[Comm] postfix sasl
В.А. Илларионов
gbimobou на gmail.com
Вт Окт 25 12:20:46 MSK 2016
25.10.2016 14:45, Stas пишет:
> В такой постановке задачи выбор запуска в chroot или в корне
> несущественен. Насколько я помню, в конфигурации можно указать, как
> запускать демон.
Что-то не припоминаю, чтоб там была возможность запускать без чрута, иначе отстоял бы перед админами головной
конторы альтову виртуалку: у меня за редким исключением контейнеры на альте. ДХЦП и перепиленный под контору
радиус по вышестоящему требованию - на кентоси, смокпинг - на дебиане (просто на других дистрах его нет в
готовом виде). nfqfilter всё ж на альте, но в KVM, потому что на момент его запуска в апреле-мае квагга в
контейнере ОпенВЗ работала как-то странно, перепиливать всё под бёрд не успевали, а готовый вариант от Алексея
Такасеева как-то не заработал в лоб. Теперь же просто лень переделывать, хотя контейнеры переехали в LXC. :)
> Задача chroot в другом - изоляция процесса, чтобы при взломе фатально
> затруднить работу злоумышленника. SElinux или механизм namespaces решают
> эту задачу изящнее и основательнее по сравнению с chroot.
Это как раз понятно. Но когда оно в контейнере, изолировать дальше некуда и чрут неуместен.
--
Мимо крокодил.
WBR, rednex CIO.
Viber = +7(964)103-65-67
JID = <mailto:>
Skype = $local_part@<mailto:>
Опциии rsync -aHAX --delete мозг автоматом переводит как "удалить к чёртовой матери!"
Подробная информация о списке рассылки community