Xavier de Pedro
2011-Dec-15 13:13 UTC
[R-es] GUIs para R en 'jaulas' ssh con JailKit y chroot
Hola: En el trabajo tengo que montar acceso a investigadores a uno de los servidores de cálculo de la unidad, y he conseguido ya montar un R dentro de una jaula ssh con JailKit (chroot). http://olivier.sessink.nl/jailkit/ https://launchpad.net/jailkit Ahora bien, quería probar que los usuarios pudieran también abrir alguna GUI al conectarse con ''ssh -X foo@server'' (por ejemplo el Rcmdr, o RStudio, ...), pero no he conseguido montar bien en la jaula ssh las librerías tcltk (que necesita Rcmdr) ni todo lo necesario para que funcione el RStudio desktop. Sé que podría probar de nuevo con el rstudio-server edition (me falló hace meses cuando lo intenté por primera vez), pero como más adelante queremos hacer algo similar con algun otro programa basado en tcltk o java, así que ya puestos, pregunto por algún ha recorrido este camino antes. Sé que quizás la pregunta és demasiado específica, pero por si acaso... ¿alguien tiene experiencia con montar programas tipo GUI (usando tcltk, gtk2, java...) para R dentro de jaulas ssh (con JailKit u otros procedimientos)? Xavi [[alternative HTML version deleted]]
Marcuzzi, Javier Rubén
2011-Dec-15 14:13 UTC
[R-es] GUIs para R en 'jaulas' ssh con JailKit y chroot
Estimado Xavier de Pedro: Una vez vi un sitio web donde funcionaba R, ellos habían realizado una interfaz gráfica con sencha (en ese momento creo que ese framework ajax se llamaba ext). Si recuerdo que se trababa de una universidad ... Quizás buscando por internet pueda encontrar ese sitio, si es que aún existe, y posiblemente sus autores tengan un camino recorrido que puedan compartir con usted, lamentablemente hace mucho tiempo que vi ese sitio, y no tengo la menor idea de como regresar a esa dirección web para poder compartirla con usted. Javier Marcuzzi -----Mensaje original----- From: Xavier de Pedro Sent: Thursday, December 15, 2011 10:13 AM To: r-help-es Subject: [R-es] GUIs para R en 'jaulas' ssh con JailKit y chroot Hola: En el trabajo tengo que montar acceso a investigadores a uno de los servidores de cálculo de la unidad, y he conseguido ya montar un R dentro de una jaula ssh con JailKit (chroot). http://olivier.sessink.nl/jailkit/ https://launchpad.net/jailkit Ahora bien, quería probar que los usuarios pudieran también abrir alguna GUI al conectarse con 'ssh -X foo en server' (por ejemplo el Rcmdr, o RStudio, ...), pero no he conseguido montar bien en la jaula ssh las librerías tcltk (que necesita Rcmdr) ni todo lo necesario para que funcione el RStudio desktop. Sé que podría probar de nuevo con el rstudio-server edition (me falló hace meses cuando lo intenté por primera vez), pero como más adelante queremos hacer algo similar con algun otro programa basado en tcltk o java, así que ya puestos, pregunto por algún ha recorrido este camino antes. Sé que quizás la pregunta és demasiado específica, pero por si acaso... ¿alguien tiene experiencia con montar programas tipo GUI (usando tcltk, gtk2, java...) para R dentro de jaulas ssh (con JailKit u otros procedimientos)? Xavi [[alternative HTML version deleted]] _______________________________________________ R-help-es mailing list R-help-es en r-project.org https://stat.ethz.ch/mailman/listinfo/r-help-es
Marcuzzi, Javier Rubén
2011-Dec-15 14:25 UTC
[R-es] GUIs para R en 'jaulas' ssh con JailKit y chroot
