[Sysadmins] Изменения файлов в /etc/pam.d/* для работы с pam_ldap

[Sysadmins] Изменения файлов в /etc/pam.d/* для работы с pam_ldap

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 756 bytes --]

Здравствуйте.

Прочитав достаточно много информации по настройке централизованного
хранения пользователей в LDAP так и не смог определить что и как нужно
менять в /etc/pam.d/* для работы.
Везде описывается разное:
https://bugzilla.altlinux.org/show_bug.cgi?id=2372
http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP
/usr/share/doc/pam_ldap-180/alt-examples/

И не одно не работает. Подскажите, как правильно? Используется сизиф,
x86_64.

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Изменения файлов в /etc/pam.d/* для работы с pam_ldap

[Anton Gorlov]

Slava Dubrovskiy пишет:

> Везде описывается разное:
> https://bugzilla.altlinux.org/show_bug.cgi?id=2372
> http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP
> /usr/share/doc/pam_ldap-180/alt-examples/
> И не одно не работает. Подскажите, как правильно? Используется сизиф,
> x86_64.

  Точно рабочий вариант на 
http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP
работает в том числе и под текущим сиизфом x86_64.. но после напильника

https://bugzilla.altlinux.org/show_bug.cgi?id=9794
https://bugzilla.altlinux.org/show_bug.cgi?id=9810

и проверьте https://bugzilla.altlinux.org/show_bug.cgi?id=9811

-- 
   np: Darkseed - Cold Under Water

Re: [Sysadmins] Изменения файлов в /etc/pam.d/* для работы с pam_ldap

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1446 bytes --]

Anton Gorlov пишет:
>> Везде описывается разное:
>> https://bugzilla.altlinux.org/show_bug.cgi?id=2372
>> http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP
>> /usr/share/doc/pam_ldap-180/alt-examples/
>> И не одно не работает. Подскажите, как правильно? Используется сизиф,
>> x86_64.
> Точно рабочий вариант на
> http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP
> работает в том числе и под текущим сиизфом x86_64.. но после напильника
Уже понятней, но неужели надо настолько менять все что в /etc/pam.d/ ?
Боязно как-то. Неужели  в ALT настолько другой pam, что для настройки
pam_ldap необходимо так его переделывать.
Почему-то в http://directory.fedora.redhat.com/wiki/Howto:PAM,
/usr/share/doc/smbldap-tools/smbldap-howto необходимо изменять только
system-auth.

>
> https://bugzilla.altlinux.org/show_bug.cgi?id=9794
> https://bugzilla.altlinux.org/show_bug.cgi?id=9810
Эти да.
>
> и проверьте https://bugzilla.altlinux.org/show_bug.cgi?id=9811
Нет, не подтверждается.

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Изменения файлов в /etc/pam.d/* для работы с pam_ldap

[Anton Gorlov]

Slava Dubrovskiy пишет:

>> http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP
>> работает в том числе и под текущим сиизфом x86_64.. но после напильника
> Уже понятней, но неужели надо настолько менять все что в /etc/pam.d/ ?
> Боязно как-то. Неужели  в ALT настолько другой pam, что для настройки
> pam_ldap необходимо так его переделывать.

Мне трудно сказать тут что-то.. бо осбо не сравнивал. В дебе отличается. 
как в fc не подскажу.

>> https://bugzilla.altlinux.org/show_bug.cgi?id=9794
>> https://bugzilla.altlinux.org/show_bug.cgi?id=9810
> Эти да.


-- 
   np: Darkseed - Journey To The Spirit Wo

Re: [Sysadmins] Изменения файлов в /etc/pam.d/* для работы с pam_ldap

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 482 bytes --]

* Slava Dubrovskiy <slava@> [060801 14:17]:
> Уже понятней, но неужели надо настолько менять все что в /etc/pam.d/ ?
> Боязно как-то. Неужели  в ALT настолько другой pam, что для настройки
> pam_ldap необходимо так его переделывать.
Не всё, а только то, что пользуется pam_tcb минуя system-auth.

-- 
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
-------------------------------------------
  Inform-Mobil, Ltd. System Administrator
       http://www.inform-mobil.ru/

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Изменения файлов в /etc/pam.d/* для работы с pam_ldap

[Slava Dubrovskiy]

[-- Attachment #1.1: Type: text/plain, Size: 570 bytes --]

Alexey I. Froloff пишет:
>> Уже понятней, но неужели надо настолько менять все что в /etc/pam.d/ ?
>> Боязно как-то. Неужели  в ALT настолько другой pam, что для настройки
>> pam_ldap необходимо так его переделывать.
>>     
> Не всё, а только то, что пользуется pam_tcb минуя system-auth.
>   
Спасибо. Уже понятней. Но все равно не работает :-(
Сделал все как в статье написано.
Пытаюсь зайти пользователем который есть в системе и нет в LDAP
Спрашивает пароль 2 раза.
Лог прилагаю.
Что я сделал не правильно?

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #1.2: ldap_login.log --]
[-- Type: text/x-log, Size: 1982 bytes --]

