A
вы серьезно думаете, что человек который ловит уб читал документацию по актиксу?))) Если вдруг у него что-то сломается, это будет очень хорошим уроком!))
+++
Size: a a a
2020 March 25
A
Так и есть, всех соломинок не подстелить, иначе бы не нужно было столько разработчиков разных мастей от трейни до гранд маршалов и CTO. Мое дело было написать человеку альтернативу, чтобы человек задумался, зачем он добавляет тот или иной инструмент. Не задумается - его проблемы, не будет углубляться, а херак херак и в продакшн - его проблемы, но знать, что есть такая возможность он должен 😄
ph
Есть некоторые бест практисы, которые работают нормально для всех. Вместо этого вы советуете их нарушить и надеяться на то что человек сам задумается. При этом отказываетесь от ответственности за свой совет. Некрасиво.
BD
BD
рано или поздно человек задумается, если не дурак
OA
TIL про setcap
OA
но там вместо какой-то понятной архитектуры обычный зловещий пиздец.
BD
TIL про setcap
у меня нжинкс вообще не трогает рута, пушо биндится через setcap, и все доступы у него только через юзера и acl
С
а чего не selinux тогда?
С
а привилегии всё равно понижает после старта?
A
Есть некоторые бест практисы, которые работают нормально для всех. Вместо этого вы советуете их нарушить и надеяться на то что человек сам задумается. При этом отказываетесь от ответственности за свой совет. Некрасиво.
сувать nginx везде бездумно это не бестпрактис, хотя это такой же инструмент, с которым тоже нужно разбираться и правильно настривать
С
Или воркеры так и остаются работать с повышенными capabilities и розданными acl?
С
Хотя, как он понизит, если он не рут.
С
Значит вы ему потенциально чуть больше прав оставляете, чем в случае с понижением
BD
Значит вы ему потенциально чуть больше прав оставляете, чем в случае с понижением
чайлды у него с понижением запускаются насколько я помню
BD
а чего не selinux тогда?
действительно
С
чайлды у него с понижением запускаются насколько я помню
понижение привилегий это setuid, который можно только от рута вызвать, а если он уже не из-под рута, то ему надо или ещё опасных capabilities накинуть или не понижаться
A
но там вместо какой-то понятной архитектуры обычный зловещий пиздец.
про setcap рад, что вы научились сегодня чему-то)) А по поводу зловещего пиздеца не понял, к чему это относилось?)
A
а чего не selinux тогда?
Кстати это ваще тема крутая! Но для новичка прям архисложная 😁
В
А можно ли ограничить рейндж возможных значений своему типу?
Аля
Аля
NonZeroU64, но с другим рейнджем