Xavier: Creo que este es el sitio que mencione en mi correo anterior http://www.squirelove.net/r-node/doku.php Y si le sirve ... Javier -----Mensaje original----- From: Xavier de Pedro Sent: Thursday, December 15, 2011 10:13 AM To: r-help-es Subject: [R-es] GUIs para R en 'jaulas' ssh con JailKit y chroot Hola: En el trabajo tengo que montar acceso a investigadores a uno de los servidores de cálculo de la unidad, y he conseguido ya montar un R dentro de una jaula ssh con JailKit (chroot). http://olivier.sessink.nl/jailkit/ https://launchpad.net/jailkit Ahora bien, quería probar que los usuarios pudieran también abrir alguna GUI al conectarse con 'ssh -X foo en server' (por ejemplo el Rcmdr, o RStudio, ...), pero no he conseguido montar bien en la jaula ssh las librerías tcltk (que necesita Rcmdr) ni todo lo necesario para que funcione el RStudio desktop. Sé que podría probar de nuevo con el rstudio-server edition (me falló hace meses cuando lo intenté por primera vez), pero como más adelante queremos hacer algo similar con algun otro programa basado en tcltk o java, así que ya puestos, pregunto por algún ha recorrido este camino antes. Sé que quizás la pregunta és demasiado específica, pero por si acaso... ¿alguien tiene experiencia con montar programas tipo GUI (usando tcltk, gtk2, java...) para R dentro de jaulas ssh (con JailKit u otros procedimientos)? Xavi [[alternative HTML version deleted]] _______________________________________________ R-help-es mailing list R-help-es en r-project.org https://stat.ethz.ch/mailman/listinfo/r-help-es
Xavier de Pedro
2011-Dec-16 16:54 UTC
[R-es] RStudio-server: se busca hacker benevolente (era Re: GUIs para R en 'jaulas' ssh con JailKit y chroot)
Hola Francesc y demás:
Si, si, insistí con Rstudio modo server (¡la versión actual se me
instaló a la primera, no como hace meses!), y entre ayer y hoy he estado
retocando los permisos unix de los directorios para que los usuarios no
se puedan meter en otras carpetas.
Aun así, veo que al reiniciar el servidor (Ubuntu 10.04.x LTS 64 bits)
veo cada vez el siguiente mensaje que antes no estaba, y que tiene pinta
(por lo menos) sospechosa:
--------------------------
(...)
* Starting AppArmor profiles
Warning from /etc/apparmor.d/rstudio-server
(/etc/apparmor.d/rstudio-server line 29): Unconfined exec qualifier (ux)
allows some dangerous environment variables to be passed to the
unconfined process: ''man 5 apparmor.d'' for details.
---y mensaje equivalente para la linea 100)---
(...)
--------------------------
Bueno, y ya puestos, me he mirado la ayuda del "man" para apparmor.d,
tal y como dice el aviso, y parece ser que lo de ux significa:
--------------------------
ux - Unconfined execute mode
Allows the program to execute the program without any AppArmor
profile being applied to the program.
This mode is useful when a confined program needs to be able to
perform a privileged operation, such as rebooting the
machine. By
placing the privileged section in another executable and
granting
unconfined execution rights, it is possible to bypass the
mandatory
constraints imposed on all confined processes. For more
information
on what is constrained, see the apparmor(7) man page.
WARNING ''ux'' should only be used in very special
cases. It
enables
the designated child processes to be run without any AppArmor
protection. ''ux'' does not scrub the environment
of
variables such
as LD_PRELOAD; as a result, the calling domain may have an undue
amount of influence over the callee. Use this mode only if the
child absolutely must be run unconfined and LD_PRELOAD must be
used. Any profile using this mode provides negligible
security. Use
at your own risk.
--------------------------
Es decir, a mi me huele que para permitir que a través de rstudio-server
la gente pueda escribir en disco, etc. (y quizás instalar paqutes de R o
bioconducotr, etc., se ha de ejecutar en modo "ux" (que parece ser,
hablando en plata, = "inseguro").
La pregunta que tengo en la cabeza es, ¿alguien sabe cuan inseguro es?
(a ver, si hay algun "hacker" benevolente que quiera probar de colarse
sin malas intenciones, al mas puro estilo "hacker" de verdad, que me
escriba fuera de la lista que le paso unas credenciales de acceso al
rstudio para poder probar de verdad cuan robusto es esto del
rstudio-server en un servidor compartido con otros usuarios)
Es decir, alguien domina el tema, sobre como asegurar un servidor bien
para que los usuarios que se conecten por Rstudio (o R-node) no puedan
lanzar cualquier comando via llamadas a sistema con "system()"?
