nixp.ru v3.0

27 мая 2017,
суббота,
18:50:35 MSK

DevOps с компанией «Флант»
Longobard написал 25 января 2006 года в 03:10 (370 просмотров) Ведет себя как мужчина; открыл 291 тему в форуме, оставил 2499 комментариев на сайте.

В ядрах 2.6.14 и выше теперь перестал поддерживаться такой параметр модуля owner, как --cmd-owner.

Раньше я писал

iptables -A OUTPUT -m owner -d 66.6.206.0/255.255.255.0 -j DROP --cmd-owner java


чтобы одна очень лицензионная ява-прога не могла попасть на нужный ей для проверки серийника сервак.

А как быть теперь? О_О

Genie


# chmod u+rwxs,g+rxs `which java`
# chown javausr:javausr `which java`
# iptables -A OUTPUT -m owner --uid-owner javausr ...
Longobard

Крывовато. А если я работаю от юзера Vasja Pupkin, хочу чтобы и ява от него работала, то в таком случае запуск явы отдельным юзером ничего хорошего не даст..

Genie

ну, по gid сделай.

или верни в ядро поддержку --cmd-owner

Longobard
Genie
или верни в ядро поддержку --cmd-owner

Как? Откатицца на 2.6.13? :)

Я собирал ядро со своим обычным конфигом :) На 2.6.12 был --cmd-owner, на 2.6.14 уже нету. И у всех так. Выкинули его нафиг. Где-то даже в рассылке была такая новость :(

Genie
Как? Откатицца на 2.6.13? :)

как-как…

у тебя чего, исходников нет?

найди в netfilter/ этот кусок кода в ядре 2.6.13- и вставь в 2.6.14+

длов-то.. ;)

Longobard

ИМХО не просто так --cmd-owner из ядра выбросили. Так что просто грубо вписывать его обратно не хочу.

Code Monkey

ммм… ежели убрали, то ИМХО должны были вставить нечто такое, что работает аналогично.

Если не так, то разработчики ядра — весьма странные люди…

З.Ы. ради хохмы попробуй поколдовать с /etc/hosts типа перенаправлять прогу на абсолютно левое место 127.0.0.1 например.

Curu3MyHg

Народ, а просветите меня дурака, плиз.

Чтобы на 2.4.xx получить нужную мне функциональность iptables я регулярно обновляю вместе с ядром и сами таблесы, и patch-o-matic.

Собираюсь на неделе перепозать на Генту. Там используется 2.6.xx

Вроде как в 2.6.xx бОльшая часть патчей уже интегрирована.

А вот могу я тот же patch-o-matic на 2.6.xx ядро натравить? Чтобы, например, без геморроя вернуть ту же поддержку --cmd-owner, если потребуется?

Копирование исходников, конечно, тоже вариант.. Но всё ж не такой удобный..

Curu3MyHg

Вот так, да, все молчат, никто не признаётся??? ;))

Ну и ладно, сам попробую… :)