Aug  1 17:28:26 serv slapd[7947]: conn=27 fd=15 ACCEPT from IP=127.0.0.1:55527 (IP=0.0.0.0:389)
Aug  1 17:28:26 serv slapd[8723]: conn=27 op=0 BIND dn="cn=Manager,dc=elan,dc=ua" method=128
Aug  1 17:28:26 serv slapd[8723]: conn=27 op=0 BIND dn="cn=Manager,dc=elan,dc=ua" mech=SIMPLE ssf=0
Aug  1 17:28:26 serv slapd[8723]: conn=27 op=0 RESULT tag=97 err=0 text=
Aug  1 17:28:26 serv slapd[8723]: conn=27 op=1 SRCH base="ou=Users,dc=elan,dc=ua" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=slava))"
Aug  1 17:28:26 serv slapd[8723]: conn=27 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
Aug  1 17:28:26 serv slapd[8723]: conn=27 op=2 SRCH base="ou=Computers,dc=elan,dc=ua" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=slava))"
Aug  1 17:28:26 serv slapd[8723]: conn=27 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text=
Aug  1 17:28:37 serv login[9013]: pam_tcb(login:auth): Authentication passed for slava from (uid=0)
Aug  1 17:28:37 serv slapd[8723]: conn=27 op=3 BIND anonymous mech=implicit ssf=0
Aug  1 17:28:37 serv slapd[8723]: conn=27 op=3 BIND dn="cn=Manager,dc=elan,dc=ua" method=128
Aug  1 17:28:37 serv slapd[8723]: conn=27 op=3 BIND dn="cn=Manager,dc=elan,dc=ua" mech=SIMPLE ssf=0
Aug  1 17:28:37 serv slapd[8723]: conn=27 op=3 RESULT tag=97 err=0 text=
Aug  1 17:28:37 serv slapd[8723]: conn=27 op=4 SRCH base="ou=Users,dc=elan,dc=ua" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=slava))"
Aug  1 17:28:37 serv slapd[8723]: conn=27 op=4 SEARCH RESULT tag=101 err=0 nentries=0 text=
Aug  1 17:28:37 serv slapd[8723]: conn=27 op=5 SRCH base="ou=Computers,dc=elan,dc=ua" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=slava))"
Aug  1 17:28:37 serv slapd[8723]: conn=27 op=5 SEARCH RESULT tag=101 err=0 nentries=0 text=
Aug  1 17:28:37 serv slapd[8723]: conn=27 op=6 UNBIND
Aug  1 17:28:37 serv slapd[8723]: conn=27 fd=15 closed
Aug  1 17:28:37 serv login[9013]: pam_tcb(login:session): Session opened for slava by (uid=0)
 

[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Изменения файлов в /etc/pam.d/* для работы с pam_ldap

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 437 bytes --]

* Slava Dubrovskiy <slava@> [060801 18:32]:
> Пытаюсь зайти пользователем который есть в системе и нет в LDAP
> Спрашивает пароль 2 раза.
use_first_pass не везде прописаны.  В system-auth это тоже надо
добавлять во всех модулях после вызова pam_ldap.

-- 
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
-------------------------------------------
  Inform-Mobil, Ltd. System Administrator
       http://www.inform-mobil.ru/

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Изменения файлов в /etc/pam.d/* для работы с pam_ldap

[Slava Dubrovskiy]

[-- Attachment #1.1: Type: text/plain, Size: 377 bytes --]

Alexey I. Froloff пишет:
>> Пытаюсь зайти пользователем который есть в системе и нет в LDAP
>> Спрашивает пароль 2 раза.
>>     
> use_first_pass не везде прописаны.  В system-auth это тоже надо
> добавлять во всех модулях после вызова pam_ldap.
>   
Не могли бы вы подсказать как правильно?
Вот мои измененные файлы pam.d

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #1.2: system-auth --]
[-- Type: text/plain, Size: 660 bytes --]

#%PAM-1.0
auth	sufficient pam_ldap.so
auth     required	pam_tcb.so shadow fork prefix=$2a$ count=8 nullok
account	sufficient pam_ldap.so
account  required	pam_tcb.so shadow fork use_first_pass
#account  required	pam_mktemp.so
password required	pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3
password sufficient pam_ldap.so use_authtok
password required	pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 nullok write_to=tcb use_first_pass
session optional pam_ldap.so
session  required	pam_tcb.so
session  required	pam_mkhomedir.so skel=/etc/skel/ umask=0077
session  required	pam_limits.so

[-- Attachment #1.3: system-auth-use_first_pass --]
[-- Type: text/plain, Size: 276 bytes --]

#%PAM-1.0
auth	sufficient pam_ldap.so use_first_pass
auth     required	pam_tcb.so shadow fork prefix=$2a$ count=8 nullok use_first_pass
password sufficient pam_ldap.so use_first_pass
password required	pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 nullok write_to=tcb

[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Изменения файлов в /etc/pam.d/* для работы с pam_ldap

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 812 bytes --]

Slava Dubrovskiy пишет:
> Alexey I. Froloff пишет:
>   
>>> Пытаюсь зайти пользователем который есть в системе и нет в LDAP
>>> Спрашивает пароль 2 раза.
>>>     
>>>       
>> use_first_pass не везде прописаны.  В system-auth это тоже надо
>> добавлять во всех модулях после вызова pam_ldap.
>>   
>>     
> Не могли бы вы подсказать как правильно?
> Вот мои измененные файлы pam.d
> auth	sufficient pam_ldap.so
> auth     required	pam_tcb.so shadow fork prefix=$2a$ count=8 nullok
>   
Кажется с этим разобрался. Здесь не хватало use_first_pass
Теперь думаю, как создать пользователя.
С помощью phpldapadmin вроде получается, но под ним не логинится. и id
vasya говорит что такого пользователя нет.
Как добавить пользователя с помощью ldapadd?

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Изменения файлов в /etc/pam.d/* для работы с pam_ldap

[Mikhail Pokidko]

01.08.06, Slava Dubrovskiy<slava@elan.com.ua> написал(а):

> Как добавить пользователя с помощью ldapadd?

создать .ldif и сделать ldapadd -f file.ldif -D
"cn=Manager,dcexample.com" -w "secret" -x (это для общего примера,
читать man ldapadd ^_^ )

Re: [Sysadmins] Изменения файлов в /etc/pam.d/* для работы с pam_ldap

[Dmitriy L. Kruglikov]

On Tue, 01 Aug 2006 18:02:58 +0300
Slava Dubrovskiy wrote:

> Как добавить пользователя с помощью ldapadd?

Можно сделать себе template.ldif...
Отредактировать его, а потом 
ldapadd [ключи всякие] template.ldif

Есть еще всякие утилиты графические...

Я делаю это при помощи GQ.
Редактирую существующего пользователя, а потом 
Add as new ....

