Использование пространств имен команды mount

Елки-палки... Зачем же так сложно-то?

> Елки-палки... Зачем же так сложно-то?

Когда для новичков пишут - вам все "зачем про такую очевидную фигню писать", как что-то интересное написали - "зачем так сложно"? Я понимаю, что на этом сайте принятно ругать IBM_dW, но ведь статья-то и правда интересная, многие про это все не знают..

А ты покури план номер 9 из чужого пространства и тебе сразу полегчает.

Чтото у меня смутное ощущение, прямо дежавю. Что я это где то уже видел. А вот вспомнить где, не могу.

Разрешать язверям шарить и моунтить чезахотят - зло! Душить в зародыше!

Linux методично реализует (тырит) идеи давно реализованные в Plan9 :) в принципе ... радует :) глядишь, через годик другой и X-Window выкинут.

> Чтото у меня смутное ощущение, прямо дежавю. Что я это где то уже видел. А вот вспомнить где, не могу.

Здесь же, на дорогом ЛОРе, в новостях. С пол-года назад, что-ли.

Слава роботам, разрывающим баяны!

Правильно. Рвать их.

Если по теме, то не везде применимо, но весьма интересно. Я не знал о такой возможности.

А где это реально применять можно?

>Если по теме, то не везде применимо,

Применимо, например, к httpd, не давая ему "вылазить" за пределы своего пространства имен.

P.S.: Жду когда в Linux появятся нормальные userspace fileservers :) и угрохают пользователя root :) (который изжил себя)

> Linux методично реализует (тырит) идеи давно реализованные в Plan9 :) в принципе ... радует :) глядишь, через годик другой и X-Window выкинут.

А что взамен? А то я не в курсе.

> и угрохают пользователя root :) (который изжил себя)

Не изжил - кому-то надо управлять системой.

>А что взамен? А то я не в курсе.

http://cm.bell-labs.com/sys/doc/8%C2%BD.html

>Не изжил - кому-то надо управлять системой.

hostowner ?

>и угрохают пользователя root :) (который изжил себя)

так тебе в винду дружочек, где уже админ - не админ, а оболочка, подчиняющаяся случайным перепадам напряжения на сетевой карте

>> и угрохают пользователя root :) (который изжил себя)

>Не изжил - кому-то надо управлять системой.

Изжил, изжил - системой может управлять отдельный пользователь, не имеющий таких широких полномочий как root.

> Жду когда в Linux появятся нормальные userspace fileservers :)

А чем тебе fuse не нормальный?

ну и у кого у mount есть ключ --make-shared? :)

#mount --make-shared /

mount: unrecognized option `--make-shared'

К сожалению, это довольно слабое подобие namespaces из plan9, больше напоминающее костыль, к тому же еще и костыль сложной формы.

[~] % mount --help | grep shared
       mount --make-shared dir
       mount --make-rshared dir
[~] % mount --version
mount (util-linux-ng 2.13)

One can change the type of mount containing the directory dir:
       mount --make-shared dir
       mount --make-slave dir
       mount --make-private dir
       mount --make-unbindable dir
[wizard@fedora ~]$ rpm -qf `which mount`
util-linux-2.13-0.49.fc6

>К сожалению, это довольно слабое подобие namespaces из plan9, больше напоминающее костыль, к тому же еще и костыль сложной формы.

Насколько я знаю, Al Viro бросил патч на полпути ...

> ну и у кого у mount есть ключ --make-shared? :)

У меня.

$ sudo mount --make-shared /
$ rpm -qf `which mount`
util-linux-ng-2.13.1-1.fc8.x86_64

Цитата из man mount

       Since  Linux 2.6.15 it is possible to mark a mount and its submounts as
       shared, private, slave or unbindable. A shared mount  provides  ability
       to create mirrors of that mount such that mounts and umounts within any
       of the mirrors propagate to the other mirror. A  slave  mount  receives
       propagation  from  its master, but any not vice-versa.  A private mount
       carries no propagation abilities.  A  unbindable  mount  is  a  private
       mount  which cannot cloned through a bind operation. Detailed semantics
       is documented in Documentation/sharedsubtree.txt  file  in  the  kernel
       source tree.
              mount --make-shared mountpoint
              mount --make-slave mountpoint
              mount --make-private mountpoint
              mount --make-unbindable mountpoint

       The following commands allows one to recursively change the type of all
       the mounts under a given mountpoint.
              mount --make-rshared mountpoint
              mount --make-rslave mountpoint
              mount --make-rprivate mountpoint
              "mount --make-runbindable mountpoint"

Спасибо IBM, за то что родило документацию на код порождённый в её недрах. Однако жёстко всё очень жёстко.

