November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

Задачка для сисадминов. Программы и библиотеки под chroot’ом

dil: (Default)
[personal profile] dil
Friday, May 11th, 2012 09:47 pm

На сервере зарегистрировано некоторое количество пользователей, каждому из которых надо обеспечить возможность заходить в свою домашнюю директорию (по ssh, например) и запускать программы, но видеть пользователь должен только свою директорию, и обеспечивается это запуском его шелла под chroot’ом.

Соответственно, все нужные программы и разделяемые библиотеки к ним должны лежать в доступных пользователю поддиректориях, а благодаря chroot’у все они могут располагаться только внутри его домашней директории. Пользователей, сильно больше одного, и делать каждому по отдельной копии всех программ и библиотек накладно будет. Хочется обойтись одним физическим экземпляром на всех.

Когда один объект в файловой системе должен быть доступен в нескольких местах, это обычно решается линками. Но симлинки по понятным причинам в этом случае не работают, а хардлинки на каждый файл создавать неудобно, и вдобавок все изменения придётся воспроизводить отдельно для каждого пользователя. А на целую директорию хардлинк сделать нельзя. Кроме того, файлы вообще могут лежать в других файловых системах.

И что делать?

Вопрос на пятёрку: а если это не линукс?

Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.

Tags:
Flat | Top-Level Comments Only

alexkuklin: (Default)
[personal profile] alexkuklin
Friday, May 11th, 2012 09:49 pm (UTC)
mount --bind?

dil: (Default)
[personal profile] dil
Friday, May 11th, 2012 09:52 pm (UTC)
Правильно. Переходим ко второму вопросу: а если это не линукс?

alexkuklin: (Default)
[personal profile] alexkuklin
Friday, May 11th, 2012 09:53 pm (UTC)
"вынимает вилку из уха, втыкает в глаз и говорит - иди к окулисту, он еще принимает" (ц)
Edited 2012-05-11 09:54 pm (UTC)

mcjabberwock: (meow)
[personal profile] mcjabberwock
Friday, May 11th, 2012 09:58 pm (UTC)
это - пять!!
(есличё, nullfs во FreeBSD есть, сам видел)

[identity profile] salas.livejournal.com
Friday, May 11th, 2012 10:23 pm (UTC)
И не FreeBSD, потому что там действительно есть прямая замена. NFS, например. Но есть предчувствие, что решение [personal profile] alexkuklin гуманнее. :)

[identity profile] blacklion.livejournal.com
Saturday, May 12th, 2012 01:58 pm (UTC)
Система-то какая?
nullfs на фряхе.
ZFS клон файловой системы на фряхе и Солярке.
Про линукс уже ответили.
AIX? Windows?

dil: (Default)
[personal profile] dil
Saturday, May 12th, 2012 09:12 pm (UTC)
Да любая, на какой получится.
У меня линукс, поэтому для остальных систем задача чисто теоретическая.

Разве что кроме Windows. ssh там, конечно, есть, а chroot - вряд ли. Там же файловые системы не единое дерево образуют, в котором можно корень передвинуть пониже, а отдельные диски с буковками, которые непонятно как отображать.

coctic: (Default)
[personal profile] coctic
Sunday, May 13th, 2012 05:50 pm (UTC)
По умолчанию - да, а так начиная с XP точно, а может и с 2000 можно смонтировать одну ФС внутрь другой, точно как в UNIX-like. Правда, я ни разу не видел, чтоб этим пользовались.

dil: (Default)
[personal profile] dil
Sunday, May 13th, 2012 06:28 pm (UTC)
Дополнительные файловые системы можно, но сама операционная система считает, что она живёт на диске с буквой (обычно C:), и от этого пока никуда не деться.

coctic: (Default)
[personal profile] coctic
Monday, May 14th, 2012 06:42 am (UTC)
Это факт, да.

[identity profile] lazylonelion.livejournal.com
Friday, May 18th, 2012 06:23 pm (UTC)
Я не особо хороший сисадмин, и, наверное, совсем слабый *nix-админ.
Но первое, что пришло мне в голову -- сделать отдельный read-only раздел под это дело -- под /bin, /lib и чо там ещё надо.
Причём этот раздел можно сделать виртуальным, вплоть до "держать в памяти" (хоть и не полностью уверен).

Да, встаёт проблема поддержания актуальности этого раздела (вроде не особо сложная).
И возможно есть проблема подмонтировать многатыщщщ файловых систем.
И ещё я не знаю, как это делать автоматически для каждого залогинившегося пользователя (чтобы не делать на старте сервера для *всех* пользователей).

dil: (Default)
[personal profile] dil
Friday, May 18th, 2012 07:20 pm (UTC)
Проблема в том, что отдельный раздел, если его заранее на заготовили, выделить будет сложновато. Можно, конечно, сделать его в файле, или в памяти, но гораздо удобнее просто сложить все нужные файлы в отдельную директорию и примонтировать её каждому пользователю.

Про многотыщ не знаю, не пробовал. Наверное, какие-то ограничения есть, но в моей ситуации количество пользователей исчисляется парой десятков. Хотя тут уже не важно, будет ли это директория или отдельная файловая система, монтировать придётся каждому пользователю индивидуально.

[identity profile] lazylonelion.livejournal.com
Friday, May 18th, 2012 07:33 pm (UTC)
Конечно так удобнее.
А какие проблемы сделать раздел в файле?

dil: (Default)
[personal profile] dil
Friday, May 18th, 2012 08:52 pm (UTC)
Проблем никаких, но это лишний уровень иерархии: файловая система в файловой системе. На скорости доступа сказывается отрицательно.
Flat | Top-Level Comments Only