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Свинья в золотом ошейнике - все свинья.
		-- Русская пословица

Re: [Sysadmins] Изменения файлов в /etc/pam.d/* для работы с pam_ldap

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 783 bytes --]

Dmitriy L. Kruglikov пишет:
>> Как добавить пользователя с помощью ldapadd?
>>     
>
> Можно сделать себе template.ldif...
> Отредактировать его, а потом 
> ldapadd [ключи всякие] template.ldif
>
> Есть еще всякие утилиты графические...
>
> Я делаю это при помощи GQ.
> Редактирую существующего пользователя, а потом 
> Add as new ....
>   
Я сделал с помощью smbldap-useradd -m petia. Пользователь добавился,
домашняя папка создалась (скорее из-за того, что использовал ключик -m).
Но при попытке id petia не происходит,  нет даже обращения к LDAP.
Подозреваю что это из-за https://bugzilla.altlinux.org/show_bug.cgi?id=9794
У кого-то есть правильный пакет для x86_64? Сам пересобрать пока не
могу, т.к. нет x86_64.

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Распределение по vserver'ам was [Изменения файлов в /etc/pam.d/* для работы с pam_ldap]

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1715 bytes --]

Michael Shigorin пишет:
>> У кого-то есть правильный пакет для x86_64? Сам пересобрать
>> пока не могу, т.к. нет x86_64.
>>     
> Ой.  Нет сборочного или вообще?
>   
Первое. Вот себе готовлю сервер под x86_64. :-)
Купили новый сервер. Теперь надо перетянуть все со старого. Тупо
копировать или винт переставлять не хочу. Тогда когда делал надо было
быстро и свалил все в кучу. Теперь хочу правильно.

1. Вопрос по vserver'ам.
Сколько и как лучше распределить их назначение в смысле безопасности,
производительности.
Думаю так:
1. На хосте будет стоять все что нужно для железа, для связи с инетом, и
т.д.:
sensors, pppoe, pptp-client, dhcpd, bind, sshd, nut, util-vserver
Пока думаю здесь разместить LDAP, и возможно MySQL. Или как?

2. web - тут будет хостинг локальный и для пары внешних сайтов:
apache, php, GraphicMagick, typo3

3. mail - тут будет все что связано с почтой
postfix, clamav, postgrey, amavis, spamassasin и т.д.

4. squid - тут будет сквид и все что с ним
squid, rejic, havp, libclamav

Вот тут есть мысли по обединению squid с mail, т.к. антивирусник нужен и
там и там. Что думаешь? Или не стоит?

5. samba - здесь самба и все пользовательские домашние папки
samba, cups, smbldap-tools,

6. LTSP - Здесь будет крутиться LTSP (есть 4 терминала старых)
LTSP, tftp, netfs и т.д.

7. devel86 - сборочный сервер для 86

Вопросы:
Такая структура оптимальная? в какой пропорции разделить CPU ресурсы, диск?
Может есть еще какие-то есть идеи?

> Если первое, то помогают vserver'ы, если второе, то не понимаю
> смысла, но в принципе могу помочь.  Или rider@ дёрни в jabber.
>   
Уже Антон Горлов вчера дал.

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 831 bytes --]

On Thu, Aug 03, 2006 at 01:21:11PM +0300, Slava Dubrovskiy wrote:
[...]
> 1. Вопрос по vserver'ам.

И не только по vserver'ам.  Кстати говоря, думаю что вы сделали не самый
лучший выбор, остановившись на linux-vserver.

> Сколько и как лучше распределить их назначение в смысле безопасности,
> производительности.

Не жалейте контейнеров.  Придерживайтесь принципа
"одна задача - один контейнер".

> Думаю так:
> 1. На хосте будет стоять все что нужно для железа, для связи с инетом, и
> т.д.:
> sensors, pppoe, pptp-client, dhcpd, bind, sshd, nut, util-vserver
> Пока думаю здесь разместить LDAP, и возможно MySQL. Или как?

Или как.  Всё, что может быть помещено в контейнер, лучше поместить в
контейнер.  На вскидку это dhcpd и bind.  Избегайте размещения
ldap/mysql-серверов в хост-системе.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 982 bytes --]

Dmitry V. Levin пишет:
>> 1. Вопрос по vserver'ам.
>>     
> И не только по vserver'ам.  Кстати говоря, думаю что вы сделали не самый
> лучший выбор, остановившись на linux-vserver.
>   
А что взамен предлагаете?
Мне казалось это наиболее объезженный вариант.
>> Сколько и как лучше распределить их назначение в смысле безопасности,
>> производительности.
>>     
> Не жалейте контейнеров.  Придерживайтесь принципа
> "одна задача - один контейнер".
>   
Даже так...
>> Думаю так:
>> 1. На хосте будет стоять все что нужно для железа, для связи с инетом, и
>> т.д.:
>> sensors, pppoe, pptp-client, dhcpd, bind, sshd, nut, util-vserver
>> Пока думаю здесь разместить LDAP, и возможно MySQL. Или как?
>>     
> Или как.  Всё, что может быть помещено в контейнер, лучше поместить в
> контейнер.  На вскидку это dhcpd и bind.  Избегайте размещения
> ldap/mysql-серверов в хост-системе.
>   
Понял. Вынесу отдельно.

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 596 bytes --]

On Thu, Aug 03, 2006 at 01:43:21PM +0300, Slava Dubrovskiy wrote:
> Dmitry V. Levin пишет:
> >> 1. Вопрос по vserver'ам.
> >>     
> > И не только по vserver'ам.  Кстати говоря, думаю что вы сделали не самый
> > лучший выбор, остановившись на linux-vserver.
> >   
> А что взамен предлагаете?

openvz.

> Мне казалось это наиболее объезженный вариант.

