Hello Victor, On Fri, 2 Mar 2018 12:24:15 +0300 Victor Wagner <v.wag...@postgrespro.ru> wrote:
> sudo setcap CAP_NET_BIND_SERVICE=+eip /usr/bin/java > > Мне, в принципе не жалко, большой дыры в безопасности мне это не > создаст (тем более что машинка в интранете). Проблема в другом. > Через пару месяцев другой сотрудник, которому либо я забыл рассказать > про setcap, либо я рассказал, да он забыл, сделает на этой машинке > apt-get upgrade, и к нему приедет апгрейд OpenJDK. И при изменении > бинарника capabilities слетят. И jenkins перестанет запускаться. > > Вопрос в том, а куда бы наиболее соответствующим политике дистрибутива > способом прописать скрипт, который будет делать этот вызов setcap, > чтобы быть уверенным что в момент запуска jenkins бинарник java будет > иметь требуемые capabilities? Видимо нужен механизм вроде dpkg-statoverride. Но вроде не припомню такого. Как вариант сделать Dpkg::Post-Invoke в настройках apt, чтобы вызывать скриптик, проверяющий и устанавливающий. Несколько костыль, но по крайней мере рабочий. > (кстати из man setcap я не понял что произойдет с capabilities при > простой перезагрузке, без изменения бинарника - сбросятся они или нет? > Вроде у нас persistent state в linux не принят). capabilities это же xattr. -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su WWW: http://gerasiov.net TG/Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
