Тесты производительности Linux и FreeBSD

> Были настолько бессознательны, что перепутали линукс с фрибсд. Это
> сколько же надо выпить
> или колес сожрать? Ну что ж, всякое бывает...
Да прочитай ты соответствующее объяснение автора сайта и shut up.
Я предпочитаю выяснять взаимоотношения между OS основываясь на
более представительных фактах, чем то, кому на каком хостинге
довелось держать _сегодня_ сайт. Тем более, что фактов в пользу
FreeBSD и так есть у нас.

Дык это специально, тест на чувство юмора. Умный улыбнется, придурок начнет выводы строить... Ну и как, нравится тебе качество его работы на freebsd? Быстро работает, да? Всегда доступен? Не глючит?

blin esli fbsd takoi` glik, neuzheli v msk nel`zya nai`ti hostinga na linux?

vot on, tipichnyi` linux`oid: sidet` na win2k, v inet hodi` cherez fbsd, i vezde orat`: "linux - rulez, win&fbsd - suxx"

> Мы сравниваем Jail и freeVSD как системы, предоставляющие некую
> сходную функциональность

Боже, какая каша у тебя в голове. Система Jail... Звучит ;)

> 3) Ограничить взаимную видимость между несколькими jail. Signals,
> processes, some sysctl nodes. Как удобно ты это забыл,

Почему же забыл? Я упоминал про vserver, который все это может, только делает
гораздо удобней. Ты почитай, какая тьма ограничений и предварительных требований
для запуска jail. С другой стороны, ты скажи, какие душевные проблемы ты испытываешь
в случае, если другой юзер подсмотрит информацию о чужом процессе. В юниксе
всю жизнь с этим жили вроде бы... Какая военная тайна в этом содержится?
А ограничивает твой jail уж очень активно. В рамках jail нельзя например послать
сигнал сразу всем его процессам.

> Теперь гарантируй, что злой дядя не сломает твой
> mysqld и не использует эту дыру для того

Еше со времен линукс-2.1 появились в нем posix capability... Даже не знаю,
есть ли они во фре, но скорее всего нет, ибо если бы были, то не надо было бы
изобретать jail-велосипед ;) Эта такая штучка, типа системы нипель. Если один раз
потерял способность чего-то делать, то дальнейшее отсутствие этой способности
уже гарантируется ядром. Такие дела...

> И заодно таки ответь мне что же делать с поломанным UID 0 процессом.
См. ответ выше, плюс chtrunk запрещает создание девайсов внутри "тюрьмы".

> Вот от тебя и добиваются примера, чего такого конкретно в jail
Лучше я скажу про то, что в нем всегда будет ;) В нем всегда придется вручную
создавать все необходимую ему инфраструктуру. А она не маленькая. Он неповоротливый
и плохо управляемый. У него присутствуют явно нерешенные проблемы, как то:

IPC mechanisms have not been converted to the suser_xxx so applications
such as MySQL cannot be run within a jail.

То есть тот пример, что я привел с запуском mysql обратно повторить с помощью jail
невозможно. Да... перестарался я в стремлении повторить функциональность jail ;(((
Не, ну вот тебе уже серьезная проблема, однако...

Superuser access may have a very limited meaning within a jail, but there
is no way to specify exactly what "very limited" means.

Тоже интересная деталь... никто точно и наверняка не может сформулировать, какие же
возможности суперюзера остаются в jail. Очень забавно. А теперь взгляни, как чисто
и непринужденно это отрабатывается с помощью chtrunk. Нет, не хочу я такой jail.
Игрушечная тюрьма, если присмотреться поближе ;)

> Да прочитай ты соответствующее объяснение автора сайта и shut up.
А лично ты, что понял из этого объяснения?
"...был обусловлен административными, нетехническими соображениями."
Из этого я могу предположить, что это было политическое решение. Кто может возразить?
Конкретный мотив не указан, а потому сделай-ка сам себе shut up.

