On Fri, 15 Apr 2016 22:04:23 +0300
Oleksandr Gavenko wrote:
> On 2016-04-14, Alexander Gerasiov wrote:
>
> > lxc и openvz (и еще несколько инструментов, например yandex-porto)
> > это всего лишь инструменты, создающие контейнеры силами cgroups и
> > namespace, реализованными
On Fri, Apr 15, 2016 at 10:23:55PM +0300, Oleksandr Gavenko wrote:
>
> Теперь цена в 7$/m (за EC2) не кажется такой уж большой, тогда как KVM решения
> большие игроки продают не меньше чем за 5$/m.
В KVM тоже свое свое ядро на каждую виртуалку.
--
WBR, Dmitry
signature.asc
Description: PGP
On 2016-04-14, Dmitry Nezhevenko wrote:
> On Thu, Apr 14, 2016 at 04:47:02PM +0300, Oleksandr Gavenko wrote:
>> Уже почитал chroot(2), но от schroot(1) ожидал большего
>
> schroot -- это всего лишь удобная обвязка вокруг chroot.
>
> Если нужно быстро запустить 'подозрительное' приложение,
On 2016-04-14, Alexander Gerasiov wrote:
> lxc и openvz (и еще несколько инструментов, например yandex-porto) это
> всего лишь инструменты, создающие контейнеры силами cgroups и namespace,
> реализованными в ядре. При чем максимальная степень изоляции контейнера
> у них одинаковая. И механизмы
On Thu, Apr 14, 2016 at 04:47:02PM +0300, Oleksandr Gavenko wrote:
> Уже почитал chroot(2), но от schroot(1) ожидал большего
schroot -- это всего лишь удобная обвязка вокруг chroot.
Если нужно быстро запустить 'подозрительное' приложение, рекомендую
глянуть на firejail.
> Мне совсем не ясна
Hello Oleksandr,
On Thu, 14 Apr 2016 16:47:02 +0300
Oleksandr Gavenko wrote:
> Мне совсем не ясна изолирующая сила cgroups + namespaces.
>
> В отличии от openvz у меня есть ощущение что chroot + cgroups +
> namespaces создавалось для изоляции а не для безопасности. Т.е.
>
On 2016-04-13, Max Dmitrichenko wrote:
> 12 апреля 2016 г., 10:47 пользователь Oleksandr Gavenko
> написал:
>
> desktop:/# ps -e
> ...
>
> и увидел все пользователькие процесы вне chroot.
>
> И совершенно справедливо, потому chroot - это не jail
12 апреля 2016 г., 10:47 пользователь Oleksandr Gavenko
написал:
> desktop:/# ps -e
> ...
>
> и увидел все пользователькие процесы вне chroot.
>
И совершенно справедливо, потому chroot - это не jail какой-нибудь и не
контейнер. Это просто возможность исключить
On Tue, Apr 12, 2016 at 12:46:04PM +0300, Oleksandr Gavenko wrote:
> On 2016-04-12, Oleksandr Gavenko wrote:
>
> > Как правильно выполнить chroot?
>
> В chroot(2) написано:
>
> Only a privileged process (Linux: one with the CAP_SYS_CHROOT capability)
> may call
On 2016-04-12, Oleksandr Gavenko wrote:
> Как правильно выполнить chroot?
В chroot(2) написано:
Only a privileged process (Linux: one with the CAP_SYS_CHROOT capability)
may call chroot().
Потому я делаю:
$ sudo chroot /path/to/dir
Это означает что в chroot я root:
chroot# id
У людей возникают вопросы биндить ли /proc /sys /dev или монтировать?
Также есть советы копировать /etc/resolv.conf и /lib/modules/$(uname -r).
http://unix.stackexchange.com/questions/98405/which-of-proc-sys-etc-should-be-bind-mounted-or-not-when-chrooting-into-a-r
11 matches
Mail list logo