Pull to refresh

Comments 9

По сравнению с selinux, выглядит как полные костыли.
SeLinux, к сожалению, отсутствует в FreeBSD

это тот selinux, который первым делом отключают при инсталляции кубернетис? да-а — selinux полезен.

если руки из ж чем поможет кубернетис? разрабы всегда обожают пускать свои писульки с максимальными правами и с отключенными firewall.

какие разрабы? — СКА! "первым делом выключаем selinux" ©
поэтому если изделие N1 анб так хорошо, отчего ж его первым делом-то выключать?
и это не только кубик… в knowledge base самого redhat'а при проблемах с их же (RH) продуктами (которые, правда, только обновились) первейший совет — попробовать без selinux :)
ой, не умеют, видать, в RH его готовить...

Это не означает что выключить совсем и забыть, а временно для проверки. Если проблема в нем, то ковырять надо уже его. Не всегда ибо очевидно, что именно selinux мешает.
В любом случае идея с лейблами гораздо разумнее chown-а на системные файлы, только для работы apache из под jail. Как мне кажется, после этого, смысл jail уже теряется. Какой смысл что-то защищать, если процесс апача может системные либы как хочешь крутить — он же овнер.

"временно" в 90% случает означает "навсегда".
работает — не трожь (С), не так ли? :)
и вам действительно "сильно кажется", что смысл jail теряется…
добавлю, что root внутри docker == root в host-системе.
в отличие от jail.

Видимо Вы не внимательно читали статью, повнимательней прочитайте про «флаги» неизменяемости, с установленным данным флагом даже root не чего не сможет с этими файлами сделать, по умолчанию в jail данные «флаги» нельзя снимать, или устанавливать, поэтому у меня написано устанавливать данные «флаги» не из jail, по этой причине данные системные файлы не как не удалить и не модифицировать даже владельцу.
Я после этого комментария все внимательнее пересмотрел, да флаги стоят и запрещают модифицировать данные файлы, и снять их можно только вне jail из под root.
Кстати, это не запрещает апачу размещать новые файлы в либах…
И еще один момент не понял:
chflags schg /jails/famp/lib
chflags schg /jails/famp/usr
chflags schg /jails/famp/usr/lib
chflags schg /jails/famp/usr/local
chflags schg /jails/famp/usr/local/lib

chflags -R schg /jails/famp/lib
chflags -R schg /jails/famp/usr/lib
chflags -R schg /jails/famp/usr/local/lib

Разве есть смысл в 1,3,5 строках, ниже делается это же рекурсивно?

И все же, свое мнение из первого комментария, я не изменил — выглядит как один большой костыль.
Sign up to leave a comment.

Articles