc/rc.d/rc через chbind? > > а если ядро не поддерживает chbind? ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] iniscripts and vserver 2004-01-12 16:56 ` Алексей Любимов @ 2004-01-12 17:07 ` Dmitry V. Levin 2004-01-12 17:23 ` Алексей Любимов 2004-01-12 17:28 ` Anton Farygin 1 sibling, 1 reply; 9+ messages in thread From: Dmitry V. Levin @ 2004-01-12 17:07 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 1482 bytes --] On Mon, Jan 12, 2004 at 07:56:29PM +0300, Алексей Любимов wrote: > Dmitry V. Levin пишет: > >On Mon, Jan 12, 2004 at 07:22:43PM +0300, Anton Farygin wrote: > > > >>Господа, возник интересный вопрос с стартовыми скриптами и vserver'ом: > >> > >>как известно, для корректной работы виртуальных серверов необходимо > >>сделать так, что бы запускаемые сервера в host системе не захватывали > >>алиасы для виртуальных серверов. Так поступают, в частности nfs, dhcp и > >>т.д. > > > >У них у всех есть возможность указать listen interface. > > > bind() в chbind и bind("interface") - разные вещи. > Если первый цепляется ко всем интерфейсам, которые ему показаны chbind, > то второй цепляется только к конкретному (одному) интерфейсу. На самом деле, к списку интерфейсов, см. напр. sshd_config(5). > >Если у кого=то такой возможности нет, то это, скорее всего, bug. > > > и соотственно много много соровождаемого кода в этих забаженных пакетах. > оно нам надо? Почему много-много? > >>Для этого в util-vserver есть утилитка chbind, запускающая сервисы таким > >>образом, что бы они не видели ничего кроме того, что им разрешат. > >> > >>Вопрос заключается в том, как бы сделать так, что бы после установки > >>ядра с vserver'ом и утилит все запускаемые из initscripts сервисы > >>стартовали через chbind ? > > > >Запускать /etc/rc.d/rc через chbind? > > а если ядро не поддерживает chbind? Тогда либо не надо запускать через chbind, либо надо игнорировать ошибки ENOSYS. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] iniscripts and vserver 2004-01-12 17:07 ` Dmitry V. Levin @ 2004-01-12 17:23 ` Алексей Любимов 2004-01-12 17:32 ` Anton Farygin 0 siblings, 1 reply; 9+ messages in thread From: Алексей Любимов @ 2004-01-12 17:23 UTC (permalink / raw) To: ALT Devel discussion list Dmitry V. Levin пишет: >On Mon, Jan 12, 2004 at 07:56:29PM +0300, Алексей Любимов wrote: > > >>Dmitry V. Levin пишет: >> >> >>>On Mon, Jan 12, 2004 at 07:22:43PM +0300, Anton Farygin wrote: >>> >>> >>> >>>>Господа, возник интересный вопрос с стартовыми скриптами и vserver'ом: >>>> >>>>как известно, для корректной работы виртуальных серверов необходимо >>>>сделать так, что бы запускаемые сервера в host системе не захватывали >>>>алиасы для виртуальных серверов. Так поступают, в частности nfs, dhcp и >>>>т.д. >>>> >>>> >>>У них у всех есть возможность указать listen interface. >>> >>> >>> >>bind() в chbind и bind("interface") - разные вещи. >>Если первый цепляется ко всем интерфейсам, которые ему показаны chbind, >>то второй цепляется только к конкретному (одному) интерфейсу. >> >> > >На самом деле, к списку интерфейсов, см. напр. sshd_config(5). > > А вот программ, для которых Multiple ListenAddress options are permitted. уже значительно меньше. Мне что то ничего кроме апача в голову и не приходит. xinetd нет? bind Allows a service to be bound to a specific interface on the machine. This means you can have a telnet server listening on a local, secured interface, and not on the external interface. Or one port on one interface can do something, while the same port on a different interface can do something completely dif- ferent. Syntax: bind = (ip address of interface). proftpd тоже только в своих виртульных серверах разделяет ip. > > >>>Если у кого=то такой возможности нет, то это, скорее всего, bug. >>> >>> >>> >>и соотственно много много соровождаемого кода в этих забаженных пакетах. >>оно нам надо? >> >> > >Почему много-много? > > опцию добавить, которую никто из авторов себе не возьмет и заодно не просто аргумент в bind(), а списочек с прогоном по нему + парсер, чего там нам подсунули. >>>>Для этого в util-vserver есть утилитка chbind, запускающая сервисы таким >>>>образом, что бы они не видели ничего кроме того, что им разрешат. >>>> >>>>Вопрос заключается в том, как бы сделать так, что бы после установки >>>>ядра с vserver'ом и утилит все запускаемые из initscripts сервисы >>>>стартовали через chbind ? >>>> >>>> >>>Запускать /etc/rc.d/rc через chbind? >>> >>> >>а если ядро не поддерживает chbind? >> >> > >Тогда либо не надо запускать через chbind, либо надо игнорировать >ошибки ENOSYS. > > > А какой пакет будет добавлять эту функциональность в initscripts? или зашить это дело в initscripts сразу и для всех? Или ручками после установки предлагаете курочить? Мне это дело интересно, вот и спрашиваю, какие варианты возможны. ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] iniscripts and vserver 2004-01-12 17:23 ` Алексей Любимов @ 2004-01-12 17:32 ` Anton Farygin 0 siblings, 0 replies; 9+ messages in thread From: Anton Farygin @ 2004-01-12 17:32 UTC (permalink / raw) To: ALT Devel discussion list On Mon, Jan 12, 2004 at 08:23:27PM +0300, Алексей Любимов wrote: > > > Dmitry V. Levin пишет: > > >On Mon, Jan 12, 2004 at 07:56:29PM +0300, Алексей Любимов wrote: > > > > > >>Dmitry V. Levin пишет: > >> > >> > >>>On Mon, Jan 12, 2004 at 07:22:43PM +0300, Anton Farygin wrote: > >>> > >>> > >>> > >>>>Господа, возник интересный вопрос с стартовыми скриптами и vserver'ом: > >>>> > >>>>как известно, для корректной работы виртуальных серверов необходимо > >>>>сделать так, что бы запускаемые сервера в host системе не захватывали > >>>>алиасы для виртуальных серверов. Так поступают, в частности nfs, dhcp и > >>>>т.д. > >>>> > >>>> > >>>У них у всех есть возможность указать listen interface. > >>> > >>> > >>> > >>bind() в chbind и bind("interface") - разные вещи. > >>Если первый цепляется ко всем интерфейсам, которые ему показаны chbind, > >>то второй цепляется только к конкретному (одному) интерфейсу. > >> > >> > > > >На самом деле, к списку интерфейсов, см. напр. sshd_config(5). > > > > > А вот программ, для которых > Multiple ListenAddress options are permitted. > уже значительно меньше. > > Мне что то ничего кроме апача в голову и не приходит. > > xinetd нет? > > bind Allows a service to be bound to a specific > interface > on the machine. This means you can have a > telnet > server listening on a local, secured > interface, and > not on the external interface. Or one port > on one > interface can do something, while the same > port on a > different interface can do something > completely dif- > ferent. Syntax: bind = (ip address of interface). > > proftpd тоже только в своих виртульных серверах разделяет ip. > > > > > > > > >>>Если у кого=то такой возможности нет, то это, скорее всего, bug. > >>> > >>> > >>> > >>и соотственно много много соровождаемого кода в этих забаженных пакетах. > >>оно нам надо? > >> > >> > > > >Почему много-много? > > > > > опцию добавить, которую никто из авторов себе не возьмет и заодно не > просто аргумент в bind(), а списочек с прогоном по нему + парсер, чего > там нам подсунули. > > >>>>Для этого в util-vserver есть утилитка chbind, запускающая сервисы таким > >>>>образом, что бы они не видели ничего кроме того, что им разрешат. > >>>> > >>>>Вопрос заключается в том, как бы сделать так, что бы после установки > >>>>ядра с vserver'ом и утилит все запускаемые из initscripts сервисы > >>>>стартовали через chbind ? > >>>> > >>>> > >>>Запускать /etc/rc.d/rc через chbind? > >>> > >>> > >>а если ядро не поддерживает chbind? > >> > >> > > > >Тогда либо не надо запускать через chbind, либо надо игнорировать > >ошибки ENOSYS. > > > > > > > А какой пакет будет добавлять эту функциональность в initscripts? или > зашить это дело в initscripts сразу и для всех? > Или ручками после установки предлагаете курочить? > Мне это дело интересно, вот и спрашиваю, какие варианты возможны. Самый, конечно, замечательный вариант - после установки некоего пакета (vserver-startup) - запуск всех сервисов через chbind только в том случае, если ядро поддерживает ipv4root. Это можно, кстати, отработать и в chbind - не проблема. Может быть реализовать что-то вроде конфига со списком IP адресов или интерфейсов + списком сервисов, которые необходимо запускать через chbind. Rgds, Rider ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] iniscripts and vserver 2004-01-12 16:56 ` Алексей Любимов 2004-01-12 17:07 ` Dmitry V. Levin @ 2004-01-12 17:28 ` Anton Farygin 1 sibling, 0 replies; 9+ messages in thread From: Anton Farygin @ 2004-01-12 17:28 UTC (permalink / raw) To: ALT Devel discussion list On Mon, Jan 12, 2004 at 07:56:29PM +0300, Алексей Любимов wrote: > > > Dmitry V. Levin пишет: > > >On Mon, Jan 12, 2004 at 07:22:43PM +0300, Anton Farygin wrote: > > > > > >>Господа, возник интересный вопрос с стартовыми скриптами и vserver'ом: > >> > >>как известно, для корректной работы виртуальных серверов необходимо > >>сделать так, что бы запускаемые сервера в host системе не захватывали > >>алиасы для виртуальных серверов. Так поступают, в частности nfs, dhcp и > >>т.