Victor Wagner -> [email protected] @ Thu, 27 Aug 2009 12:51:56
+0400:
>> > Легко. X - по определению сетевой протокол. Только разрешить X-серверу
>> > слушать tcp и выставит в chroot дисплей localhost:0 вместо :0
>>
>> Почему localhost:0 - так секьюрнее или без этого не работает? Для
>> виртуальных
>> иксов Xvfb работать будет и :0, для Xorg не пробовал.
VW> Потому что при DISPLAY=:0 общение программы с X-сервером происходит
VW> через unix-domain сокет /tmp/.X11-unix/X0. Из chroot-а этот сокет,
VW> созданный основным X-сервером, естественно, недоступен.
VW> Положение может спасти bindmount /tmp, но вот этого, по-моему, как раз
VW> лучше не делать, ибо несекьюрно.
VW> Речь идет не о том, чтобы запустить X-сервер в chroot, а о том, чтобы
VW> сделать возможной работу X-клиента (прикладной программы), запущенной в
VW> chroot с основным X-сервером.
Витус, ты решаешь не ту задачу. Задача "chroot ради секьюрности" не стояла.
--
... и углупился в свои мысли
Кнышев
--
To UNSUBSCRIBE, email to [email protected]
with a subject of "unsubscribe". Trouble? Contact [email protected]
