On Tue, Jan 13, 2015 at 02:55:13PM +0300, Anton Farygin wrote:
> On 12.01.2015 22:36, Dmitry V. Levin wrote:
[...]
> >Там возникнет конфликт прав доступа к 
> >chroot/dev/shm, который еще надо
> >придумать, как разрешить:
> >- если chroot/dev/shm уже на tmpfs, то 
> >псевдопользователь #2 должен иметь
> >доступ к нему на запись;
> 
> А чем тебя не устраивает 777 на chroot/dev/shm ?

Там сейчас 1777, и это устраивало всех, кроме процедуры монтирования.

> >- если chroot/dev/shm должен быть смонтирован, 
> >то на права доступа к нему
> >налагаются сильные ограничения.

Я почти убедился в том, что в режиме mount namespace isolation права
доступа 1777 новых угроз не создают.

Интересно, сколько nr_blocks и nr_inodes необходимо давать для /dev/shm
в чруте по умолчанию?


-- 
ldv