[FreeBSD] Jail kerdes
Ágoston
ago at mailbox.hu
2001. Már. 24., Szo, 16:30:45 CET
Idézet Attila Nagy <bra at fsn.hu> leveléből
> > Van ra valami modszer, hogy megmondhassam, hogy egy jail maximum
> > mennyi eroforrast (cpu/memoria) ehet? Koszi
> Talan ugy, hogy a jailben futo cuccokat indito rc script elejen
> szabalyozod, de ez is leginkabb csak az adott felhasznalora fog
> vonatkozni, tehat nem a teljes jailre.
Azon gondolkodom egyfolytaban, mikor a jail() szoba kerul, hogy miben
tud ez tobbet, mint a chroot? Mert mit is csinal a dolog tulajdonkeppen?
Ahogy egy elozo levelben volt leirva, es a chroot()-ot is mindig igy
intezte az emberfia, ldd-vel megnezed, hogy mi kell a program
mukodesehez, azokat bemasolod az adott particiora (legalabbis en minden
chroot-ot kulon partira tettem mindig). Bemasolja az ember a konfig meg
egyeb szukseges fileokat is plusszba es az inditoszkriptben erre
hivatkozik. Aztan ennyi. Ha root jogosultsag van, akkor sanyi, mert ki
lehet torni a jailbol. Igazabol valami olyasmire vagynek, mint ami linux
alatt letezik mar, hogy le lehet szedni a CAP_SYS_CHROOT -ot dinamikusan
az alkalmazasrol. Szoval eliditom, majd ahogy elindul egy megfelelo
API-n keresztul leszedem rola ezt a capability-t. Van valamilyen
capabilities kiegeszites BSD ala ? Talan a TrustedBSD tud ilyet?
Udv,
Ago
--------------------------------------------------
Mi az Ön MailBox címe? - http://mailbox.hu
További információk a(z) BSD levelezőlistáról