Как сказал бы истинный Линуксоид - берёшь доку в ядре, вырываваешь оттуда smount и компилишь - там поддерживаются ацкие клюбчи, которые я не навижу и которые описаны в сабже.

Возможно чтобы пользователь без рута мог монтировать сидюк. Может один эзер другому сможет расшарить свою директорию.

> Возможно чтобы пользователь без рута мог монтировать сидюк.

Разве он сейчас это не может? А что тогда означает параметр user в /etc/fstab?

>А где это реально применять можно?

В Linux, по сути дела, кроме организации персонального рута негде. В Plan9, где все есть файл и namespaces гораздо более функциональны, возможности применения довольно широкие - опять же организация персонального рута, ограничение запускаемых програм в доступе, например, к сети (и наоборот), создание сборки из разных бинарных каталогов в одном каталоге (что исключает такой анахренизм как PATH), всевозможные filesystems in userspace, прозрачный доступ к локальным файловым системам с удаленной машины (и наоборот) и так далее...

одна из немногих приличных статей с д-в

> так тебе в винду дружочек, где уже админ - не админ, а оболочка, подчиняющаяся случайным перепадам напряжения на сетевой карте

Дружочек,а тебе не кажется, что двухуровневая система: один root и юзеры убога? Не умнее ли расширить кол-во админов до >1 и имет возможность контроллировать их действия и ввести возможность делегировать пользователям некоторые полномочия без костылей-sudo? Вобщем, иди читай man capabilities. Это будущее. Суидники и root в будущем уйдут в прошлое, вместо пользователя root будет любой UID с установленными CAP_SYS_ADMIN и т.д. а вместо суидников - механизм делегирования _некоторых_ необходимых процессу полнмочий(CAP_SYS_CHROOT,CAP_NET_RAW,...) на уровне файловой системы. Привилегии и ролевой доступ вытеснят тяжкое древнее наследие UNIX.

>Изжил, изжил - системой может управлять отдельный пользователь, не имеющий таких широких полномочий как root.

одно из двух - или имеющий такие широкие полномочия, что может управлять системой, тогда это root, или не имеющий таких широких полномочий, чтобы управлять системой, и тогда это не root, а обычный пользователь.

>>Изжил, изжил - системой может управлять отдельный пользователь, не имеющий таких широких полномочий как root.

>одно из двух - или имеющий такие широкие полномочия, что может управлять системой, тогда это root, или не имеющий таких широких полномочий, чтобы управлять системой, и тогда это не root, а обычный пользователь.

Я так думаю, что надо все же идти путем POSIX - не изменять, а дополнять. Например Роли - один из возможных механизмов дополнения стандартной системы безопасности. В этом механизме отсутствуют неудобства sudo и остается стандартная связка: root и !root.

сделаем линукс таки же непонятным как виндовс и угробим все ради пользователей которых нет...

>Душить в зародыше!

Они сами флэшки монтируют...

>Дружочек,а тебе не кажется, что двухуровневая система: один root и юзеры убога? Не умнее ли расширить кол-во админов до >1

wheel, ибо нефиг.

Иначе точно будет как винда - все в вирусах, все админы и без прав нихрена не работает.

> одно из двух - или имеющий такие широкие полномочия, что может управлять системой, тогда это root, или не имеющий таких широких полномочий, чтобы управлять системой, и тогда это не root, а обычный пользователь.

Узковато смотрите, товарисч. Возьмем тот же Plan9. Есть пользователь adm - администратор. Он может управлять определенной частью системы - управление дисками,настройка сетей, добавление пользователей. Но прав владеть ВСЕМ в системе у него нет. Даже своего домашнего каталога нет. И комуникационные возможности ограничены консолью. В каталоги к другим пользователям он залезть тоже не может. Есть и другие стандартные пользователи, которые чем-то управляют, но прав управлять ВСЕМ не имеют. И пользователи тоже чем-то управляют - в рамках своего доступа. И все работает. И очень неплохо.

>Я так думаю, что надо все же идти путем POSIX - не изменять, а дополнять. Например Роли - один из возможных механизмов дополнения стандартной системы безопасности. В этом механизме отсутствуют неудобства sudo и остается стандартная связка: root и !root.

Про бритву Оккама слыхали? Не множьте сущности без необходимости... А то действительно венда получится...