Появилась задача: создать юзера, который бы ничего не мог сделать, кроме как читать файл (в идеале только 1 )), но это оказалось невозможным, возможно пока).
В Solaris за права юзеру отвечает RBAC. Он позволяет как расширить права, так и сузить. По дефолту новому юзеру присваивается 2 профиля: All и Basic Solaris User:
$ profiles skeletor
skeletor:
Basic Solaris User
All
Тестовый стенд: Solaris 11.1, Debian Linux 6 (kernel 3.2), ipsec transport mode with preshared keys
Настройка IPSec состоит из 2-х частей: настройка IPSec’a и непосредственно настройка обмена ключами (ike).
Имеем самую обычную схему Solaris (10.5.5.219) <—> (10.5.5.78) Linux
В данной статье подразумевается настройка полностью с нуля.
Можно использовать портированный dmidecode, но лучше использовать родной – smbios.
Тестовый стенд: Solaris 11.1/11.2, ipsec transport mode with preshared keys
Настройка IPSec состоит из 2-х частей: настройка IPSec’a и непосредственно настройка обмена ключами (ike).
Имеем самую обычную схему Solaris (10.5.5.219) <—> (10.5.5.220) Solaris
В данной статье подразумевается настройка полностью с нуля.
Схема подключения:
Solaris (net 192.168.66.0/24) 1.1.1.1 <—(10.65.0.1 <—> 10.65.0.2)—> 2.2.2.2 (net 192.168.88.0/24) Linux
FreeBSD (net 192.168.77.0/24) 3.3.3.3 <—(10.77.0.1 <—> 10.77.0.2) —> 2.2.2.2 (net 192.168.88.0/24) Linux
Переменная sysctl kern.ipc.somaxconn ограничивает размер очереди для приема новых TCP соединений. Значение по умолчанию 128 слишком мало для надежной обработки новых соединений для нагруженного web сервера. Для такого сервера рекомендуется увеличить это значение до 1024 или выше. Демон сервиса может сам ограничивать очередь приема новых соединений (например, sendmail(8), или Apache), но обычно в файле настройки демона есть директива для настройки длины очереди. Более длинная очередь также помогает избежать атак Denial of Service (DoS).
В Solaris 11.1 (в отличии от Solaris 11) файл hosts находится по другому пути, а именно /etc/inet/hosts. Хотя так же присутствует и файл /etc/hosts. Поэтому, изменения следует вносить именно в /etc/inet/hosts. Что бы не путаться, можно просто удалить файл /etc/hosts, а на его место сделать симлинк из /etc/inet/hosts
# cpuset -C -c -l 0,2 -p 1701
cpu affinity
# taskset 0x00000001 google-chrome
# dplace -c 2 date
Рекомендую так же прочесть этот обзор
# pbind -b 2 204 223
Как можно быстро добавить в зону датасет или нужную папку? Есть не мало методов, но самый оптимальный – это использовать LOFS из global. Почему оптимальный? Потому что это делается быстро и не требуется перегружать зону.
Буду рассказывать всё на примере, так понятнее. Имеем selenium, который зависит от Xvfb. И так, нужно что бы сначала стартовал Xvfb, а потом уже selenium, и была зависимость selenium от Xvfb.
1) Создание сервиса Xvfb.
Для запуска создаём скрипт /opt/scripts/xvfb.sh. На основе этого скрипта создаём SMF сервис:
# svcbundle -i -s service-name=application/xvfb -s model=daemon -s start-method="/opt/scripts/xvfb.sh"
