Re: systemd (sysvinit осиротел, галактико опасносте!)

To: debian-russian@lists.debian.org
Subject: Re: systemd (sysvinit осиротел, галактико опасносте!)
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Thu, 3 Mar 2016 20:58:03 +0300
Message-id: <[🔎] 20160303205803.7739566d@wagner.wagner.home>
In-reply-to: <[🔎] 871t7rea6m.fsf@silver.lasgalen.net>
References: <20160207092604.GA9046@darkstar.order.hcn-strela.ru> <CAO+do4B==pCtjkC7KzuQT3i3QEMUOiC3s1G0yrVE1gj3+zTPVA@mail.gmail.com> <[🔎] 20160302090840.GA6935@vdsl.uvw.ru> <[🔎] 20160302130852.GB545@darkstar.order.hcn-strela.ru> <[🔎] 20160302153036.GA32280@vdsl.uvw.ru> <[🔎] 20160302155852.GA1853@darkstar.order.hcn-strela.ru> <[🔎] 20160303103917.GB32280@vdsl.uvw.ru> <[🔎] CAF-CHQNPXQhYgj5jgZmPhWg0XgkHzyuZ_Ed-7-SJP+dO4pvozQ@mail.gmail.com> <[🔎] 20160303122004.GC32280@vdsl.uvw.ru> <[🔎] 87fuw7elq9.fsf@silver.lasgalen.net> <[🔎] 20160303135817.GB21513@lammetrie.homelinux.org> <[🔎] 871t7rea6m.fsf@silver.lasgalen.net>

On Thu, 03 Mar 2016 20:35:45 +0300
Artem Chuprina <ran@lasgalen.net> wrote:

> Иван Лох -> debian-russian@lists.debian.org  @ Thu, 3 Mar 2016
> 16:58:17 +0300:
> 
>  >> подумали...  systemd предлагает более суровый подход с cgroup.
>  >> Более суровый в том смысле, что из сессии можно уйти - и можно,
>  >> соответственно, запустить процесс, который переживет сессию.  А
>  >> группу, в которую это засунет systemd, как я понимаю, пережить
>  >> нельзя.  Для  
> 
>  ИЛ> А если cgclassify в другую группу (или корневую)?  
> 
> А это можно сделать без рута?  Если и да, то это явно должно
> рассматриваться как security hole, потому что позволяет обойти лимиты
> ресурсов.
> 
> nohup рута не требует.
> 

По хорошему счету у юзера должно быть две группы, одна для
интерактивной сессии, вторая для фоновых задач, и перевод задач из
одной из них в другую должен быть ему разрешен.

Но это примерно то же, что и идея выделять на shared-хостинге клиенту
двух юзеров, объединенных в группу - одного для того, чтобы он файлами
владел, которые по ftp/ssh выкладываются, второго - чтобы от его имени
cgi-скрипты исполнялись.

Кажется тривиальным, но так никто не делает, хотя исполнение скриптов
от того же юзера, что имеет право писать во все файлы, включая эти
самые скрипты - явная security hole.

-- 
                                   Victor Wagner <vitus@wagner.pp.ru>

Reply to:

Follow-Ups:
- Re: systemd (sysvinit осиротел, галактико опасносте!)
  - From: Artem Chuprina <ran@lasgalen.net>

References:
- Re: systemd (sysvinit осиротел, галактико опасносте!)
  - From: "Dmitry E. Oboukhov" <unera@debian.org>
- Re: systemd (sysvinit осиротел, галактико опасносте!)
  - From: Sergey Kirpichev <skirpichev@gmail.com>
- Re: systemd (sysvinit осиротел, галактико опасносте!)
  - From: "Dmitry E. Oboukhov" <unera@debian.org>
- Re: systemd (sysvinit осиротел, галактико опасносте!)
  - From: Sergey B Kirpichev <skirpichev@gmail.com>
- Re: systemd (sysvinit осиротел, галактико опасносте!)
  - From: "Dmitry E. Oboukhov" <unera@debian.org>
- Re: systemd (sysvinit осиротел, галактико опасносте!)
  - From: Konstantin Matyukhin <kmatyukhin@gmail.com>
- Re: systemd (sysvinit осиротел, галактико опасносте!)
  - From: "Dmitry E. Oboukhov" <unera@debian.org>
- Re: systemd (sysvinit осиротел, галактико опасносте!)
  - From: Artem Chuprina <ran@lasgalen.net>
- Re: systemd (sysvinit осиротел, галактико опасносте!)
  - From: Иван Лох <loh@1917.com>
- Re: systemd (sysvinit осиротел, галактико опасносте!)
  - From: Artem Chuprina <ran@lasgalen.net>

Prev by Date: Re: systemd (sysvinit осиротел, галактико опасносте!)
Next by Date: Re: systemd (sysvinit осиротел, галактико опасносте!)
Previous by thread: Re: systemd (sysvinit осиротел, галактико опасносте!)
Next by thread: Re: systemd (sysvinit осиротел, галактико опасносте!)
Index(es):
- Date
- Thread