|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Anton Shuko 2:5005/66 06 Sep 2005 20:29:39
To : Slava Astashonok
Subject : mount/umount в виртуальном контекте (vserver)
--------------------------------------------------------------------------------
06 Sep 05 11:03, you wrote to me:
>> SA> А почему бы это не проделать из нулевого контекста? Если по
>> SA> условию задачи, то man 7 capabilities про CAP_SYS_ADMIN.
>> дык из него и пробовал. непомню пробовал ли из контекста 1, откуда
>> все процессы видны. нада проверить еще раз. /vservers/root - это
пока не попробовал. задолбали всякой хренью. завтра попробую добраться...
>> монтируется из нулевого контекста /vservers/root/фигня - это
>> монтируется из контекста виртуального сервера и не видно из нулевого
>> или других. для них этой точки монтирования не существует.
SA> А в этом действительно есть необходимость, монтировать изнутри
SA> виртуального контекста? Это и capability лишний нужен и ноды в /dev
SA> аккуратно делать. Я это делаю из нулевого контекста:
SA> root@epsilon:~# mount
SA> ...
SA> /dev/evms/10.root on /var/lib/vservers/10 type xfs (rw)
SA> /dev/evms/10.var on /var/lib/vservers/10/var type xfs (rw)
SA> /dev/evms/10.tmp on /var/lib/vservers/10/var/tmp type xfs (rw)
SA> /dev/evms/11.root on /var/lib/vservers/11 type xfs (rw)
SA> /dev/evms/11.var on /var/lib/vservers/11/var type xfs (rw)
SA> /dev/evms/11.tmp on /var/lib/vservers/11/var/tmp type xfs (rw)
SA> ...
не изнутри. это сами скрипты так делают. я юзаю новую версию, где целая
деревяшка скриптов. просто создаю fstab где прописываю точки монтирования
в относительных (а не абсолютных) путях и вперед. оно дальше само монтируется
и само создает нужный mtab для виртуального сервера. когда-то я делал
виртуальные сервера на chroot + grsec. там было не так красиво. вобщем мне эта
изоляция виртуальных систем от всего, в том числе от папы, нравится. нехватает
только некоторых вещей, которые и хочу преодолеть. и походу монтирование тут не
так важно. важно уметь менять капы на лету, без убивания виртуальной системы.
у меня же не игрушка, которую можно ребутить по 10раз в день. даже на рестарт
апача/ресина требуется долго выпрашивать разрешение...
аптаймы систем - сотни дней. несколько серверов к 500 подползают :)
>> а из контекста виртуального сервера я не могу отмонтировать потому
>> что там ограничение стоит и оно ихними тулзами не снимается. они
>> могут только капы отрезать, но не добавлять, а нада иногда... походу
>> при старте виртуального сервера создается контекст, маунтятся нужные
>> девайсы, сетевые устройства и после этого _понижаются_ привелегии и
>> запускается инит виртуальной системы... и так до тех пор пока
>> сервер не убьеш. может и железно, но неудобно :( ЗЫ: попробую сырцы
>> покопать той тулзы, что капы отрезает. может присобачу к
>> ней добавление капов, если такая функция в идре есть...
SA> А добавить CAP_SYS_ADMIN в S_CAPS виртуального контекста, если это
SA> действительно требуется? У меня контекст с CAP_SYS_ADMIN, свободно
SA> монтирует/размонтирует внутри себя, и более того, содержимое
fuse им в помощь :)
SA> смонтированного видно из нулевого контекста, и оттуда же без проблем
а мне хочется, чтобы даже 0 контекст не видел систему после запуска. флажок
private есть, флаги в /proc для данного контекста действительно меняет, но
почему-то с нулевого контекста туда можно попасть :(
SA> размонтируется. Это vserver 2.0 на ядре 2.6.11.
угу. тоже юзаю. только считаю, что нефиг. пусть живет кастрированным, но если
захочу - могу дать и отобрать. когда захочу и без рестарта.
разработчики еще проблему с lo интерфейс нерешили. нада полностью виртуализовать
и каждому свой. щас неудобно. дыра. как выкручиваешься?
Anton
--- GoldED/W32 3.0.1
* Origin: Пиво пить - здоровым быть !!! (2:5005/66)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
