From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <naf@altlinux.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham
	version=3.2.5
X-Virus-Scanned: amavisd-new at localhost
Message-ID: <1354193005.8506.51.camel@v3405.naf.net.ru>
From: "Nikolay A. Fetisov" <naf@altlinux.ru>
To: sisyphus@lists.altlinux.org
Date: Thu, 29 Nov 2012 16:43:25 +0400
In-Reply-To: <50B75147.6090506@complife.ru>
References: <50B40B16.7040502@complife.ru>
	<20121127121056.2334da81@sem-notebook>
	<20121128140403.15f4e9ca@sem-notebook> <50B6405F.8060903@complife.ru>
	<1354138005.12569.1.camel@v3405.naf.net.ru>
	<50B75147.6090506@complife.ru>
Content-Type: text/plain; charset="KOI8-R"
X-Mailer: Evolution 3.6.2 (3.6.2-alt1) 
Mime-Version: 1.0
Content-Transfer-Encoding: 8bit
Subject: Re: [sisyphus] =?koi8-r?b?+sHT1c7V1NggcmVzb2x2Y29uZiDXIN7S1dQ=?=
X-BeenThere: sisyphus@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: naf@altlinux.ru,
	ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
List-Id: ALT Linux Sisyphus discussions <sisyphus.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sisyphus>
List-Post: <mailto:sisyphus@lists.altlinux.org>
List-Help: <mailto:sisyphus-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 29 Nov 2012 12:43:33 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/1354193005.8506.51.camel@v3405.naf.net.ru/>
List-Archive: <http://lore.altlinux.org/sisyphus/>
List-Post: <mailto:sisyphus@altlinux.ru>

В Чт, 29/11/2012 в 16:12 +0400, Michael A. Kangin пишет:
> 29.11.2012 01:26, Nikolay A. Fetisov пишет:
> 
> > Запихивание resolvconf во внутрь chroot вряд ли в такой ситуации
> > поможет. OpenVPN после поднятия интерфейса и его настройки выполняет не
> > только chroot(), но и chuser() - запущенный из down/down-pre скриптов
> > resolvconf не сможет изменить /etc/resolv.conf .
> 
> Я знатный извращенец, я в тестах еще и sudo в чрут засунул.

... а не проще вытащить OpenVPN из chroot'а?

> 
> Кстати, а чисто абстрактно, что секурней: в чруте от имени рута или в 
> нативной системе от непривелегированного пользователя?

IMHO, в chroot от непривилегированного пользователя :-)

Т.е., внутри chroot просто устанавливать флажок, по появлению которого
вне chroot будет срабатывать нужный скрипт.

Что-то типа: внутри chroot - touch /tmp/flag , снаружи - задание для
cron'а вида 
* * * * * root [ -f /path_to_chroot/tmp/flag ] && /some/script

По желанию - вместо cron'а использовать inotify.


-- 
С уважением,
Николай Фетисов