Re: X приложение из под chroot
On 2009.10.06 at 00:36:14 +0400, Artem Chuprina wrote:
> Nicholas -> debian-russian@lists.debian.org @ Mon, 05 Oct 2009 15:19:14 +0000:
>
> N> Научился запускать X приложение от "другого пользователя" (su guest):
> N> sudo /usr/X11R6/bin/xhost +
> N> sudo su guest
> N> DISPLAY=:0.0
> N> iceweasel
> N> ok, работает
>
> N> Теперь пытаюсь запустить X приложение из под chroot:
> N> $sudo mount -o bind /dev /virtual/lenny_1/dev
> N> $sudo mount -o bind /sys /virtual/lenny_1/sys
> N> $sudo mount -o bind /proc /virtual/lenny_1/proc
>
> $ sudo mount -o bind /tmp /virtual/lenny_1/tmp
> Подозреваю.
Во-первых, этого может оказаться мало. Может еще пользовательский
~/.Xauthority понадобится.
Во-вторых, я бы так делать не советовал. Лучше разрешить X-серверу
слушать на TCP, и указывать в chroot DISPLAY=localhost:0.0. Оно
безопаснее. Особенно если не забыть перекрыть файрволлом коннекты к
X-серверу извне. В /tmp не только сокет X-сервера, там например еще
сокеты ssh-агентов. Поэтому bind-mount /tmp и ${HOME} в значительной
степени обесценивает chroot как метод изоляции приложения.
Вот если, конечно, chroot заводится только ради того, чтобы
подложить приложению более другие версии библиотек, тогда и так можно.
Опять же, приложение, которое ходит к X-серверу по TCP уронит этот
X-сервер существенно с меньшей вероятностью. Потому что ему не дадут
всяких расширений X-протокола, которые требуют общей памяти и прочих
local-only средств общения с сервером. А они куда менее отлажены и более
дырявы чем старый добрый core protocol.
> N> $sudo chroot /virtual/lenny_1 /bin/su -l
> N> #DISPLAY=:0.0
> N> # iceweasel
> N> Error: cannot open display: :0.0
> N> # su guest
> N> guest@lenny1:/root$ iceweasel
> N> Error: cannot open display: :0.0
>
>
> N> Что нужно сделать/поставить, что бы запустить клиент X из под chroot () ?
>
> --
> Лень оправдывает средства
>
>
> --
> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
Reply to: