https://opennet.ru/openforum/vsluhforumID3/59560.html Обнаруженная (http://www.opennet.ru/opennews/art.shtml?num=23443) Пржемыславом Фрашунеком (Przemyslaw Frasunek (http://www.frasunek.com/)) в конце августа уязвимость, позволяющая локальному непривилегированному пользователю FreeBSD получить root-привилегий, получила свое подтверждение. Более того, пока разработчики FreeBSD готовили исправления, Пржемыслав нашел еще одну подобную уязвимость в другой подсистеме. В итоге, сегодня опубликованы три уведомления:<br><br><br><br>- В ветке FreeBSD 6.x найдена уязвимость (http://security.freebsd.org/advisories/FreeBSD-SA-09:13.pipe.asc), позволяющая получить root-привилегии при наличии локального непривилегированного доступа к системе. Уязвимость вызвана проблемой (эффект гонки, "race condition") в коде закрытия pipe и связанна с возможностью обращения к уже освобожденной памяти на многопроцессорных системах в системном вызове kevent.<br><br>- Во всех поддерживаемых версиях FreeBSD 6.x и 7.x найдена уязвимость (http://security.freebsd.org/advisories/FreeBS...<br><br>URL: http://www.fre https://opennet.ru/openforum/vsluhforumID3/59560.html#91 Mon, 12 Oct 2009 12:47:26 GMT Я думаю Глеб не так глуп, как многие здесь присутствующие. Залочить страницы в ядре - не проблема.<br> https://opennet.ru/openforum/vsluhforumID3/59560.html#90 Thu, 08 Oct 2009 11:34:06 GMT &gt;все радуемся жизни без перегрузки сервера <br><br>Эм...мне стыдна, но я нихрена не понял :)<br>Это стёб такой или реально работает?<br><br><br> https://opennet.ru/openforum/vsluhforumID3/59560.html#89 Thu, 08 Oct 2009 11:33:07 GMT &gt;Core team FBSD медленно реагирует. товарисчь благодаря которому оно найдено об этом <br>&gt;говорил где-то пару недель назад с описанием. <br><br>Чел из core team говорил, что они уведомление от этого товарища протеряли в спаме :)<br> https://opennet.ru/openforum/vsluhforumID3/59560.html#88 Thu, 08 Oct 2009 11:30:16 GMT +2, всегда так делаю. ЧЯДН?<br> https://opennet.ru/openforum/vsluhforumID3/59560.html#87 Thu, 08 Oct 2009 11:29:24 GMT &gt;&gt; noexec вообще ничего не решает, ибо элементарно обходится.<br>&gt;<br>&gt;Мне стыдно - я не знаю. Расскажите, как. <br><br>Ключевое слово для поиска в гугл - интерпретируемые языки. <br>Другими словами, perl -f /tmp/script.pl прекрасно выполнится и в случае, если /tmp будет как noexec смонтирован.<br> https://opennet.ru/openforum/vsluhforumID3/59560.html#86 Thu, 08 Oct 2009 11:27:45 GMT portupgrade -Pary ещё лучше - дополнительно не задавать глупых вопросов и делать рекурсивные обновления.<br> https://opennet.ru/openforum/vsluhforumID3/59560.html#85 Tue, 06 Oct 2009 16:34:54 GMT &gt;В Jails v2 сделали только для привязки к ядрам процессоров:<br><br>Это очень грубо, хотя уже лучше, чем совсем никак.<br><br>&gt;- cpuset(1) способен привязывать набор процессоров к определенному jailid или irq<br><br>В линуксе есть и taskset(1), и irqbalance(1) (последний, правда, распределяет автоматом).<br><br>&gt;Винчестеры как ресурсы пока невозможно привязать к конкретным jailid.<br><br>Актуальней процессор/память. Ещё сейчас довольно горячая тема -- расшаривание идентичных страниц (например, mmap'ленных копий libc).<br><br>&gt;Вложенные контейнеры виртуализации полезны там, где крутятся иерархические процессы.<br><br>Не знаю, что это такое -- можно определение/пример?<br><br>&gt;Ради управляемости и распределённой по уровням степени надёжности.<br><br>Типичное железо всё-таки тянет ну несколько сотен контейнеров максимум (и IMHO максимум немного десятков в более типичном для наличия дивергенции надёжности случае). Это не то количество, которое обязательно просится в иерархию. А на большом железе и так аппаратный partitioning, внутри которого уже можн https://opennet.ru/openforum/vsluhforumID3/59560.html#84 Tue, 06 Oct 2009 16:23:22 GMT &gt;Сделайте такое на jail, а я посмотрю -- мало это "кроме" или <br>&gt;всё-таки различие между великом и мокиком.<br><br>В Jails v2 сделали только для привязки к ядрам процессоров:<br>- cpuset(1) способен привязывать набор процессоров к определенному jailid или irq, причем установка возможна и после создания jail окружения.<br><br>Винчестеры как ресурсы пока невозможно привязать к конкретным jailid.<br><br>&gt;Нет, но OpenVZ живёт и под Xen (domU/dom0), и как минимум рядом с kvm. Только вот в моей практике ещё не встречалось ни одного случая, когда захотелось бы засовывать -- и так сервисы, работающие в VE-шках, ещё и по чрутам сидят.<br><br>Вложенные контейнеры виртуализации полезны там, где крутятся иерархические процессы. Ради управляемости и распределённой по уровням степени надёжности. к примеру, глупо было бы обеспечивать максимальную степень надёжности и доступности какому-то тестовому Web-серверу, отнимая ресурсы у более важных сервисов; почему бы не сунуть его поглубже в jail-окружение группы разработчиков и передать права по у https://opennet.ru/openforum/vsluhforumID3/59560.html#83 Tue, 06 Oct 2009 14:40:16 GMT &gt;&gt;См., например, vzctl(8).<br>&gt;Какая-то "плоская" среда над chrot<br><br>Можно конкретнее? Там, например, реализован двуслойный скедулер -- сперва процессоры на контейнеры, потом в пределах контейнеров между задачами. Чтоб один контейнер с тремя сотнями процессов не досил соседние с по полсотни на брата.<br><br>&gt;никаких преимуществ перед jail(8), кроме выделения ресурсов, не увидел.<br><br>Вы всерьёз полагаете, что этого мало?<br><br>Ладно, давайте попробую объяснить на пальцах. Под OpenVZ у меня на старом офисе до сих пор благополучно живёт терминальный сервер, пара сборочниц (32/64-bit) и ещё по мелочи. Сборка является io/cpu intensive, бишь на локальном десктопе может заметно притормаживать всё. Так вот разнесения по шпинделям плюс расставления приоритетов контейнеров (--cpuunits/--ioprio) хватило, чтобы весьма серьёзная загрузка (три одновременных процесса сборки, сейчас там всего-то dualcore) практически не замечалась при работе с тонких клиентов.<br><br>Сделайте такое на jail, а я посмотрю -- мало это "кроме" или всё-таки