Вы же не мигрируете на linux-vserver, а начинаете с самого начала.
Поэтому надо выбирать с учётом перспективы.
Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver,
то сейчас я выбираю openvz.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 627 bytes --]

Dmitry V. Levin пишет:
>>> И не только по vserver'ам.  Кстати говоря, думаю что вы сделали не самый
>>> лучший выбор, остановившись на linux-vserver.  
>>>       
>> А что взамен предлагаете?
>>     
> openvz.
>   
Постараюсь прислушаться к вашему мнению.
>> Мне казалось это наиболее объезженный вариант.
>>     
> Вы же не мигрируете на linux-vserver, а начинаете с самого начала.
> Поэтому надо выбирать с учётом перспективы.
> Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver,
> то сейчас я выбираю openvz.
>   
Поможете с вопросами? ;-)

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 542 bytes --]

On Thu, Aug 03, 2006 at 03:23:09PM +0300, Slava Dubrovskiy wrote:
> Dmitry V. Levin пишет:
[...]
> > Вы же не мигрируете на linux-vserver, а начинаете с самого начала.
> > Поэтому надо выбирать с учётом перспективы.
> > Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver,
> > то сейчас я выбираю openvz.
> >   
> Поможете с вопросами? ;-)

Только после того, как вы ознакомитесь с содержимым
http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf
(про vzpkg/vzrpm/vzyum можно сперва пропустить)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Распределение по vserver'ам was [Изменения файлов в /etc/pam.d/* для работы с pam_ldap]

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 905 bytes --]

Slava Dubrovskiy пишет:
> Michael Shigorin пишет:
> 
>>>У кого-то есть правильный пакет для x86_64? Сам пересобрать
>>>пока не могу, т.к. нет x86_64.
>>>    
>>
>>Ой.  Нет сборочного или вообще?
>>  
> 
> Первое. Вот себе готовлю сервер под x86_64. :-)

  С понедельника -- буду решать подобную задачу для ноута. :-)

> Купили новый сервер. Теперь надо перетянуть все со старого. Тупо
> копировать или винт переставлять не хочу. Тогда когда делал надо было
> быстро и свалил все в кучу. Теперь хочу правильно.
> 
> 1. Вопрос по vserver'ам.
> Сколько и как лучше распределить их назначение в смысле безопасности,
> производительности.
> Думаю так:
> 1. На хосте будет стоять все что нужно для железа, для связи с инетом, и
> т.д.:

  +1, но немного в другом составе: всё, что не завязано на железо
напрямую -- планирую по контейнерам растащить.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Anton Gorlov]

Dmitry V. Levin пишет:

>> Поможете с вопросами? ;-)
> Только после того, как вы ознакомитесь с содержимым
> http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf
> (про vzpkg/vzrpm/vzyum можно сперва пропустить)
Хм.. а под не smp платформой его запустить реально?

-- 
   np: Darkseed - In Broken Images

Re: [Sysadmins] Распределение по контейнерам

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 453 bytes --]

On Thu, Aug 03, 2006 at 05:58:00PM +0400, Anton Gorlov wrote:
> Dmitry V. Levin пишет:
> 
> >> Поможете с вопросами? ;-)
> > Только после того, как вы ознакомитесь с содержимым
> > http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf
> > (про vzpkg/vzrpm/vzyum можно сперва пропустить)
> Хм.. а под не smp платформой его запустить реально?

У меня работает и так и так.  Но -up ядро я не собирал, хотя это и не
сложно сделать.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 524 bytes --]

Anton Gorlov пишет:
>>> Поможете с вопросами? ;-)
>>>       
>> Только после того, как вы ознакомитесь с содержимым
>> http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf
>> (про vzpkg/vzrpm/vzyum можно сперва пропустить)
>>     
> Хм.. а под не smp платформой его запустить реально?
>   
Наверно это рассчитано на сервер раз, во вторых уже почти все системы
идут многопроцессорными (Pentium D например), в третьих мне кажется smp
будет работать и на 1 процессоре.

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Konstantin A. Lepikhov]

Hi Dmitry!

Thursday 03, at 03:54:51 PM you wrote:

> > Мне казалось это наиболее объезженный вариант.
> 
> Вы же не мигрируете на linux-vserver, а начинаете с самого начала.
> Поэтому надо выбирать с учётом перспективы.
> Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver,
> то сейчас я выбираю openvz.
более того, т.к. я тоже постепенно мигрирую на ovz, vs26 ядро рискует уйти
в orphaned :)

-- 
WBR et al.

Re: [Sysadmins] Распределение по контейнерам

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 409 bytes --]

Konstantin A. Lepikhov пишет:
>> Поэтому надо выбирать с учётом перспективы.
>> Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver,
>> то сейчас я выбираю openvz.
>>     
> более того, т.к. я тоже постепенно мигрирую на ovz, vs26 ядро рискует уйти
> в orphaned :)
>   
"Палками в светлое будущее" (С) :-) .
Спасибо что предупредили.

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 624 bytes --]

Konstantin A. Lepikhov пишет:
> Hi Dmitry!
> 
> Thursday 03, at 03:54:51 PM you wrote:
> 
> 
>>>Мне казалось это наиболее объезженный вариант.
>>
>>Вы же не мигрируете на linux-vserver, а начинаете с самого начала.
>>Поэтому надо выбирать с учётом перспективы.
>>Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver,
>>то сейчас я выбираю openvz.
> 
> более того, т.к. я тоже постепенно мигрирую на ovz, vs26 ядро рискует уйти
> в orphaned :)

  Можно ссылок на информацию о работе с ovz (кроме
<http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf>)?

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Sergey S. Skulachenko]

On Thu, 3 Aug 2006 19:10:08 +0400
Konstantin A. Lepikhov wrote:

> > Если год назад, когда openvz ещё был не open, я бы выбрал
> > linux-vserver, то сейчас я выбираю openvz.
> более того, т.к. я тоже постепенно мигрирую на ovz

Прежде, чем Дима дал ссылку, я успел немного почитать и понял,
что современный мощный компьютер только так и нужно
использовать, иначе он будет попросту лентяйничать. Идея не
новая, но главное в ней то, что теперь она open.

