On Mon, Sep 23, 2019 at 04:54:27PM +0300, Михаил Касаджиков wrote:
> Stanislav Maslovski писал(а) в своём письме
> Mon, 23 Sep 2019 16:32:46 +0300:
> > Технически это можно сделать только с правами суперюзера.
> >
> > Переключение же между GID, EGID и SGID можно делать от обычного
> >
On Mon, Sep 23, 2019 at 05:03:03PM +0300, Eugene Berdnikov wrote:
> On Mon, Sep 23, 2019 at 02:09:57PM +0100, Stanislav Maslovski wrote:
> > ИМХО, благодаря наличию компилятора в штатной системе, да ещё с полным
> > комплектом системной документации, написание своих утилит под свои же
> >
On Mon, Sep 23, 2019 at 02:09:57PM +0100, Stanislav Maslovski wrote:
> On Mon, Sep 23, 2019 at 10:53:56AM +0300, Eugene Berdnikov wrote:
> > Есть ещё sudo. Да, бутерброд выходит, но ничего самому писать на Си
> > не нужно, только скрестить правильно базовые программы. Unix-way.
>
> ИМХО,
Stanislav Maslovski писал(а) в своём письме
Mon, 23 Sep 2019 16:32:46 +0300:
On Mon, Sep 23, 2019 at 11:26:18AM +0300, Михаил Касаджиков wrote:
> Можно, конечно, поставить setgid на бинарник setpriv-а (или на копию) на
> нужную группу, но это уже выйдет как из (предварительно заглушённой)
>
On Mon, Sep 23, 2019 at 11:26:18AM +0300, Михаил Касаджиков wrote:
> > Можно, конечно, поставить setgid на бинарник setpriv-а (или на копию) на
> > нужную группу, но это уже выйдет как из (предварительно заглушённой)
> > пушки по воробьям стрелять.
>
> Есть ещё sg (симлинк на newgrp). Прав рута
On Mon, Sep 23, 2019 at 10:53:56AM +0300, Eugene Berdnikov wrote:
> On Sun, Sep 22, 2019 at 04:11:55PM +0100, Stanislav Maslovski wrote:
> > Это полезная утилита, но она требует прав рута для своей работы. А мне
> > нужно ограничить доступ для приложения, которое запускается обычным
> >
Stanislav Maslovski писал(а) в своём письме
Sun, 22 Sep 2019 18:11:55 +0300:
On Sun, Sep 22, 2019 at 01:47:13PM +0300, Eugene Berdnikov wrote:
On Sat, Sep 21, 2019 at 10:37:15PM +0100, Stanislav Maslovski wrote:
> On Sun, Sep 15, 2019 at 12:12:10PM +0300, Pavel Volkov wrote:
> > Я налуркал,
On Sun, Sep 22, 2019 at 04:11:55PM +0100, Stanislav Maslovski wrote:
> On Sun, Sep 22, 2019 at 01:47:13PM +0300, Eugene Berdnikov wrote:
> > В пакете util-linux есть setpriv(1).
>
> Это полезная утилита, но она требует прав рута для своей работы. А мне
> нужно ограничить доступ для приложения,
On Sun, Sep 22, 2019 at 01:47:13PM +0300, Eugene Berdnikov wrote:
> On Sat, Sep 21, 2019 at 10:37:15PM +0100, Stanislav Maslovski wrote:
> > On Sun, Sep 15, 2019 at 12:12:10PM +0300, Pavel Volkov wrote:
> > > Я налуркал, что в iptables есть таблица owner, где можно матчить по UID,
> > > GID, PID.
On Sat, Sep 21, 2019 at 10:37:15PM +0100, Stanislav Maslovski wrote:
> On Sun, Sep 15, 2019 at 12:12:10PM +0300, Pavel Volkov wrote:
> > Я налуркал, что в iptables есть таблица owner, где можно матчить по UID,
> > GID, PID.
> > Я использую nftables, там есть матчинг по UID, GID.
> > Может быть при
Доброго времени суток,
On Sun, Sep 15, 2019 at 12:12:10PM +0300, Pavel Volkov wrote:
> Я налуркал, что в iptables есть таблица owner, где можно матчить по UID,
> GID, PID.
> Я использую nftables, там есть матчинг по UID, GID.
> Может быть при запуске этих процессов как-то менять им GID?
У меня
Dmitry Alexandrov <321...@gmail.com> wrote:
> Pavel Volkov wrote:
>> Чтобы systemd использовал и монтировал вторые, надо добавить аргумент ядру:
>> systemd.unified_cgroup_hierarchy=1
>
> Ну да, «unified» — это как раз для первых и вторых разом.
Ай, невнятно написал. В смысле, каталог unified в
Pavel Volkov wrote:
> On вторник, 17 сентября 2019 г. 14:33:39 MSK, Dmitry Alexandrov wrote:
>> Но есть и одно большое но: Систем-д. Он предъявляет монопольное право на
>> распоряжение к-группами. Оно и на первые предъявлял, просто net_cls от него
>> был свободен. А ко вторым, как вы знаете,
Pavel Volkov wrote:
> On вторник, 17 сентября 2019 г. 14:33:39 MSK, Dmitry Alexandrov wrote:
>>> Попробую изучить cgroup-ы, а это свойство есть и в v1, и в v2?