(entiendo que para poder reiniciar el servidor en sistemas basados en
debian con sudo, el usuario tendria que estar dentro de los sudoers, que
obviamente no está, así que no debería haber problema con esto)?
En fin, ahí queda esa reflexión/petición de ayuda... (¿aún existen los
hackers benevolentes de verdad? :-) )
Xavi
On 15/12/11 19:36, Francesc Carmona Pontaque wrote:> Hola Xavier,
>
> Yo insistiría con el RStudio en modo server. Yo lo he probado el
> servidor del Grupo de investigación y funciona muy bien.
> Además, ahora que lo he probado, cada vez me gusta más.
> Una introducción muy agradable de leer es Getting Started with RStudio
> <http://shop.oreilly.com/product/0636920021278.do> de John Verzani.
>
> Saludos
>
> Francesc
>
> 2011/12/15 Xavier de Pedro <xavier.depedro@vhir.org
> <mailto:xavier.depedro@vhir.org>>
>
> Hola Javier:
>
> Gracias por esto del R-node, no lo conocía.
>
> Lo mantengo "in mente" para otro de los servidores (al menos
para
> los acesos a R), al estilo rstudio-server. Al menos, si me vuelve
> a fallar la instalación de rstudio server, tengo otra alternativa
> que pinta bien también.
>
> Saludos
>
> Xavier
>
>
>
> On 15/12/11 15:25, Marcuzzi, Javier Rubén wrote:
>
> Xavier:
>
> Creo que este es el sitio que mencione en mi correo anterior
>
> http://www.squirelove.net/r-node/doku.php
>
> Y si le sirve ...
>
> Javier
>
>
>
>
> -----Mensaje original----- From: Xavier de Pedro
> Sent: Thursday, December 15, 2011 10:13 AM
> To: r-help-es
> Subject: [R-es] GUIs para R en ''jaulas'' ssh con
JailKit y chroot
>
> Hola:
>
> En el trabajo tengo que montar acceso a investigadores a uno
> de los
> servidores de cálculo de la unidad, y he conseguido ya montar un R
> dentro de una jaula ssh con JailKit (chroot).
>
> http://olivier.sessink.nl/jailkit/
> https://launchpad.net/jailkit
>
> Ahora bien, quería probar que los usuarios pudieran también
> abrir alguna
> GUI al conectarse con ''ssh -X foo@server'' (por
ejemplo el Rcmdr, o
> RStudio, ...), pero no he conseguido montar bien en la jaula
> ssh las
> librerías tcltk (que necesita Rcmdr) ni todo lo necesario para que
> funcione el RStudio desktop.
>
> Sé que podría probar de nuevo con el rstudio-server edition
> (me falló
> hace meses cuando lo intenté por primera vez), pero como más
> adelante
> queremos hacer algo similar con algun otro programa basado en
> tcltk o
> java, así que ya puestos, pregunto por algún ha recorrido este
> camino antes.
>
> Sé que quizás la pregunta és demasiado específica, pero por si
> acaso...
> ¿alguien tiene experiencia con montar programas tipo GUI
> (usando tcltk,
> gtk2, java...) para R dentro de jaulas ssh (con JailKit u otros
> procedimientos)?
>
> Xavi
>
>
> [[alternative HTML version deleted]]
>
>
>
>
>
>
>
> _______________________________________________
> R-help-es mailing list
> R-help-es@r-project.org <mailto:R-help-es@r-project.org>
> https://stat.ethz.ch/mailman/listinfo/r-help-es
>
>
>
> _______________________________________________
> R-help-es mailing list
> R-help-es@r-project.org <mailto:R-help-es@r-project.org>
> https://stat.ethz.ch/mailman/listinfo/r-help-es
>
>
>
[[alternative HTML version deleted]]
Seemingly Similar Threads
- Duda sobre cómo analizar un experimento factorial con algoritmos de extracción de características, clustering y clasificación como factores
- Duda sobre cómo analizar un experimento factorial con algoritmos de extracción de características, clustering y clasificación como factores
- Chrooted R + Rserve
- Duda sobre cómo analizar un experimento factorial con algoritmos de extracción de características, clustering y clasificación como factores
- summary( Jornadas de R )