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] Распределение по контейнерам

[Konstantin A. Lepikhov]

Hi Slava!

Thursday 03, at 06:13:06 PM you wrote:

> Konstantin A. Lepikhov пишет:
> >> Поэтому надо выбирать с учётом перспективы.
> >> Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver,
> >> то сейчас я выбираю openvz.
> >>     
> > более того, т.к. я тоже постепенно мигрирую на ovz, vs26 ядро рискует уйти
> > в orphaned :)
> >   
> "Палками в светлое будущее" (С) :-) .
> Спасибо что предупредили.
Ну не палками, у нас есть еще кому заниматься vserver'ом.

-- 
WBR et al.

Re: [Sysadmins] Распределение по контейнерам

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 836 bytes --]

On Thu, Aug 03, 2006 at 07:29:40PM +0400, Aleksey Avdeev wrote:
> Konstantin A. Lepikhov пишет:
> > Thursday 03, at 03:54:51 PM you wrote:
> > 
> >>>Мне казалось это наиболее объезженный вариант.
> >>
> >>Вы же не мигрируете на linux-vserver, а начинаете с самого начала.
> >>Поэтому надо выбирать с учётом перспективы.
> >>Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver,
> >>то сейчас я выбираю openvz.
> > 
> > более того, т.к. я тоже постепенно мигрирую на ovz, vs26 ядро рискует уйти
> > в orphaned :)
> 
>   Можно ссылок на информацию о работе с ovz (кроме
> <http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf>)?

Вы так быстро прочли этот pdf? :)

В пакетах vzquota и vzctl есть manpages, есть wiki.openvz.org, списки
рассылки всякие.  Что конкретно вас интересует?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Dmitry Derjavin]

On Чтв, Авг 03 2006 at 15:54, Dmitry V. Levin wrote:

> openvz.
>
>> Мне казалось это наиболее объезженный вариант.
>
> Вы же не мигрируете на linux-vserver, а начинаете с самого начала.
> Поэтому надо выбирать с учётом перспективы.

А в чём вы видите перспективу: в самой технологии, в темпах развития,
в поддержке со стороны разработчиков и сообщества и т. д.?

-- 
~dd

Re: [Sysadmins] Распределение по контейнерам

[Konstantin A. Lepikhov]

Hi Dmitry!

Thursday 03, at 10:31:05 PM you wrote:

> On Чтв, Авг 03 2006 at 15:54, Dmitry V. Levin wrote:
> 
> > openvz.
> >
> >> Мне казалось это наиболее объезженный вариант.
> >
> > Вы же не мигрируете на linux-vserver, а начинаете с самого начала.
> > Поэтому надо выбирать с учётом перспективы.
> 
> А в чём вы видите перспективу: в самой технологии, в темпах развития,
> в поддержке со стороны разработчиков и сообщества и т. д.?
У vserver невменяемый upstream, и это многому препятствует, например,
написанию документации, changelog'ов и bug tracking'у. Как мантейнер
vserver в сизифе, могу сказать что для меня это серъезный минус
по-сравнению с ovz. + У ovz есть очень полезные и уникальные фишки,
например возможность изменять параметры для ubc на лету + возможность
"усыпления" и runtime миграции VPS'ов.

-- 
WBR et al.

Re: [Sysadmins] Распределение по контейнерам

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1065 bytes --]

Dmitry V. Levin пишет:
> On Thu, Aug 03, 2006 at 07:29:40PM +0400, Aleksey Avdeev wrote:
> 
>>Konstantin A. Lepikhov пишет:
>>
>>>Thursday 03, at 03:54:51 PM you wrote:
>>>
>>>
>>>>>Мне казалось это наиболее объезженный вариант.
>>>>
>>>>Вы же не мигрируете на linux-vserver, а начинаете с самого начала.
>>>>Поэтому надо выбирать с учётом перспективы.
>>>>Если год назад, когда openvz ещё был не open, я бы выбрал linux-vserver,
>>>>то сейчас я выбираю openvz.
>>>
>>>более того, т.к. я тоже постепенно мигрирую на ovz, vs26 ядро рискует уйти
>>>в orphaned :)
>>
>>  Можно ссылок на информацию о работе с ovz (кроме
>><http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf>)?
> 
> 
> Вы так быстро прочли этот pdf? :)

  Нет. Только начал. :-)

> 
> В пакетах vzquota и vzctl есть manpages, есть wiki.openvz.org, списки
> рассылки всякие.  Что конкретно вас интересует?

  На данный момент -- места для прицельного поиска информации по данной
системе (окромя google). Конкретных вопросов пока нет.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 550 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 963 bytes --]

On Thu, Aug 03, 2006 at 10:31:05PM +0400, Dmitry Derjavin wrote:
> On Чтв, Авг 03 2006 at 15:54, Dmitry V. Levin wrote:
> > openvz.
> >
> >> Мне казалось это наиболее объезженный вариант.
> >
> > Вы же не мигрируете на linux-vserver, а начинаете с самого начала.
> > Поэтому надо выбирать с учётом перспективы.
> 
> А в чём вы видите перспективу: в самой технологии, в темпах развития,
> в поддержке со стороны разработчиков и сообщества и т. д.?