>blin esli fbsd takoi` glik, neuzheli v msk nel`zya nai`ti hostinga na linux?

>vot on, tipichnyi` linux`oid: sidet` na win2k, v inet hodi` cherez fbsd, i vezde orat`: "linux - rulez, win&fbsd - suxx"

Действительно - блин. Трудно прочитать объяснения?

> tipichnyi` linux`oid

^^^^^^^^^^^^^^^^^^^^^^- Типичный бздоид =) Локаль совсем нельзя настроить?

> Типичный бздоид =) Локаль совсем нельзя настроить?

locale можно настроить

Гы-гы. Помню, в линуксе еще не было LVM.
Любители OS/2 говорили линуксоидам: "А у нас LVM есть."
В ответ: "Да нафиг нам нужен ваш LVM? LVM сакс".

Прошло время и что я слышу, теперь уже линуксоиды говорят, "А у нас LVM есть".

:)

Еще спор о jail напоминает спор двух DBA. Один админит чего-то промышленное (Oracle, DB2, Sybase, etc), другой - MySQL.
1. А у вас транзакций нету.
2. А транзакции мы сделаем внешними скриптами.

:)

2anonymous (*) (2001-11-19 12:06:39.0): а зачем во фряхе локаль настраивать? Указал при создании юзера что у него login class не default, а russian и все дела...ж;)
Ну правда иксы и в африке иксы - их настроить таки придется...

Ты согласен заплатить за перевод сайта на другой ISP и обеспечить его
содержание там? Если нет, то всё-таки помолчи. Написано русским языком,
что вопрос был обусловлен нетехническими причинами, так поверь этому,
а не городи свои измышления.
За shut up извиняюсь. Я не думал, что ты при примешь это близко к
сердцу.

> Боже, какая каша у тебя в голове. Система Jail... Звучит ;)
Ты опять за своё, психиатр? Системное решение, программный комплекс,
whatever - выбери себе название по вкусу и не цепляйся к словам.
И заодно определись, сравнимы или несравнимы Jail и freeVSD.
Если не сравнимы, с связи со всяческим отсутствием поддержки
со стороны ядра у freeVSD, то давай ты в конце этой занимательной
беседы признаешься, что язык твой - враг твой и про простую
userland utlility ты сболтнул не подумав. Всё ж таки бесконечно
ссылаться на кашу в чужой голове, убедительно продемонстрировав
свой собствненный бардак несколько некорректно. Бревно в глазу
и всё такое прочее...

> и предварительных требований для запуска jail. С другой стороны,
> ты скажи, какие душевные проблемы ты испытываешь в случае, если
> другой юзер подсмотрит информацию о чужом процессе. В юниксе
> всю жизнь с этим жили вроде бы... Какая военная тайна в этом
> содержится? А ограничивает твой jail уж очень активно. В рамках
> jail нельзя например послать сигнал сразу всем его процессам.
Читаем документацию и воздерживаемся от проявлений дремучести. Это
почему ж нельзя-то:

Normal machine shutdown commands, such as halt(8), reboot(8), and
shutdown(8), cannot be used successfully within the jail. To kill
all processes in a jail, you may log into the jail and, as root, use
one of the following commands, depending on what you want to
accomplish:

o kill -TERM -1
o kill -KILL -1

This will send the ``TERM'' or ``KILL'' signals to all processes in
the jail from within the jail. Depending on the intended use of the
jail, you may also want to run /etc/rc.shutdown from within the
jail. Cur- rently there is no way to insert new processes into a
jail, so you must first log into the jail before performing these
actions.

Тебе не нравится необходимость login в jail? Ну тогда man ps, grep,
awk и xargs - и hack away.

> С другой стороны, ты скажи, какие душевные проблемы ты испытываешь
> в случае, если другой юзер подсмотрит информацию о чужом процессе.
В > юниксе всю жизнь с этим жили вроде бы... Какая военная тайна в
этом > содержится? Да всё таже - информация это о том, что я
запускаю и как я это делаю. Именно потому, что в Unix это всегда так
и было и вызвало к жизни и jail, и freeVSD, и vserver. Да и про
сигналы не забудь. UID root breach в freeVSD - нет, с Linuxом такое
не возможно, у него ж безупречная репутация в этой области. Так,
что-ли?

> Почему же забыл? Я упоминал про vserver, который все это может, >
только делает гораздо удобней. A вот это уже отмазка. На userland
утилиту это никак не смахивает, и тем самым скорее опровергает тот
бред, который ты несёшь с самого начала. Оно как никак с jail
сдиралось. А про "гораздо удобнее" - это, опять же, твоё частное
мнение, с которым я уже ознакомлен, спасибо.

> Лучше я скажу про то, что в нем всегда будет ;) В нем всегда
> придется вручную создавать все необходимую ему инфраструктуру. А
> она не маленькая. Он неповоротливый и плохо управляемый. У него
> присутствуютявно нерешенные проблемы, как то:

> IPC mechanisms have not been converted to the suser_xxx so
> applications such as MySQL cannot be run within a jail.

Про nullfs тебе писали. Задание нужной файловой структуры через
серию mount -t nullfs команд ничем принципиальным от задания того же
через параметры сhtrunk не отличается. Мимо. Про LOMAC ты уже
пролетел, точно так же пролетишь с _SYSV_ IPC. Да и проблема,
решаемая jail всё-таки более тяжеловесна сама по себе. chtrunk - это
улучшенный сhroot, и полноценный virtual environment на нём со своим
root, и init, и sshd не сделаешь.

> Еше со времен линукс-2.1 появились в нем posix capability... Даже
> не знаю,есть ли они во фре, но скорее всего нет, ибо если бы
> были, то не надо было бы изобретать jail-велосипед ;) Эта такая
> штучка, типа системы нипель. Если один раз потерял способность
> чего-то делать, то дальнейшее отсутствие этой способности уже
> гарантируется ядром. Такие дела...
И у кого каша в голове?
Capаbility flag, разрешающий не посылку сигналов кому угодно вообще,
а только определённой группе процессов и их будущим потомкам ты мне
привести готов? Ditto для adress binding? Красиво говоришь, но с
фактами не дружишь. Уверенность в тупости окружающих тебя
закономерно подводит, ведь тот же vserver люди зачем-то писали, два
дополнительных syscll-a им зачем-то понадобились, не находишь?

> Superuser access may have a very limited meaning within a jail,
> but there is no way to specify exactly what "very limited" means.
>
> Тоже интересная деталь... никто точно и наверняка не может
> сформулировать, какие же возможности суперюзера остаются в jail.
> Очень забавно. А теперь взгляни, как чисто и непринужденно это
> отрабатывается с помощью chtrunk. Нет, не хочу я такой jail.
Игрушечная тюрьма, если присмотреться поближе ;) Всего-лишь
честное предупреждение, что из-за старательных попыток не позволить
jailed root завалить соседние VM, cпиcок того, чего руту нельзя
получился очень большим. Какие-то из типичных задач рута просто не
будут работать как обычно. Что здесь такого? Это ж не откровенно
лживое обещание полной взаимной изоляции VM между собой a-la
freeVSD?

Если ты не догадался, то этот ответ тебе от меня последний.
Читай доки и исходники. Сверяй желаемое с действительным.
Спасибо за внимание.

> Читаем документацию и воздерживаемся от проявлений дремучести

Ага, воздерживаемся, но только после прочтения man jail(8) в секции BUGS.

> Да и про сигналы не забудь. UID root breach в freeVSD - нет,

У меня и вообще у знающих, что они делают людей, процесс даже будучи в chroot'ed jail
не работает под рутом. После chroot'a и bind'a на нужный привелигированный порт
процесс немедленно и необратимо складывает с себя рутовые полномочия. А у вас не так?
Тогда мне вас жаль. Таким ребятам никакие тюрьмы не помогут...

>> IPC mechanisms have not been converted to the suser_xxx so
>> applications such as MySQL cannot be run within a jail.

>Про nullfs тебе писали.

Да мне и про mysql в jail'e писали... Приходится иногда не верить.

> И у кого каша в голове?
> Capаbility flag, разрешающий не посылку сигналов кому угодно вообще,

Я ж говорю у тебя каша в голове. CAP_KILL если настаиваешь...
И опять же, у грамотных людей процессы под рутом пускаются, но снимают с себя полномочия
в штатном режиме. Соответственно посылать сигналы гипотетический взломщик будет
от простого юзера.

> Если ты не догадался, то этот ответ тебе от меня последний.

Боже упаси ;) Никогда никого не заставлял отвечать под пистолетом...
Дело сугубо добровольное.

CAP_KILL - прочитай, что capability из себя представляет, и
заткнись, знаток.

Я всегда говорил, что все бсдуны - безграмотное, гнилое и ленивое ламерье.
Линуксом однако ползоваться не брезгуют, когда жизнь заставляет. Только тяжело
он им дается. Один bsd-товарищ тут уже второй год ulimit изучает ;(

> Я всегда говорил, что все бсдуны - безграмотное, гнилое и ленивое ламерье.

ty davno linuhoidom to zadelalsya? god to est`?

samoe to smeshnoe v tom, chto kogda proi`det moda na linux, 90% yaryh linuxoidov perei`dut na sleduushuu modnuu os, i tochno tak zhe budut obsirat` lunix

modniki blya...

k predidushemu: nadeus`, freebsd ne stanet modnoi` :>

2anonymous (*) (2001-11-20 05:07:18.0): не станет, не станет...:) И это радует...:)

У меня хостящиеся юзера больше года живут в jail и ничего. Ни разу jail не проявил себя с плохой стороны.

>Поэтому у себя в конторе буду сап с сана на линукс переводить

О! Коллега :)
Только у меня уже работает.
RedHat 6.2, 4.6C.
Надо вот на SESL7 перезжать...

Блин, не хочу продолжать флуд, но все таки скажу. Да я бздун как обзывают. Пускай не супернавороченый бздун.... Реальная ситуация: сервер - дуал П3-700, 1 Гб оперативки, скази доска на борту материнки аик-7890, три хдд по 35 Гб. Машина была куплена для запуска на оной оракла. Бинарники оракела как изестно компилены под линух, начал я ставить рх 7.1, при запуске mkfs машина вываливала кернел паник. Я бился очень долго, порядка двух недель, перепробовал кучу дистрибутивов - результата ноль. В итоге в целях эксперимента решил попробовать поставить фбсд. Система встала без единой ошибки. Работала замечально, пускай я не получал обещаных "...80 Mbytes per second..." но работало прекрасно и самое главное стабильно. Но так как мне нужен оракл, пришлось искать в чем грабли. В результате 2-ух недельных боев с сервером выяснилось что один из PC-133 ECC DIMM сбоит, и он есть причина всех граблей. В итоге линукс на эту машину был поставлен и оракел запущен. Но... Народ, я еще раз повторяюсь, я не особенный спец в юниксах, мне нужно лишь то что бы мои задачи работали. ВСЕ ! И вот после этого инценденита я еще больше доверяю бсд. Пусть местами что то не так красиво, пусть где то удобства не хватает, пофик, эта система мне нравится. Опять же, дабы не разводить флуд, предупреждаю - это только _МОЕ_ мнение. Чуть не забыл, мне понравилось как фбсд отрабатывала сбойнутый модуль, вываливает сообщение при загрузке ядра, что то вроде ...too many holes in physical memory.... и все, далее все работает. Кстати а еще какая нибудь операционка может похвстатся таким ? Вот список того что я тестировал на этом сервере: W2K Server ENG, W2K Advanced Server ENG, W2K Server Rus, W2K Professional ENG, W2K Professional RUS, NetWare 5.1, NetWare 4.11, Slackware-8.0, Mandrake 7.2, Mandrake 8.0, RedHat 7.1, RedHat 7.2. Ни одна из этих операционок не доходила даже до фазы копирования файлов, все валилось на создании/форматировании раздела/ов.

Блин, не хочу продолжать флуд, но все таки скажу. Да я бздун как обзывают. Пускай не супернавороченый бздун.... Реальная ситуация: сервер - дуал П3-700, 1 Гб оперативки, скази доска на борту материнки аик-7890, три хдд по 35 Гб. Машина была куплена для запуска на оной оракла. Бинарники оракела как изестно компилены под линух, начал я ставить рх 7.1, при запуске mkfs машина вываливала кернел паник. Я бился очень долго, порядка двух недель, перепробовал кучу дистрибутивов - результата ноль. В итоге в целях эксперимента решил попробовать поставить фбсд. Система встала без единой ошибки. Работала замечально, пускай я не получал обещаных "...80 Mbytes per second..." но работало прекрасно и самое главное стабильно. Но так как мне нужен оракл, пришлось искать в чем грабли. В результате 2-ух недельных боев с сервером выяснилось что один из PC-133 ECC DIMM сбоит, и он есть причина всех граблей. В итоге линукс на эту машину был поставлен и оракел запущен. Но... Народ, я еще раз повторяюсь, я не особенный спец в юниксах, мне нужно лишь то что бы мои задачи работали. ВСЕ ! И вот после этого инценденита я еще больше доверяю бсд. Пусть местами что то не так красиво, пусть где то удобства не хватает, пофик, эта система мне нравится. Опять же, дабы не разводить флуд, предупреждаю - это только _МОЕ_ мнение. Чуть не забыл, мне понравилось как фбсд отрабатывала сбойнутый модуль, вываливает сообщение при загрузке ядра, что то вроде ...too many holes in physical memory.... и все, далее все работает. Кстати а еще какая нибудь операционка может похвстатся таким ? Вот список того что я тестировал на этом сервере: W2K Server ENG, W2K Advanced Server ENG, W2K Server Rus, W2K Professional ENG, W2K Professional RUS, NetWare 5.1, NetWare 4.11, Slackware-8.0, Mandrake 7.2, Mandrake 8.0, RedHat 7.1, RedHat 7.2. Ни одна из этих операционок не доходила даже до фазы копирования файлов, все валилось на создании/форматировании раздела/ов.

Ну.... очень дешевенький примерчик... Даже папа римский не смог бы тебе гарантировать
нормальную работу такой машины. Я считаю, что это фича, а не баг, если ОС не ставится на сбойное железо.
Эта фича предотвращает наступление состояния, когда админу становится мучительно больно
за бесцельно прожитые годы... И еще, не пользуй на сервере редхэт. Это не линукс,
это позор линукса.

А какой лучше использовать дистрибутив Линуха если не RedHat то что Slackware????????

Интересно, а помнит ли кто о исходной версии темы обсуждаемой. Начали за здравие - кончили за упокой,

На сервере конечно лучше использовать slackware. redhat - дешевая поделка,
смесь бульдога с носорогом, порочная попытка угодить десктопным l-юзерам и
серверным админам. Но сама по себе slackware тоже требует ручной доводки,
и в этом плане нет идеальных серверных дистрибутивов.

> Я всегда говорил, что все бсдуны - безграмотное, гнилое и ленивое 
> ламерье. Линуксом однако ползоваться не брезгуют, когда жизнь
> заставляет. Только тяжело он им дается. Один bsd-товарищ тут уже
> второй год ulimit изучает ;(
Говорить-то ты говорил, да вот делом доказываешь про типичных
Linux-оидов то, что про них каждый BSDоид знает, но в слух сказать
стесняется, воспитание не позволяет. И Linux-ом пользоваться
мы таки брезгуем, не в последнюю очередь благодаря тебе.
Жизнь слишком разнообразна и в ней просто не существует ситуаций,
когда использованию Linux не было бы альтернативы.

