Re: X приложение из под chroot
On 06.10.2009 15:40, Victor Wagner wrote:
> В /tmp не только сокет X-сервера, там например еще
> сокеты ssh-агентов.
Ну так пробросить только /tmp/.X11-unix/, а не целиком /tmp, и всего делов-то.
> Вот если, конечно, chroot заводится только ради того, чтобы
> подложить приложению более другие версии библиотек, тогда и так можно.
>
> Опять же, приложение, которое ходит к X-серверу по TCP уронит этот
> X-сервер существенно с меньшей вероятностью.
shrug. Недавний баг в XGetImage происходил без всякой общей памяти.
Самый свежий, жирный, и багоопасный GLX по сети вполне себе ходит, но при этом
код libGL исполняется в контексте Xserver, а не приложения (indirect rendering);
так что если какой баг и вылезет в этом плане, он с большей вероятностью уронит
сервер, а не приложение. Плюс, очевидно, этот codepath используется реже, а
поэтому вероятность нарваться на незамеченный баг больше.
> Потому что ему не дадут всяких расширений X-протокола, которые требуют общей памяти и
> прочих local-only средств общения с сервером. А они куда менее отлажены
> и более дырявы чем старый добрый core protocol.
shrug. И кто же это? За вычетом glx (который, как отмечено выше, более "опасен"
как раз в сетевом варианте), в голову приходит только xshm. Чего в нём такого
сложного и потенциально дырявого - с лупой не разглядишь.
Со всем остальным - всей разницы между host:0 и :0 - только в большем оверхеде
на tcp-сокетах.
Reply to: