| Re: Не работает -m comment в iptables [message #36966 is a reply to message #36964] |
Wed, 05 August 2009 07:39   |
lithium
Messages: 78
Registered: April 2007
|
Member |
|
|
> Я не понимаю, какой формат должно иметь подобное описание. По-моему, проще всего, когда получаешь ошибку EPERM в каком-либо приложении, сделать strace на эту программу и посмотреть, чего именно не хватает.
ну вот, например chown: я внутри VE выполняю команду chown без проблем, хотя в конфиге для VE в CAPABILITY= этого параметра нет.
Что такое dac_override, dac_read_search и примерно половина других вещей я совершенно не представляю. Может это какие-то стандартные для Linux вещи, но я таких слов не встречал в своей работе. Если они описаны в каком-нибудь readme в исходниках стандартного ядра -- можно добавить об этом упоминание.
Часть параметров вроде chown интуитивно понятна, mknod, net_raw и еще около 5, но прав я или нет в своих предположениях -- нужно проверять опытным путем.
Параметры setveid, ve_admin (и может еще какие) явно OpenVZ-специфичные, непонятно что они дают.
То есть я имею в виду добавление небольшой заметки чтобы человек пробежался по ней и понял, что даст ему включения каких-либо опции для VE. Как допустим я из заметки про OpenVPN знаю теперь что CAPABILITY="NET_ADMIN:on", похоже, позволяет создавать сетевые устройства или изменять маршруты или еще что-то на эту тему (но опять же предположения и догадки).
|
|
|
|
OpenVZ Forum
Members
Search
Help
Register
Login
Home
