Re: Как правильно выполнить chroot?

2016-04-24 Пенетрантность Alexander GQ Gerasiov
On Fri, 15 Apr 2016 22:04:23 +0300 Oleksandr Gavenko wrote: > On 2016-04-14, Alexander Gerasiov wrote: > > > lxc и openvz (и еще несколько инструментов, например yandex-porto) > > это всего лишь инструменты, создающие контейнеры силами cgroups и > > namespace, реализованными

Re: Как правильно выполнить chroot?

2016-04-16 Пенетрантность Dmitry Nezhevenko
On Fri, Apr 15, 2016 at 10:23:55PM +0300, Oleksandr Gavenko wrote: > > Теперь цена в 7$/m (за EC2) не кажется такой уж большой, тогда как KVM решения > большие игроки продают не меньше чем за 5$/m. В KVM тоже свое свое ядро на каждую виртуалку. -- WBR, Dmitry signature.asc Description: PGP

Re: Как правильно выполнить chroot?

2016-04-15 Пенетрантность Oleksandr Gavenko
On 2016-04-14, Dmitry Nezhevenko wrote: > On Thu, Apr 14, 2016 at 04:47:02PM +0300, Oleksandr Gavenko wrote: >> Уже почитал chroot(2), но от schroot(1) ожидал большего > > schroot -- это всего лишь удобная обвязка вокруг chroot. > > Если нужно быстро запустить 'подозрительное' приложение,

Re: Как правильно выполнить chroot?

2016-04-15 Пенетрантность Oleksandr Gavenko
On 2016-04-14, Alexander Gerasiov wrote: > lxc и openvz (и еще несколько инструментов, например yandex-porto) это > всего лишь инструменты, создающие контейнеры силами cgroups и namespace, > реализованными в ядре. При чем максимальная степень изоляции контейнера > у них одинаковая. И механизмы

Re: Как правильно выполнить chroot?

2016-04-14 Пенетрантность Dmitry Nezhevenko
On Thu, Apr 14, 2016 at 04:47:02PM +0300, Oleksandr Gavenko wrote: > Уже почитал chroot(2), но от schroot(1) ожидал большего schroot -- это всего лишь удобная обвязка вокруг chroot. Если нужно быстро запустить 'подозрительное' приложение, рекомендую глянуть на firejail. > Мне совсем не ясна

Re: Как правильно выполнить chroot?

2016-04-14 Пенетрантность Alexander Gerasiov
Hello Oleksandr, On Thu, 14 Apr 2016 16:47:02 +0300 Oleksandr Gavenko wrote: > Мне совсем не ясна изолирующая сила cgroups + namespaces. > > В отличии от openvz у меня есть ощущение что chroot + cgroups + > namespaces создавалось для изоляции а не для безопасности. Т.е. >

Re: Как правильно выполнить chroot?

2016-04-14 Пенетрантность Oleksandr Gavenko
On 2016-04-13, Max Dmitrichenko wrote: > 12 апреля 2016 г., 10:47 пользователь Oleksandr Gavenko > написал: > >   desktop:/# ps -e >   ... > > и увидел все пользователькие процесы вне chroot. > > И совершенно справедливо, потому chroot - это не jail

Re: Как правильно выполнить chroot?

2016-04-13 Пенетрантность Max Dmitrichenko
12 апреля 2016 г., 10:47 пользователь Oleksandr Gavenko написал: > desktop:/# ps -e > ... > > и увидел все пользователькие процесы вне chroot. > И совершенно справедливо, потому chroot - это не jail какой-нибудь и не контейнер. Это просто возможность исключить

Re: Как правильно выполнить chroot?

2016-04-12 Пенетрантность Eugene Berdnikov
On Tue, Apr 12, 2016 at 12:46:04PM +0300, Oleksandr Gavenko wrote: > On 2016-04-12, Oleksandr Gavenko wrote: > > > Как правильно выполнить chroot? > > В chroot(2) написано: > > Only a privileged process (Linux: one with the CAP_SYS_CHROOT capability) > may call

Re: Как правильно выполнить chroot?

2016-04-12 Пенетрантность Oleksandr Gavenko
On 2016-04-12, Oleksandr Gavenko wrote: > Как правильно выполнить chroot? В chroot(2) написано: Only a privileged process (Linux: one with the CAP_SYS_CHROOT capability) may call chroot(). Потому я делаю: $ sudo chroot /path/to/dir Это означает что в chroot я root: chroot# id

Как правильно выполнить chroot?

2016-04-12 Пенетрантность Oleksandr Gavenko
У людей возникают вопросы биндить ли /proc /sys /dev или монтировать? Также есть советы копировать /etc/resolv.conf и /lib/modules/$(uname -r). http://unix.stackexchange.com/questions/98405/which-of-proc-sys-etc-should-be-bind-mounted-or-not-when-chrooting-into-a-r