[Перевод] Привилегированные порты — причина глобального потепления

Комментарии (5)

  • 11 июля 2017 в 23:53

    0

    Так все-таки не понятно, как по мнению автора ядро должно будет решать, какому из 50-ти пользовательских апачей разных пользователей отдать прилетевшее tcp-соединение, если у сервера ровно 1 ip-ник.
    • 12 июля 2017 в 01:06

      0

      Назначить серверу 1000000 IP’шников, не? Всё-таки у нас IPv6 уже «на мази», а все предлагаемые изменения не пару часов займут.
    • 12 июля 2017 в 01:49

      0

      nginx’у.

  • 12 июля 2017 в 01:20

    0

    И ещё. Бритьё быка — это садизм какой-то. За что, почему?

    Як — это далеко не всякий бык! Як — это таки як:
    imageЕсли вы на него посмотрите — то сразу поймёте, что просто так его не постричь: машинка сразу же забьётся. Да и потом — если вы его «побреете», то он ночью замёрзнет. Потому с него не снимают всю шерсть машинкой, как с овцы (что занимает секунды у высоких профессионалов и минуты людей с хорошими навыками), и аккуратно вычёсывают (что занимает часы).

    Мелочь, а неприятно.

  • 12 июля 2017 в 02:15

    0

    Внезапно, все для этого уже есть: namespaces. Есть сетевые namespaces, которые, например, выделят конкретному пользователю его интерфейс с его IP-адресом, есть PID namespaces, которые не дадут посмотреть процессы других пользователей.
    Есть даже готовое ПО для этого: firejail. Можно установить его в качестве шелла для пользователя, и при логине будет выполняться скрипт, переключающий пользователя в его namespace. Файловая система используется хостовая при этом.
    Было бы хорошо, если бы системные сервисы init поддерживали и сконфигурированные пользователем сервисы, чтобы пользователям не приходилось мастерить скрипты watcher и задания cron, а также прибегать к другим хакам.
    systemctl --user именно это и делает.

© Habrahabr.ru