[Comm] postfix sasl

Stas stas.grumbler на gmail.com
Вт Окт 25 09:45:29 MSK 2016



On 25.10.2016 11:26, В.А. Илларионов wrote:
> 25.10.2016 12:45, Stas пишет:
>> On 25.10.2016 06:27, В.А. Илларионов wrote:
>>> 21.10.2016 15:47, Anton Gorlov пишет:
>>>> chroot, как мне кажется в настоящие время скорее костыль из прошлого,
>>>> когда есть lxc и прочие докеры
>>> Яростно плюсую. Особенно касательно ДХЦП-сервера, который не выполняет
>>> скрипты, когда зачручен. Пришлось в LXC развернуть кентось из-за этого.
>> Это большой оверхед.
>>
>> Чтобы сделать без лишних затрат ресурсов, нужно:
>> - либо в chroot подцепить нужные каталоги с помощью mount --bind  и тут
>> же перемонтировать их в ro, и тут сильно не хватает возможности вызвать
>> свой скрипт из стандартных в /etc/chroot.d/
>> - либо без chroot акуратно выставить разрешения, используя namespaces.
>>
>> Второй вариант универсальнее и хорошо сочетается с systemd
>
> В условиях провайдера, невзирая на оверхед, предпочтителен расклад
> "одна задача - одна виртуалка". Крайне желательно, чтоб задача для
> виртуалки работала "искаропки" и поднималась без самописных костылей,
> в которых когда-нибудь предстоит разбираться кому-то другому. Совсем
> замечательно, если виртуалки умеют мигрировать с сервера на сервер.

В такой постановке задачи выбор запуска в chroot или в корне
несущественен. Насколько я помню, в конфигурации можно указать, как
запускать демон.

Задача chroot в другом - изоляция процесса, чтобы при взломе фатально
затруднить работу злоумышленника. SElinux или механизм namespaces решают
эту задачу изящнее и основательнее по сравнению с chroot.

-- 
Станислав Дёгтев
Служба "Ваш админ"
 Мои контакты:
 - jabber: grumbler на grumbler.org
 - email: stas.grumbler на gmail.com и stas на vashadmin.su
 - телефоны в Е-бурге +79045430461 и +79222112259



Подробная информация о списке рассылки community