>> Нет, это в первых. А в Дебиан уже по-умолчанию вторые завезли?
>
> Да, есть и первые, и вторые.
А, ну тогда пока все в порядке.
>
On вторник, 17 сентября 2019 г. 14:33:39 MSK, Dmitry Alexandrov wrote:
Но есть и одно большое но: Систем-д. Он предъявляет
монопольное право на распоряжение к-группами. Оно и на первые
предъявлял, просто net_cls от него был свободен. А ко вторым,
как вы знаете, все контроллеры слили в один,
On вторник, 17 сентября 2019 г. 14:33:39 MSK, Dmitry Alexandrov wrote:
# echo 1 > /sys/fs/cgroup/net_cls/inet/net_cls.classid
# iptables -A OUTPUT -m cgroup --cgroup 1 -j ACCEPT
# ip6tables -A OUTPUT -m cgroup --cgroup 1 -j ACCEPT
А, стормозил, classid — это и есть ID группы в терминах
Dmitry Alexandrov <321...@gmail.com> wrote:
> [-- text/plain, encoding quoted-printable, charset: utf-8, 138 lines --]
> "Andrey Jr. Melnikov" wrote:
> > Dmitry Alexandrov <321...@gmail.com> wrote:
> >> [-- text/plain, encoding quoted-printable, charset: utf-8, 51 lines --]
> >
> >> Dmitry
Dmitry Alexandrov <321...@gmail.com> wrote:
> [-- text/plain, encoding quoted-printable, charset: utf-8, 138 lines --]
[...]
> > Те, кто может добраться до antizapret.info/api.php - им это уже и не надо.
> Почему это? Это же просто база зацензуренных в России адресов? Как она тут
> поможет?
On вторник, 17 сентября 2019 г. 14:33:39 MSK, Dmitry Alexandrov wrote:
Но входящих коннектов с SOCKS не будет, а для битторрента это
было бы хорошо.
Стоп. Это разные задачи, и к ним разные решения. Для
битторента — это значит для сервера; а раз для сервера — значит
вопрос «чем заменить
"Andrey Jr. Melnikov" wrote:
> Dmitry Alexandrov <321...@gmail.com> wrote:
>> [-- text/plain, encoding quoted-printable, charset: utf-8, 51 lines --]
>
>> Dmitry Alexandrov <321...@gmail.com> wrote:
>> > Pavel Volkov wrote:
>> >> добиться, чтобы пакеты, генерируемые избранными процессами,
Pavel Volkov wrote:
> On понедельник, 16 сентября 2019 г. 04:35:19 MSK, Dmitry Alexandrov wrote:
>> SOCKS proxy не проще настроить, не?
>
> Но входящих коннектов с SOCKS не будет, а для битторрента это было бы хорошо.
Стоп. Это разные задачи, и к ним разные решения. Для битторента — это значит
Dmitry Alexandrov <321...@gmail.com> wrote:
> [-- text/plain, encoding quoted-printable, charset: utf-8, 51 lines --]
> Dmitry Alexandrov <321...@gmail.com> wrote:
> > Pavel Volkov wrote:
> >> добиться, чтобы пакеты, генерируемые избранными процессами, например
> >> Firefox, содержали в
On понедельник, 16 сентября 2019 г. 04:35:19 MSK, Dmitry Alexandrov wrote:
SOCKS proxy не проще настроить, не? Или у вас процессы
недоверенные? Ну тогда можно в сочетании с мандатным контролем
— чтобы никуда, кроме него, не подключались (остается, правда,
проблема с утечками DNS).
Я
Dmitry Alexandrov <321...@gmail.com> wrote:
> Pavel Volkov wrote:
>> добиться, чтобы пакеты, генерируемые избранными процессами, например
>> Firefox, содержали в заголовке определённое значение TOS? По этому признаку
>> я хочу заворачивать их в VPN-интерфейс на роутере.
>
> SOCKS proxy не
Pavel Volkov wrote:
> Хочу странного.
Да нет, идея звучит очень здраво. Но на всякий случай спрошу:
> Как вы думаете, можно ли добиться, чтобы пакеты, генерируемые избранными
> процессами, например Firefox, содержали в заголовке определённое значение
> TOS? По этому признаку я хочу
On воскресенье, 15 сентября 2019 г. 18:37:11 MSK, Andrey Jr. Melnikov
wrote:
запусти в соседнем namespace с отдельной IPшкой и заворачивай как попало
куда попало.
Когда-то я так делал, но с какой-то версии Firefox при запуске из сетевого
неймспейса стал рисоваться уродливый дифолтный курсор
Pavel Volkov wrote:
> Хочу странного.
> Как вы думаете, можно ли добиться, чтобы пакеты, генерируемые избранными
> процессами, например Firefox, содержали в заголовке определённое значение
> TOS?
> По этому признаку я хочу заворачивать их в VPN-интерфейс на роутере.
запусти в соседнем namespace
27 matches
Mail list logo
