From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Thu, 22 May 2003 22:35:38 +0400 From: "Peter V. Saveliev" To: sisyphus@altlinux.ru Message-Id: <20030522223538.77690dc8.peet@eltel.net> Organization: JSC Eltel X-Mailer: Sylpheed version 0.8.11 (GTK+ 1.2.10; i586-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Subject: [sisyphus] security_contexts, tcb_unix Sender: sisyphus-admin@altlinux.ru Errors-To: sisyphus-admin@altlinux.ru X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: sisyphus@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: ... Хочу спросить, как народ относится к vserver, http://www.solucorp.qc.ca/miscprj/s_context.hc. В смысле мнений по безопасности использования и т.д. Судя по версиям патчей для ядер, проект поддерживается. Собрал ядро с security_contexts, работает пока без нареканий, вот только часть патчей с vserver конфликтует - пришлось пока без них. ++ про юзание: Есть, правда, у него одна загвоздка - там выставлено, что в security_context, отличном от main, права 000 запрещают доступ даже root. А adduser через tcb как раз и использует chmod 000, что приводит к невозможности создания новых пользователей. Откат на shadow, само собой, безболезненно не проходит... Поскольку он в сизифе зарезан накорню так, что и не восстановить толком... Проявляется только на loopback-devices и lvm, кстати, что, видимо, бага - должно везде, согласно докам. А lvm - единственный разумый способ разбежаться с квотированием дискового пространства по серверам. Потому вопросы: 1) можно ли в сизифе всё же оставить shadow как альтернативную схему? Не по умолчанию, но не убивая совсем? А кто знает, как - настроит. 2) может, подумать насчёт средств a-la vserver/usermode в сизифе? Из всего, что, нашёл, vserver показался наиболее удачным решением. -- Sincerely, Peter V. Saveliev E-mail: peet@eltel.net Jabber: peet@jabber.ru