Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 9
По сравнению с selinux, выглядит как полные костыли.
SeLinux, к сожалению, отсутствует в FreeBSD
это тот selinux, который первым делом отключают при инсталляции кубернетис? да-а — selinux полезен.
если руки из ж чем поможет кубернетис? разрабы всегда обожают пускать свои писульки с максимальными правами и с отключенными firewall.
какие разрабы? — СКА! "первым делом выключаем selinux" ©
поэтому если изделие N1 анб так хорошо, отчего ж его первым делом-то выключать?
и это не только кубик… в knowledge base самого redhat'а при проблемах с их же (RH) продуктами (которые, правда, только обновились) первейший совет — попробовать без selinux :)
ой, не умеют, видать, в RH его готовить...
Это не означает что выключить совсем и забыть, а временно для проверки. Если проблема в нем, то ковырять надо уже его. Не всегда ибо очевидно, что именно selinux мешает.
В любом случае идея с лейблами гораздо разумнее chown-а на системные файлы, только для работы apache из под jail. Как мне кажется, после этого, смысл jail уже теряется. Какой смысл что-то защищать, если процесс апача может системные либы как хочешь крутить — он же овнер.
В любом случае идея с лейблами гораздо разумнее chown-а на системные файлы, только для работы apache из под jail. Как мне кажется, после этого, смысл jail уже теряется. Какой смысл что-то защищать, если процесс апача может системные либы как хочешь крутить — он же овнер.
"временно" в 90% случает означает "навсегда".
работает — не трожь (С), не так ли? :)
и вам действительно "сильно кажется", что смысл jail теряется…
добавлю, что root внутри docker == root в host-системе.
в отличие от jail.
Видимо Вы не внимательно читали статью, повнимательней прочитайте про «флаги» неизменяемости, с установленным данным флагом даже root не чего не сможет с этими файлами сделать, по умолчанию в jail данные «флаги» нельзя снимать, или устанавливать, поэтому у меня написано устанавливать данные «флаги» не из jail, по этой причине данные системные файлы не как не удалить и не модифицировать даже владельцу.
Я после этого комментария все внимательнее пересмотрел, да флаги стоят и запрещают модифицировать данные файлы, и снять их можно только вне jail из под root.
Кстати, это не запрещает апачу размещать новые файлы в либах…
И еще один момент не понял:
Разве есть смысл в 1,3,5 строках, ниже делается это же рекурсивно?
И все же, свое мнение из первого комментария, я не изменил — выглядит как один большой костыль.
Кстати, это не запрещает апачу размещать новые файлы в либах…
И еще один момент не понял:
chflags schg /jails/famp/lib
chflags schg /jails/famp/usr
chflags schg /jails/famp/usr/lib
chflags schg /jails/famp/usr/local
chflags schg /jails/famp/usr/local/lib
chflags -R schg /jails/famp/lib
chflags -R schg /jails/famp/usr/lib
chflags -R schg /jails/famp/usr/local/lib
Разве есть смысл в 1,3,5 строках, ниже делается это же рекурсивно?
И все же, свое мнение из первого комментария, я не изменил — выглядит как один большой костыль.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Мандатная модель распределения прав в FreeBSD v.2.0