И в технологии (openvz сделан правильнее), и в темпах развития, и в
поддержке со стороны разработчиков, которые существенно более вменяемые,
и в инфраструктуре разработки, которая у openvz более удобная для
разработчика и более естественная для разработки ядра (git).
Если openvz и будет интегрирован в vanilla kernel, то это будет в основном
благодаря работе openvz team.
Я не вижу ни одного параметра, по которому у linux-vserver было бы
преимущество, такое бывает не так часто.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Dmitry Derjavin]

On Чтв, Авг 03 2006 at 23:50, Dmitry V. Levin wrote:

>> А в чём вы видите перспективу: в самой технологии, в темпах развития,
>> в поддержке со стороны разработчиков и сообщества и т. д.?
>
> И в технологии (openvz сделан правильнее), и в темпах развития, и в
> поддержке со стороны разработчиков, которые существенно более
> вменяемые,

Кстати, о разработчиках, Alexey Kuznetsov -- это, случайно, не автор
iproute2? http://forum.openvz.org/index.php?t=usrinfo&id=207

-- 
~dd

Re: [Sysadmins] Распределение по контейнерам

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 822 bytes --]

On Fri, Aug 04, 2006 at 12:26:44AM +0400, Dmitry Derjavin wrote:
> On Чтв, Авг 03 2006 at 23:50, Dmitry V. Levin wrote:
> 
> >> А в чём вы видите перспективу: в самой технологии, в темпах развития,
> >> в поддержке со стороны разработчиков и сообщества и т. д.?
> >
> > И в технологии (openvz сделан правильнее), и в темпах развития, и в
> > поддержке со стороны разработчиков, которые существенно более
> > вменяемые,
> 
> Кстати, о разработчиках, Alexey Kuznetsov -- это, случайно, не автор
> iproute2? http://forum.openvz.org/index.php?t=usrinfo&id=207

Это автор iproute2, причём не случайно:

$ fgrep -B3 -A1 'Alexey Kuznetsov' linux-2.6.17/MAINTAINERS
NETWORKING [IPv4/IPv6]
P:      David S. Miller
M:      davem@davemloft.net
P:      Alexey Kuznetsov
M:      kuznet@ms2.inr.ac.ru


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 621 bytes --]

Dmitry V. Levin пишет:
>> Поможете с вопросами? ;-)
>>     
> Только после того, как вы ознакомитесь с содержимым
> http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf
> (про vzpkg/vzrpm/vzyum можно сперва пропустить)
>   
Прочитал с большим интересом. Спасибо.
Сразу возникли вопросы.

1. Не могу найти в vzpkg в Сизифе.
Как без него создать шаблон? И на
http://openvz.org/download/template/repocache/ ALT нет :-( .

2. Если руководствоваться принципом одна задача - один контейнер, то
существует ли механизм задания последовательности запуска контейнеров?

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 848 bytes --]

Slava Dubrovskiy пишет:
>> Только после того, как вы ознакомитесь с содержимым
>> http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf
>> (про vzpkg/vzrpm/vzyum можно сперва пропустить)
>>   
>>     
> Прочитал с большим интересом. Спасибо.
> Сразу возникли вопросы.
>
> 1. Не могу найти в vzpkg в Сизифе.
> Как без него создать шаблон? И на
> http://openvz.org/download/template/repocache/ ALT нет :-( .
>   
Как я понял, посмотрев пакет vzpkg он жестко требует yum, поддержка
других дистрибутивов (deb-based, gentoo?) только в TODO.
И еще не понятно с лицензией. В vzpkg-2.7.0-18.tar.bz2 есть какие-то
бинарные файлы myinit*. Боязно.

Вопрос: Как быть? Создавать вручную precreated template cache?
Что для этого использовать? hasher?

Или все-таки попытаться выкрутить с vzpkg?

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Eugene Prokopiev]

Dmitry V. Levin пишет:
> Всё, что может быть помещено в контейнер, лучше поместить в
> контейнер.  На вскидку это dhcpd и bind.  Избегайте размещения
> ldap/mysql-серверов в хост-системе.

Скажите, а времена chroot уже прошли? Или еще есть смысл держать 
некоторые сервисы в chroot?

-- 
С уважением, Прокопьев Евгений

Re: [Sysadmins] Распределение по контейнерам

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 432 bytes --]

On Fri, Aug 04, 2006 at 01:22:14PM +0400, Eugene Prokopiev wrote:
> Dmitry V. Levin пишет:
> > Всё, что может быть помещено в контейнер, лучше поместить в
> > контейнер.  На вскидку это dhcpd и bind.  Избегайте размещения
> > ldap/mysql-серверов в хост-системе.
> 
> Скажите, а времена chroot уже прошли? Или еще есть смысл держать 
> некоторые сервисы в chroot?

Чем больше уровней безопасности, тем лучше.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1214 bytes --]

On Fri, Aug 04, 2006 at 11:03:57AM +0300, Slava Dubrovskiy wrote:
> Slava Dubrovskiy пишет:
> >> Только после того, как вы ознакомитесь с содержимым
> >> http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf
> >> (про vzpkg/vzrpm/vzyum можно сперва пропустить)
> >>     
> > Прочитал с большим интересом. Спасибо.
> > Сразу возникли вопросы.
> >
> > 1. Не могу найти в vzpkg в Сизифе.
> > Как без него создать шаблон? И на
> > http://openvz.org/download/template/repocache/ ALT нет :-( .
> >   
> Как я понял, посмотрев пакет vzpkg он жестко требует yum, поддержка
> других дистрибутивов (deb-based, gentoo?) только в TODO.

Нас в данном аспекте может интересовать vzapt.

> И еще не понятно с лицензией. В vzpkg-2.7.0-18.tar.bz2 есть какие-то
> бинарные файлы myinit*. Боязно.

Я пока не смотрел vzpkg.

> Вопрос: Как быть? Создавать вручную precreated template cache?
> Что для этого использовать? hasher?

Я использую hasher, что-нибудь типа
$ hsh --save ~/build --initroot --pkg-build=,
$ hsh-install --save ~/build basesystem apt etcnet glibc less openssh-server sysklogd

Lakostis использует spt.

> Или все-таки попытаться выкрутить с vzpkg?

