[Перевод] Привилегированные порты — причина глобального потепления
Комментарии (5)
11 июля 2017 в 23:53
0↑
↓
Так все-таки не понятно, как по мнению автора ядро должно будет решать, какому из 50-ти пользовательских апачей разных пользователей отдать прилетевшее tcp-соединение, если у сервера ровно 1 ip-ник.12 июля 2017 в 01:06
0↑
↓
Назначить серверу 1000000 IP’шников, не? Всё-таки у нас IPv6 уже «на мази», а все предлагаемые изменения не пару часов займут.12 июля 2017 в 01:49
0↑
↓
nginx’у.
12 июля 2017 в 01:20
0↑
↓
И ещё. Бритьё быка — это садизм какой-то. За что, почему?Як — это далеко не всякий бык! Як — это таки як:
Если вы на него посмотрите — то сразу поймёте, что просто так его не постричь: машинка сразу же забьётся. Да и потом — если вы его «побреете», то он ночью замёрзнет. Потому с него не снимают всю шерсть машинкой, как с овцы (что занимает секунды у высоких профессионалов и минуты людей с хорошими навыками), и аккуратно вычёсывают (что занимает часы).Мелочь, а неприятно.
12 июля 2017 в 02:15
0↑
↓
Внезапно, все для этого уже есть: namespaces. Есть сетевые namespaces, которые, например, выделят конкретному пользователю его интерфейс с его IP-адресом, есть PID namespaces, которые не дадут посмотреть процессы других пользователей.
Есть даже готовое ПО для этого: firejail. Можно установить его в качестве шелла для пользователя, и при логине будет выполняться скрипт, переключающий пользователя в его namespace. Файловая система используется хостовая при этом.Было бы хорошо, если бы системные сервисы init поддерживали и сконфигурированные пользователем сервисы, чтобы пользователям не приходилось мастерить скрипты watcher и задания cron, а также прибегать к другим хакам.
systemctl --user
именно это и делает.