Знатокам Posix capabilities - расскажете, как при помощи CAP_KILL
cделать виртуальный хост со своим root и своими непересекающимися 
множествами юзеров, над чьими процессами виртуальный root имеет
полный контроль, при этом никакого контроля над процессами из
других хостов не имея?

Поздно я этот форум заметил :(

> Поздно я этот форум заметил :(
Лучше б ты его совсем не замечал. Тут и без тебя $%^&^ хватает ;(
На а заметил, дык прочти сначала, о чем в нем писали. Только внимательно,
не вырывая фразы из контекста. Впрочем что с вас взять... Один ман не может
прочитать, другой в форуме знакомые буквы разглядел и сразу в спор...
Я ж говорю - ламерье дремучее.

Ну твоя-то манера беседы беседы даже как попытка дискусии
рассматриваться не может. Сколько других ламерьём не называй, сам 
круче от этого не станешь, уважаемый Linuxоид-недоучка, для этого 
какие никакие знания нужны. Я не знаю,
ты ли это дискутировал в начале, но глядя на такой уровень 
аргументации становится по настоящему жалко людей, с тобой по долгу
службы обязанных встречаться. Хотя, похоже, что студент ты прыщавый,
и никто другой. Сожалею, что сюда заглянул, интеллектом твоим так в 
нос и шибает. POSIX стандарт сам прочти, для начала. 
Пока. Ухожу, ухожу, ухожу.

Конечно уходишь... столько раз уже тебя послали.

> Конечно уходишь... столько раз уже тебя послали. Ты меня - впервые. Утри сопли.

OK, для надежности пошлем еще раз. Не всегда с первого раза получается ;)

А ты мне станцуй, ублюдок. Мож тогда прислушаюсь с жидкому потоку полупротухших мыслишек изливаемых тобой здесь. Экзорсист!

Ну вот... я же тебя уже послал. Как так получилось, что ты снова воскрес ;(
Задница у тебя деревянная что ли?

Язык у тебя без мозолей? Поцелуй мою деревенную ещё раз. И словом волшебным опять разродись, студент.

Анонимусу, загоняющему в userspace ограничения... Иди лесом. Только под FreeBSD с jail хостинг-провайдеры раздают тысячи виртуальных рутов своим клиентам. Под линуксом это есть user space kernel - но он тысячи процессов кернела не потянет.

Вышел старый ламеришко из тени и вставил свое мудрое слово...
ulimit хоть выучил, дубинушка стоеросовая?

Шоб тебе 3 дня своп вычищать :))))
Не поможет ulimit :)))))))

А я 2 недели rexFSB переделывал...
Мой линукс теперь не забомбить ничем :)

Выдохся наш резидентный тролль на этом форуме, похоже, задубел язык от постоянных контактов с деревянными предметами, только сла-а-бенько так "ламерами" отбивается... Очнися, золотце, скучно нам без клоуна.

Всем сосать. иван@паровозов

Я не выдохся. Просто у меня нет цели переспорить всех бсдунишек-ламеришек,
которые пасутся на линуксовых сайтах. Одного опустил - и достаточно.
Другим наука будет ;)

Удивительно, кого это ты опустил, а? Как-то это ты легко записался
в победители, наверное, за отсутствием претендентов с другой стороны.
"A кто здесь в победители будет? Никого? Так я первым буду!" - прям
как в сказочке, и с таким же удивительно лопуховатым героем :)

Своих заявлений ты не доказал, ни на один вопрос, как сделать
jail-аналог на связке chroot/CAP_KILL не объяснил (и не сможешь),
зато окрестить всех направо и налево вполне преуспел. Наверное, тоже
для науки другим, чтоб с дерьмом впредь не связывались. Что же, с
дурной овцы хоть шерсти клок.