Я не пробовал.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 482 bytes --]

Dmitry V. Levin пишет:
>> Вопрос: Как быть? Создавать вручную precreated template cache?
>> Что для этого использовать? hasher?
>>     
> Я использую hasher, что-нибудь типа
> $ hsh --save ~/build --initroot --pkg-build=,
> $ hsh-install --save ~/build basesystem apt etcnet glibc less openssh-server sysklogd
>
> Lakostis использует spt.
>   
Я уже догадался сам. Спаибо.
Надо на wiki все мои изыскания забросить не забыть.
-- 

С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 392 bytes --]

Dmitry V. Levin пишет:
> Я использую hasher, что-нибудь типа
> $ hsh --save ~/build --initroot --pkg-build=,
> $ hsh-install --save ~/build basesystem apt etcnet glibc less openssh-server sysklogd
>
>   
Сделал так. Но владелец файлов в build/chroot получается пользователь А.
Как запаковать этот chroot в tgz чтобы права были правильные?

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Igor Zubkov]

[-- Attachment #1: Type: text/plain, Size: 268 bytes --]

В сообщении от 4 августа 2006 11:03 Slava Dubrovskiy написал(a):
> Как я понял, посмотрев пакет vzpkg он жестко требует yum, поддержка
> других дистрибутивов (deb-based, gentoo?) только в TODO.

Ему старый yum подойдёт? Могу кинуть в Дедал.

-- 
Pain - It's Only Them

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 383 bytes --]

Igor Zubkov пишет:
>> Как я понял, посмотрев пакет vzpkg он жестко требует yum, поддержка
>> других дистрибутивов (deb-based, gentoo?) только в TODO.
>>     
> Ему старый yum подойдёт? Могу кинуть в Дедал.
>   
Да не надо. Работает и без него это раз, во вторых там что-то бинарное в
исходниках и я все равно его ставить не буду.

-- 
С уважением,
Дубровский Вячеслав.


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3237 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Eugene Prokopiev]

Dmitry V. Levin пишет:
> On Fri, Aug 04, 2006 at 01:22:14PM +0400, Eugene Prokopiev wrote:
> 
>>Dmitry V. Levin пишет:
>>
>>>Всё, что может быть помещено в контейнер, лучше поместить в
>>>контейнер.  На вскидку это dhcpd и bind.  Избегайте размещения
>>>ldap/mysql-серверов в хост-системе.
>>
>>Скажите, а времена chroot уже прошли? Или еще есть смысл держать 
>>некоторые сервисы в chroot?
> 
> 
> Чем больше уровней безопасности, тем лучше.

Дело в том, что нахождение некоторых приложений в чруте связано с 
определенными проблемами. Например, у нас есть PL/Python и PL/Perl для 
PostgreSQL, которые нет особого смысла использовать тем, кто не 
нуждается в куче модулей последних, а эти модули в чруте как раз 
отсутствуют.

Есть, конечно, механизм вроде /etc/chroot.d/postgresql.lib, но слишком 
уж много надо переносить в общем случае. Не проще ли вытащить PostgreSQL 
наружу, раз уж его местонахождение в чруте стало менее осмысленным?

-- 
С уважением, Прокопьев Евгений

Re: [Sysadmins] Распределение по контейнерам

[Michael Shigorin]

On Sat, Aug 05, 2006 at 12:12:14PM +0400, Eugene Prokopiev wrote:
> Есть, конечно, механизм вроде /etc/chroot.d/postgresql.lib, но
> слишком уж много надо переносить в общем случае. Не проще ли
> вытащить PostgreSQL наружу, раз уж его местонахождение в чруте
> стало менее осмысленным?

Скорее бы тогда рубильник...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Распределение по контейнерам

[Konstantin A. Lepikhov]

Hi Slava!

Friday 04, at 02:34:22 PM you wrote:

> Dmitry V. Levin пишет:
> > Я использую hasher, что-нибудь типа
> > $ hsh --save ~/build --initroot --pkg-build=,
> > $ hsh-install --save ~/build basesystem apt etcnet glibc less openssh-server sysklogd
> >
> >   
> Сделал так. Но владелец файлов в build/chroot получается пользователь А.
> Как запаковать этот chroot в tgz чтобы права были правильные?
используйте spt --image-type=tgz/tbz2 --skip-iso и шаблон ovz. spt умеет
пользоваться fakeroot для сохранения прав на каталоги.

-- 
WBR et al.

Re: [Sysadmins] Распределение по контейнерам

[Eugene Prokopiev]

Michael Shigorin пишет:
> On Sat, Aug 05, 2006 at 12:12:14PM +0400, Eugene Prokopiev wrote:
> 
>>Есть, конечно, механизм вроде /etc/chroot.d/postgresql.lib, но
>>слишком уж много надо переносить в общем случае. Не проще ли
>>вытащить PostgreSQL наружу, раз уж его местонахождение в чруте
>>стало менее осмысленным?
> 
> 
> Скорее бы тогда рубильник...

Миш, иногда ты говоришь загадками ;) Что ты имел ввиду?

-- 
С уважением, Прокопьев Евгений

Re: [Sysadmins] Распределение по контейнерам

[Michael Shigorin]

On Sun, Aug 06, 2006 at 05:58:18PM +0400, Eugene Prokopiev wrote:
> >>Есть, конечно, механизм вроде /etc/chroot.d/postgresql.lib,
> >>но слишком уж много надо переносить в общем случае. Не проще
> >>ли вытащить PostgreSQL наружу, раз уж его местонахождение в
> >>чруте стало менее осмысленным?
> >Скорее бы тогда рубильник...
> Миш, иногда ты говоришь загадками ;) Что ты имел ввиду?

засунуть_в_чрут postgres
вытащить_из_чрута postgres

Нет, я не знаю, насколько это технически реализуемо...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Распределение по контейнерам

[Sergey S. Skulachenko]

On Sun, 06 Aug 2006 17:58:18 +0400
Eugene Prokopiev wrote:

> > Скорее бы тогда рубильник...  
> 
> Миш, иногда ты говоришь загадками ;) Что ты имел ввиду?

Ровным счётом, _ничего_! Давно бы надо понять, что толкование
этих мыслеобразов находится в перпендикулярной плоскости к
Линуксу, и требует специальных знаний. Либо простое и
эффективное средство - фильтр.

