AppArmor и возмлжность приложению биндиться на порт < 1024

[podkovyrsty]

Ответ на что?
Аппармор идет после ядра
Ограничивает в первую очередь ядро.
Делите ваш сервис на 2 части:
1) работает от рута на системном порту
2) работает от юзера, общается с первым

[denis077]

Ну основных вопросов было 2:
1. можно ли обойти ограничение на размер файла в 2Г на 32-битной системе (чтоб заюзать setcap)
2. можно ли решить эту проблему с помощью аппармора.

На второй вы ответили (нет, нельзя).

Спасибо.

[podkovyrsty]

Вы меня простите, но почему нельзя завести демона с сокетом на одном конце и портом < 1024 на другом и завести его под рутом в качестве переходника от юзера к привелегированным сервисам?
Ну, я понимаю что вы пишете замену какой-нить платформе, может томкату, если вам не жить не быть системный порт нужен, или сниффер какой для MIM вещей ...
Но есть же стандартные средства и библиотеки для вашей задачи, не?

[denis077]

Да, есть и такой вариант, но политика партии страшная вещь )))) Партия хочет АппАрмор... Но, видимо, придется выбирать другой вариант.

[podkovyrsty]

У вас что, Ubuntuориентированная разработка? О_о
POSIX, UNIX и Linux наше все.
Люди на юниксовые сокеты молятся, на возможность сделать модульную и соттветственно адаптируемую и масштабируемую систему, а вам нужно бинарник на 2.7 гига ....
Заверните его в платформу - пусть думают что оно одно и большое ...

[AnrDaemon]

Да, есть и такой вариант, но политика партии страшная вещь )))) Партия хочет АппАрмор... Но, видимо, придется выбирать другой вариант.

AppArmor тут не при чём. Вы путаете тёплое с мягким.
То, что хочет заказчик, очень часто не имеет никакого отношения к реальности, если только заказчик не сам в состоянии написать аналогичную вещь, но ему тупо лень этим заниматься.
В твою, как исполнителя, задачу входит точно выяснить, что надо заказчику (не что он хочет, заметь, а что _надо_), и реализовать это в рамках выбранной платформы. (А ещё лучше - без привязки к какой-либо платформе. Кто этих заказчиков знает, может он завтра скажет "Спасибо, всё замечательно, а теперь мне надо запустить это на ARM".)

P.S.
Почему никто не вспомнил про xinetd?

P.P.S.
Вытряси из заказчика душу, что именно должно получиться/получаться в конечном итоге работы программы, и сам выбери наиболее подходящий способ реализации задачи.
Всё остальное решается обучением персонала.

[podkovyrsty]

Я его подразумевал под "штатными средствами".
Просто в него надо что-то заворачивать, и лучше, если это будет отдельный, легко трассируемый и отлаживаемый кусок, который, в принципе, не обязательно заворачивать в него.