<div dir="ltr">I thought we were going to use chown in the initial version to enforce the ownership/permissions on the hierarchy. Only the cgroup manager has access to the hierarchy, but it tries to access the hierarchy as the user that sent the request. It was only meant to be a "for now" solution while the real one rolls out. It may also have gotten thrown out since last I heard :)</div>

<div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Dec 3, 2013 at 8:53 PM, Tim Hockin <span dir="ltr"><<a href="mailto:thockin@google.com" target="_blank">thockin@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

If this daemon works as advertised, we will explore moving all write<br>
traffic to use it.  I still have concerns that this can't handle read<br>
traffic at the scale we need.<br>
<br>
Tejun,  I am not sure why chown came back into the conversation.  This<br>
is a replacement for that.<br>
<div class="HOEnZb"><div class="h5"><br>
On Tue, Dec 3, 2013 at 6:31 PM, Serge Hallyn <<a href="mailto:serge.hallyn@ubuntu.com">serge.hallyn@ubuntu.com</a>> wrote:<br>
> Quoting Tejun Heo (<a href="mailto:tj@kernel.org">tj@kernel.org</a>):<br>
>> Hello, Serge.<br>
>><br>
>> On Tue, Dec 03, 2013 at 06:03:44PM -0600, Serge Hallyn wrote:<br>
>> > > As I communicated multiple times before, delegating write access to<br>
>> > > control knobs to untrusted domain has always been a security risk and<br>
>> > > is likely to continue to remain so.  Also, organizationally, a<br>
>> ><br>
>> > Then that will need to be address with per-key blacklisting and/or<br>
>> > per-value filtering in the manager.<br>
>> ><br>
>> > Which is my way of saying:  can we please have a list of the security<br>
>> > issues so we can handle them?  :)  (I've asked several times before<br>
>> > but haven't seen a list or anyone offering to make one)<br>
>><br>
>> Unfortunately, for now, please consider everything blacklisted.  Yes,<br>
>> it is true that some knobs should be mostly safe but given the level<br>
>> of changes we're going through and the difficulty of properly auditing<br>
>> anything for delegation to untrusted environment, I don't feel<br>
>> comfortable at all about delegating through chown.  It is an<br>
>> accidental feature which happened just because it uses filesystem as<br>
>> its interface and it is no where near the top of the todo list.  It<br>
>> has never worked properly and won't in any foreseeable future.<br>
>><br>
>> > > cgroup's control knobs belong to the parent not the cgroup itself.<br>
>> ><br>
>> > After thinking awhile I think this makes perfect sense.  I haven't<br>
>> > implemented set_value yet, and when I do I think I'll implement this<br>
>> > guideline.<br>
>><br>
>> I'm kinda confused here.  You say *everything* is gonna go through the<br>
>> manager and then talks about chowning directories.  Don't the two<br>
>> conflict?<br>
><br>
> No.  I expect the user - except in the google case - to either have<br>
> access to no cgroupfs mounts, or readonly mounts.<br>
><br>
> -serge<br>
</div></div></blockquote></div><br></div>