Настройка пользователя linux

[kvip]

Привет всем, не могу сообразить, как создать пользователя с своими системными каталогами.
К примеру, если я создам пользователя user1 то у него будет домашняя директория /home/user1 ,  а все системные файлы и папки будут находиться в корне системы то есть в  /
Я бы хотел узнать как можно создать пользователю свои системные директории такие, как etc tmp usr dev и остальные, так же что бы он мог запускать софт и иметь свои конфигурации.
Это все будет не много похоже на то, как будто была создана виртуальная машина через ВБ.

[Graf]

Я так понимаю, что это продолжение темы Chroot ssh настройка ?
Если "Да", то что-то не получилось с операциями по ссылке в теме?

[kvip]

Да, с ссылками не получится, сейчас пытаюсь сделать по вот этой статье

Код Выделить Развернуть

gopherproxy.meulie.net/sdf.org/0/users/elw/docs/slackchroot.txt
Но честно говоря плохо понимаю последовательность действий.

[Graf]

Почему-то мне показалось, что данный текст будет многим интересен.
Поэтому решил перевести его.
http://slackware.su/forum/index.php/topic,1480.0.html

[kvip]

А как в chroot добавить апачь и другие службы, например proftpd?

[bormant]

kvip,
аналогино. То есть, обеспечив в chroot-е всё необходимое для работы службы, включая бинарники, библиотеки, файлы настроек и данных, исправить файлы запуска служб.
Не забыть после обновления соответствующих пакетов в системе обновлять файлы в chroot-е. Обновили php, нужно скопировать обновлённые файлы в chroot, обновили apache, нужно скопировать обновлённые файлы в chroot...


PS. Имейте в виду, 1) root легко выбирается из chroot-а, 2) периодически обнаруживаются уязвимости эскалации привилегий. С учётом (1) и (2) chroot в качестве достаточно надёжного средства изоляции сервисов рассматривать вредно.

PPS. Ах да, в chroot можно ставить пакеты, не занимаясь художественным выпиливанием по ФС:

Код Выделить Развернуть


# installpkg --root /chroot ...
# ROOT=/chroot installpkg ...
# ROOT=/chroot upgradepkd ...
# ROOT=/chroot removepkg .../chroot/usr/man и /chroot/usr/doc и аналогичное можно смело чистить.

[kvip]

Спасибо, большое.

Есть еще вопрос, предположим, что есть два пользователя с именами user1 и user2. Может ли первый пользователь запустить apache с сайтом site1.ru а второй site2.ru (одновременно)?
То есть с этим проблем не будет, что запущенны два апача под разными пользователями?

[bormant]

kvip,
а подумать? Общие ресурсы бывают и вне файловой системы, например, порт TCP/IP соединения и т.п. Если обеспечите каждому экземпляру бинарника свой набор уникальных на общесистемном уровне ресурсов -- сможете запустить указанные экземпляры параллельно.
То есть в узком смысле, про apache, второй скажет, что не смог встать на прослушивание порта :80 (bind) ввиду занятости оного. Есть трюк, все локальные адреса 127.0.0.0/8 ведут в один петлевой адаптер, но являются разными с точки зрения слушателей (listener).

А вообще, не пользовательское это дело, от себя сервисы запускать, обычно для изоляции apache заводят отдельного пользователя/группу (www-data), если этого недостаточно, дальше только контейнеры/виртуалки.

[help40]

и proftp скажет тоже и самое .... порт занят  ... , если какая-то программа не скажет , то все равно не будет работать ... если порт один и тоже.
какая у тебя цел ? и нужен ли вообще тебе chroot ...
что за программа у которая конфиг находится в етц ? апач и фтп не подходят уже узнали ... , а что там еще у тебя ?

[Bashmack]

Ни через мультилинк, ни через роудж не могу создать на семерке одновременное подключение интернета и интранета. Хочу спросить - возможно ли это на данный момент времени и, если возможно, как? Заранее спасибо.