д. > >> > >> > > > >У них у всех есть возможность указать listen interface. > > > bind() в chbind и bind("interface") - разные вещи. > Если первый цепляется ко всем интерфейсам, которые ему показаны chbind, > то второй цепляется только к конкретному (одному) интерфейсу. > > > > >Если у кого=то такой возможности нет, то это, скорее всего, bug. > > > > > и соотственно много много соровождаемого кода в этих забаженных пакетах. > оно нам надо? > > > > > > >>Для этого в util-vserver есть утилитка chbind, запускающая сервисы таким > >>образом, что бы они не видели ничего кроме того, что им разрешат. > >> > >>Вопрос заключается в том, как бы сделать так, что бы после установки > >>ядра с vserver'ом и утилит все запускаемые из initscripts сервисы > >>стартовали через chbind ? > >> > >> > > > >Запускать /etc/rc.d/rc через chbind? > > > > > > а если ядро не поддерживает chbind? Это легко определить. Rgds, Rider ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] iniscripts and vserver 2004-01-12 16:29 ` Dmitry V. Levin 2004-01-12 16:56 ` Алексей Любимов @ 2004-01-12 17:26 ` Anton Farygin 2004-01-20 13:13 ` Andrey Brindeew 2 siblings, 0 replies; 9+ messages in thread From: Anton Farygin @ 2004-01-12 17:26 UTC (permalink / raw) To: ALT Devel discussion list On Mon, Jan 12, 2004 at 07:29:42PM +0300, Dmitry V. Levin wrote: > On Mon, Jan 12, 2004 at 07:22:43PM +0300, Anton Farygin wrote: > > Господа, возник интересный вопрос с стартовыми скриптами и vserver'ом: > > > > как известно, для корректной работы виртуальных серверов необходимо > > сделать так, что бы запускаемые сервера в host системе не захватывали > > алиасы для виртуальных серверов. Так поступают, в частности nfs, dhcp и > > т.д. > > У них у всех есть возможность указать listen interface. > > Если у кого=то такой возможности нет, то это, скорее всего, bug. portmap, nfs (kernel nfsd) - нельзя. Ну допустим что nfs можно вынести в userspace... правда там все равно нет опции какой интерфейс слушать. И еще - неплохо было бы иметь единый конфиг для всех сервисов, которым можно говорить слушаемый интерфейс(ы). > > > Для этого в util-vserver есть утилитка chbind, запускающая сервисы таким > > образом, что бы они не видели ничего кроме того, что им разрешат. > > > > Вопрос заключается в том, как бы сделать так, что бы после установки > > ядра с vserver'ом и утилит все запускаемые из initscripts сервисы > > стартовали через chbind ? > > Запускать /etc/rc.d/rc через chbind? Нет. в теории нужно составлять список сервисов, запускаемых через chbind. А все остальные запускать напрямую. Rgds, Rider ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] iniscripts and vserver 2004-01-12 16:29 ` Dmitry V. Levin 2004-01-12 16:56 ` Алексей Любимов 2004-01-12 17:26 ` Anton Farygin @ 2004-01-20 13:13 ` Andrey Brindeew 2 siblings, 0 replies; 9+ messages in thread From: Andrey Brindeew @ 2004-01-20 13:13 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 415 bytes --] On Mon, Jan 12, 2004 at 07:29:42PM +0300, Dmitry V. Levin wrote: > У них у всех есть возможность указать listen interface. У некоторых может и не быть возможности. Пример из жизни - Helix streaming server. > Если у кого=то такой возможности нет, то это, скорее всего, bug. В моём случае его нельзя пофиксить, увы. -- WBR, Andrey Brindeew. "No one person can understand Perl culture completely" (C) Larry Wall. [-- Attachment #2: Type: application/pgp-signature, Size: 245 bytes --] ^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2004-01-20 13:13 UTC | newest] Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2004-01-12 16:22 [devel] iniscripts and vserver Anton Farygin 2004-01-12 16:29 ` Dmitry V. Levin 2004-01-12 16:56 ` Алексей Любимов 2004-01-12 17:07 ` Dmitry V. Levin 2004-01-12 17:23 ` Алексей Любимов 2004-01-12 17:32 ` Anton Farygin 2004-01-12 17:28 ` Anton Farygin 2004-01-12 17:26 ` Anton Farygin 2004-01-20 13:13 ` Andrey Brindeew
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git