@gnulauqa говна кусок

А, ну до syscall.Syscall() я просто не дочитал Хммммм Хммм]

Так а что мне помешает вызвать тем же образом seteuid? :)

Он же там унутре не проверит, а что за вызов ему подсунули

оно только на текущий горутин применится

А это похер

Я сначала открываю сокет, а вот потом уже горутины запускаю

а если сокет в другом трэде?

Просто вызов syscall.Setuid не применится вообще

В современном Go

а если сокет в другом трэде?

В каком “другом”?

А что, треды не шарят global scope? :-0

У меня нет никаких других тредов

У меня сервер только стартовал

Тред один

он там изначально не один

посмотри список трэдов по бинарнику

Ну, в принципе, это меня устроит Мне нужно, чтобы у всех потомков конкретного треда привилегий не было

А если у GC они остались - да мне и пофиг

ну если так, то да

просто несекурно

Ну отчего же

как говорится, мало ли.

Ну так-то да

Но секурнее, чем когда от рута что-то слушает на портах

существенно

Так что - да, это вариант, спасибо

И экзекать никого не надо

Что для нас важно в данный момент

Удивительно, сколько ебли нужно чтобы реализовать классический паттерн :))

@gnulauqa там много удивительного

Удивительно, сколько ебли нужно чтобы реализовать классический паттерн :))

Да, анбиливабл

блин

Саша, ты собираешься свое творение пускать на других *nix?

ну, кроме linux

творение?

поделко? :)))

> Саша, ты собираешься свое творение пускать на других *nix? Ни при каких условиях

Я бы его и в линукс-то не выпускал

ну так чем тебе не нравится CAP_NET_BIND_SERVICE ?

Ты не поверишь - он у меня работает

а кто знает как сделать sleep на полсекунды в баше?

sleep 0.5 работает?

работает.

охуеть

http://tnw.me/3hA814R

Хочу пощупать

Ну, в принципе, это меня устроит Мне нужно, чтобы у всех потомков конкретного треда привилегий не было

а вот кейс: 1. у go 4 треда 2. в одном делаем setuid 3. запускаем кучу горутин 4. горутины начинают перетекать в другие треды... чпок.

даже так будет: sleep .5

и sleep .015

а вот кейс: 1. у go 4 треда 2. в одном делаем setuid 3. запускаем кучу горутин 4. горутины начинают перетекать в другие треды... чпок.

Имхо, не будет работать

именно поэтому это кривой путь

> 4. горутины начинают перетекать в другие треды... А так можно?

Я, простите, спецификацию на Go VM-то не читал

Если так можно - то да, это не вариант

Поэтому давайте поговорим про capabilities

Усматриваем ли мы потенциальную угрозу в том, что после открытия портов у нас в системе остается приложение с имеющимися правами открыть привилегированный порт?

Причем - приложение на managed языке

О, придумал костыль: запустить гороутину, которая делает setuid

О, придумал костыль: запустить гороутину, которая делает setuid

Пул, ага

Пул, ага

Нет, всего одну.

А, кстати, там есть доступ к потрошкам рантайма изнутри самого приложения?

Нет, всего одну.

Одной может не хватить

Она проползет по всем тредам пула и выставит всем тредикам нужный uid

suid биту нужна хорошая гранулярность. В том смысле, что надо как можно быстрее сделать все что надо и сбросить его к херам. Даже если у тебя суперменеджед язык.

Она проползет по всем тредам пула и выставит всем тредикам нужный uid

Как ето?

Куда она проползет?

ERROR: S client not available

Точнее - как она будет переползать?

suid биту нужна хорошая гранулярность. В том смысле, что надо как можно быстрее сделать все что надо и сбросить его к херам. Даже если у тебя суперменеджед язык.

а мы не про suid :)

а мы не про suid :)

Ты не поверишь

Как ето?

у тебя пул тредов стартует при запуске твое приложения

Мы именно что про него

у тебя пул тредов стартует при запуске твое приложения

Да

И как она поползет?

все треды у тебя с uid=0

Да

И как она поползет?

а что, гороутины не мигрируют между тредами?

а что, гороутины не мигрируют между тредами?

Как это вызвать усиленно?

Зафорсить

Бля

Как это по-русски?

Как это инициировать?

Нет

Не по-русски опять

Как это вызвать усиленно?

ну, можно сделать что-то из io.

ну, можно сделать что-то из io.

Мы в аду, мама!

в аду, в аду

Филипп Александрович

Михаил Ваш дебилом оказался

И в СКБ работать не пошел

Хотя зарплату ему предложили крайне пацанскую

Его смутило то, что надо трудоустроиться в два места

Его смутило то, что надо трудоустроиться в два места

меня бы тоже смутило. а что такое СКБ?

СКБ Контур

меня бы тоже смутило. а что такое СКБ?

Вот тебе не пофиг-то было бы, а?

погодь, я цены в два раза поднял. сейчас все клиеты сбегут и я пойду

Я в четырех местах трудоустроен

Ебковато, конечно, кредиты пытаться брать

Но - зато можно ротировать названия при подаче заявок на конференции