-- 
С уважением,
С.С.Скулаченко

Re: [Sysadmins] Распределение по контейнерам

[Nikolay A. Fetisov]

On Sun, 6 Aug 2006 17:22:10 +0300
Michael Shigorin wrote:

> .....
> засунуть_в_чрут postgres
> вытащить_из_чрута postgres
> 
> Нет, я не знаю, насколько это технически реализуемо...

Вполне реализуемо. Для вытаскивания PostgreSQL из chroot достаточно
закомментировать определение переменной PG_CHROOT_DIR
в /etc/init.d/postgresql (22я строка для 8.1.4-alt1) и удалить
все /tmp/.s.PGSQL.* .

В обратную сторону - раскомментировать эту переменную.

-- 
С уважением,	
Николай Фетисов

[Sysadmins] [OT] Re: Распределение по контейнерам

[Michael Shigorin]

On Sun, Aug 06, 2006 at 07:06:09PM +0400, Sergey S. Skulachenko wrote:
> > > Скорее бы тогда рубильник...  
> > Миш, иногда ты говоришь загадками ;) Что ты имел ввиду?

(рядом постарался по-человечески)

> Ровным счётом, _ничего_! Давно бы надо понять, что толкование
> этих мыслеобразов находится в перпендикулярной плоскости к
> Линуксу, и требует специальных знаний. Либо простое и
> эффективное средство - фильтр.

2 genix: как тебе нравится этот перец?

2 sss: ну идите в фильтр.  procmail, не score.
Давненько там пополнений не было, редкий экземпляр заработает.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Распределение по контейнерам

[Michael Shigorin]

On Sun, Aug 06, 2006 at 07:57:23PM +0400, Nikolay A. Fetisov wrote:
> > засунуть_в_чрут postgres
> > вытащить_из_чрута postgres
> > Нет, я не знаю, насколько это технически реализуемо...
> Вполне реализуемо. Для вытаскивания PostgreSQL из chroot
> достаточно закомментировать определение переменной
> PG_CHROOT_DIR в /etc/init.d/postgresql (22я строка для
> 8.1.4-alt1) и удалить все /tmp/.s.PGSQL.* .
> В обратную сторону - раскомментировать эту переменную.

Мож нарисуете да хоть control тогда?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Распределение по контейнерам

[Eugene Prokopiev]

Sergey S. Skulachenko пишет:
> On Sun, 06 Aug 2006 17:58:18 +0400
> Eugene Prokopiev wrote:
> 
> 
>>>Скорее бы тогда рубильник...  
>>
>>Миш, иногда ты говоришь загадками ;) Что ты имел ввиду?
> 
> 
> Ровным счётом, _ничего_! Давно бы надо понять, что толкование
> этих мыслеобразов находится в перпендикулярной плоскости к
> Линуксу, и требует специальных знаний. Либо простое и
> эффективное средство - фильтр.

Сергей, возможно вы удивитесь, но в вашем сообщении полезной для меня 
информации все-таки меньше, чем в сообщении Миши ;)

-- 
С уважением, Прокопьев Евгений

Re: [Sysadmins] Распределение по контейнерам

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 728 bytes --]

On Fri, Aug 04, 2006 at 02:34:22PM +0300, Slava Dubrovskiy wrote:
> Dmitry V. Levin пишет:
> > Я использую hasher, что-нибудь типа
> > $ hsh --save ~/build --initroot --pkg-build=,
> > $ hsh-install --save ~/build basesystem apt etcnet glibc less openssh-server sysklogd
> >
> >   
> Сделал так. Но владелец файлов в build/chroot получается пользователь А.
> Как запаковать этот chroot в tgz чтобы права были правильные?

$ cat tarify.sh
#!/bin/sh -e
cd /
tar --create --file=- --numeric-owner --one-file-system --sparse -- *
$ hsh-run --save --root --execute tarify.sh ~/build >altlinux-minimal.tar

Правда в этом altlinux-minimal.tar не будет /dev/tty и /dev/ptmx, но это
можно потом добавить.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1270 bytes --]

On Sat, Aug 05, 2006 at 12:12:14PM +0400, Eugene Prokopiev wrote:
> Dmitry V. Levin пишет:
> > On Fri, Aug 04, 2006 at 01:22:14PM +0400, Eugene Prokopiev wrote:
> >>Dmitry V. Levin пишет:
> >>
> >>>Всё, что может быть помещено в контейнер, лучше поместить в
> >>>контейнер.  На вскидку это dhcpd и bind.  Избегайте размещения
> >>>ldap/mysql-серверов в хост-системе.
> >>
> >>Скажите, а времена chroot уже прошли? Или еще есть смысл держать 
> >>некоторые сервисы в chroot?
> > 
> > Чем больше уровней безопасности, тем лучше.
> 
> Дело в том, что нахождение некоторых приложений в чруте связано с 
> определенными проблемами. Например, у нас есть PL/Python и PL/Perl для 
> PostgreSQL, которые нет особого смысла использовать тем, кто не 
> нуждается в куче модулей последних, а эти модули в чруте как раз 
> отсутствуют.

Не все службы завязаны на остальные части системы так сильно как
это может быть с postgresql.

> Есть, конечно, механизм вроде /etc/chroot.d/postgresql.lib, но слишком 
> уж много надо переносить в общем случае. Не проще ли вытащить PostgreSQL 
> наружу, раз уж его местонахождение в чруте стало менее осмысленным?

Тут предлагают сделать это конфигурируемым посредством control.
Звучит вполне логично.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] Распределение по контейнерам

[Sergey S. Skulachenko]

On Mon, 07 Aug 2006 09:29:31 +0400
Eugene Prokopiev wrote:

> >>>Скорее бы тогда рубильник...    
> >>
> >>Миш, иногда ты говоришь загадками ;) Что ты имел ввиду?  

> Сергей, возможно вы удивитесь, но в вашем сообщении полезной
> для меня информации все-таки меньше, чем в сообщении Миши ;)

Тогда нужен рубильник...

-- 
С уважением,
С.С.Скулаченко