[Comm] postfix sasl

В.А. Илларионов gbimobou на gmail.com
Вт Окт 25 12:20:46 MSK 2016


25.10.2016 14:45, Stas пишет:

> В такой постановке задачи выбор запуска в chroot или в корне
> несущественен. Насколько я помню, в конфигурации можно указать, как
> запускать демон.

Что-то не припоминаю, чтоб там была возможность запускать без чрута, иначе отстоял бы перед админами головной 
конторы альтову виртуалку: у меня за редким исключением контейнеры на альте. ДХЦП и перепиленный под контору 
радиус по вышестоящему требованию - на кентоси, смокпинг - на дебиане (просто на других дистрах его нет в 
готовом виде). nfqfilter всё ж на альте, но в KVM, потому что на момент его запуска в апреле-мае квагга в 
контейнере ОпенВЗ работала как-то странно, перепиливать всё под бёрд не успевали, а готовый вариант от Алексея 
Такасеева как-то не заработал в лоб. Теперь же просто лень переделывать, хотя контейнеры переехали в LXC. :)


> Задача chroot в другом - изоляция процесса, чтобы при взломе фатально
> затруднить работу злоумышленника. SElinux или механизм namespaces решают
> эту задачу изящнее и основательнее по сравнению с chroot.

Это как раз понятно. Но когда оно в контейнере, изолировать дальше некуда и чрут неуместен.

-- 
Мимо крокодил.
WBR, rednex CIO.
Viber = +7(964)103-65-67
JID = <mailto:>
Skype = $local_part@<mailto:>

Опциии rsync -aHAX --delete мозг автоматом переводит как "удалить к чёртовой матери!"



Подробная информация о списке рассылки community