> как сделать jail-аналог на связке chroot/CAP_KILL не объяснил

Правда? А я думаю, что после прочтения этого треда даже убогий сможет это сделать.
Все необходимые исходные данные присутствуют. Нежелание читать маны
за оправдание не принимается. Эту вашу болезнь я знаю хорошо. Я уж и так
довольно много процитировал товарищу бсдисту манов из его любимой системы,
которых он похоже отродясь не читал. Так что это ваши проблемы, решайте их как-нибудь сами.

chroot/CAP_KILL не даёт полномочий рута, пусть и виртуального.

Ха, рут сделал chroot. И после этого перестал быть рутом. Так что ли?
Думай, прежде чем писать, мудрилла.

> Ха, рут сделал chroot. И после этого перестал быть рутом. 
> Так что ли? Думай, прежде чем писать, мудрилла. 
Не перестал. Получил explоit и повбивав все другие процессы,
в том числе и в других VM. СAP_KILL не помогает, потому как
в этом случае виртуальный root потеряет контроль над процессами
своих же виртуальных юзеров. И кстати обьясни нам, убогим, как ты
с chroot/jail IP address binding ограничивать собираешься? Можно со
ссылкой на твои же предыдущие сообщения, буде такие найдутся. Маны не
цитировать надо, их ещё и понимать надо.

Shadow как раз думал, перед тем, как "Ха"-хать, в отличие от...

Опечатка: chroot/jail читать как chroot/CAP_KILL.

> в этом случае виртуальный root потеряет контроль над процессами
> своих же виртуальных юзеров.

Читай внимательно доки, ученый. Конкретно прочти чего делает и чего не делает CAP_KILL.

IP addreess как всё-таки ограничивать собираешься, открой тайну?
И чего это ты так целеустремлённо ыуставляешь себя недоучкой-то, а?
Тебе уже говорили, что тыкать людей носом в документацию, 
предварительно не прочитав её самому - по меньшей мере некорректно.
Ну что же, получай, раз заслужил, ещё раз и по тому же месту:

Выдержка из POSIX Draft-а:

CAP_KILL - This capability shall override the restriction, that
the real or effective user ID of a process sending signal should
match the real or effective ID of the receiving process.

Выдержка из соответствующего места в Linux 2.4.14:

int bad_signal(int sig, struct siginfo *info, struct task_struct *t)
{
   return (!info || ((unsigned long)info != 1 && SI_FROMUSER(info)))
    && ((sig != SIGCONT) || (current->session != t->session))
    && (current->euid ^ t->suid) && (current->euid ^ t->uid)
    && (current->uid ^ t->suid) && (current->uid ^ t->uid)
    && !capable(CAP_KILL);
}

Теперь расскажи, как твой виртуальный root без CAP_KILL capability
собирается посылать SIG_HUP sendmail-у, который работает под UID 100,
для примера? Или прибить shell забывшегося юзера? 

А потом прочти всё-таки документацию, непутёвый ты наш. Ведь уже и
не смешно даже.

> the real or effective user ID of a process sending signal should
> match the real or effective ID of the receiving process.

Читай это место столько раз, сколько тебе понадобится для полного понимания.
Я не нашел в нем противоречия тому, что я сказал ранее. Как виртуальный рут
будет посылать сигналы sendmail'у (фу, какая гадость) оставляю тебе в качестве
домашнего задания ;)

То есть сейчас ты мне рассказал, что виртуальному root-у ничего не
стоит сделать свой EUID совпадающим с UID sendmail и послать 
последнему сигнал (just a guess)? Вопрос тебе тогда:

   Что помешает виртуальному root провести тот же трюк и угрохать
   процесс в произвольной VM и где тогда твои слова о capabilities
   как средстве создания эквивалента jail? Тебя ж спрашивали, как
   точно CAP_KILL применим для этого.

   Обучать этому трюку программы, типа killall, ты тоже берёшься?
   А те, что исходников не имеют, про сapabilities не знают, а 
   сигналы тем не менее посылать хотят? Не проще ли взять jail,
   где всё это работает просто так?
Тебя не зря просили прочитать спецификацию.

Да брось ты, это бесполезно :(
Побереги нервы.