Друзяки, подскажите как запилить следующий бред: есть сервер на котором запускается туева хуча однотипных процессов/приложений, каждый процесс юзает файлы в одределённой директории, но теоретически ( да фигла там, и практически тоже) может получить доступ к другим директориям, как не дать процессу выползти из своей диры? Создавать тьму пользователей — не катит. Чрутить каждый запускаемый процесс — тоже не катит? Что делать, как с этим жить?

Tagged with →  

22 Responses to Сервер и процессы

  1. Tcumo:

    может это поможет? Особое внимание стоит обратить на «Но если форкнуть баш прямо в этом каталоге — на него, естественно, будут все права»

  2. NomSm:

    : Я, честно говоря, начал курить selinux, но что-то мне подсказывает что не осилю.

  3. Tcumo:

    : я selinux честно говоря даже не видел. Ты может задачу подробней опишешь?

  4. NomSm:

    : запускаемых процессов 100500, уменьшение производительности, всю систему управления этими процессами ломать придётся.

  5. V-nFcuk:

    : откуда дровишки про уменьшение производительности?

  6. DSLbad:

    : Ты не мог не видеть — эта хуйня по дефолту грузится почти всегда.
    Первым делом после установки сервера я его выключаю.

  7. Sauef:

    : А приложения сильно короткоживущие?

  8. NomSm:

    : месяц максимум.

  9. NomSm:

    Stephan-V: почему то всегда казалось, что через «прокладки» разные софт работает медленнее, чем напрямую с ОС и железом.

  10. V-nFcuk:

    : здесь нет прокладок

  11. Tcumo:

    : по дефолту грузиться в дебиане или в арче?

  12. Drasuper:

    А процесс приучен к тому, что бы у него не было доступа к нужным файлам?

  13. NomSm:

    : В дебиане точно не грузится. Но ставится из базовых репозиториев.

  14. NomSm:

    : я вот прочитал твой коммент и понял что нихрена не смыслю в архитектуре ПО.
    То есть я смутно представляю себе что может понадобится софтине, которая устанавливается на сервер тупым копированием, в /var или /proc.

  15. Sauef:

    : В /proc? Да, с архитектурой надо что-то делать.

  16. Tcumo:

    : копированием в /proc? Месье знает толк.

  17. NomSm:

    : : /proc случайно вырвалось, всё не на столько плохо, дяденьки не бейте.
    Я в принципе понимаю, что для работы софта нужны ресурсы ОС. Но с selinux я запутался до стакана вискаря, к сожалению.

  18. Tcumo:

    : strace -o st.txt You_proc_name
    grep «open|close|write» st.txt

  19. V-nFcuk:

    : у strace есть возможность перечислить интересующие системные вызовы, не за чем колхоз городить

  20. V-nFcuk:

    : олсо, только опен стоит трэйсить

  21. Tcumo:

    Stephan-V: я пока не настоящий сварщик, приму к сведению. Спасибо.

Добавить комментарий