On 26.08.2009 23:27, Alexey Pechnikov wrote:
>> Легко. X - по определению сетевой протокол. Только разрешить X-серверу
>> слушать tcp и выставит в chroot дисплей localhost:0 вместо :0
> Почему localhost:0 - так секьюрнее или без этого не работает?
Если не пробросить mount --bind {,/chroot}/tmp - не работает. Если пробросить -
работает и без этого.
Помимо этого, нужно внутрь chroot пробросить "${XAUTHORITY-$HOME/.Xauthority}"
(man xauth; это обычный файл, поэтому можно и без mount --bind) [ну, или
пробросить целиком /home].
Безопасность приблизительно одинаковая; теоретически, разрешение X'ам работать
по tcp вообще чуть-чуть менее безопасно, но (в присутствии файрвола)
практическая разница близка к нулевой.
Если chroot делать не для безопасности, а для поддержки user-level от нескольких
систем - /dev{,/pts,/shm} /proc{,/bus/usb}
/sys{,/fs/fuse/connections,/kernel/debug} {,/var}/tmp /home /usr/src и,
возможно, /usr/local и без того должны быть проброшены, и всё будет работать без
специальных манипуляций ;-)
--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
