[sisyphus] security_contexts, tcb_unix

[Peter V. Saveliev]

...

Хочу спросить, как народ относится к vserver,
http://www.solucorp.qc.ca/miscprj/s_context.hc.

В смысле мнений по безопасности использования и т.д. Судя по версиям
патчей для ядер, проект поддерживается.

Собрал ядро с security_contexts, работает пока без нареканий, вот только
часть патчей с vserver конфликтует - пришлось пока без них.

++ про юзание:

Есть, правда, у него одна загвоздка - там выставлено, что в
security_context, отличном от main, права 000 запрещают доступ даже
root.

А adduser через tcb как раз и использует chmod 000, что приводит к
невозможности создания новых пользователей. Откат на shadow, само собой,
безболезненно не проходит... Поскольку он в сизифе зарезан накорню так,
что и не восстановить толком...

Проявляется только на loopback-devices и lvm, кстати, что, видимо, бага -
должно везде, согласно докам. А lvm - единственный разумый способ
разбежаться с квотированием дискового пространства по серверам.

Потому вопросы:

1) можно ли в сизифе всё же оставить shadow как альтернативную схему?
Не по умолчанию, но не убивая совсем? А кто знает, как - настроит.

2) может, подумать насчёт средств a-la vserver/usermode в сизифе? Из
всего, что, нашёл, vserver показался наиболее удачным решением.

-- 
Sincerely, Peter V. Saveliev

E-mail: peet на eltel.net
Jabber: peet на jabber.ru