On Tue, Oct 02, 2007 at 01:50:35PM +0300, Igor Vlasenko wrote:
> > > В частности, это связано с тем, что некоторые пакеты чево-то сосут
> > > с сети.  Нет ли какого-нибудь сопособа запретить пользователю
> > > типа bee_b доступ к сети за пределами 127.0.0.1?
> > 
> > Такой способ есть, iptables называется.
> > 
> > Запретить?
> Огульно запрещать тоже не надо.
> для начала лучше только отслеживать такие пакеты.

Их трудно отслеживать в том смысле, что iptables не может сказать,
какой rpm-пакет в данный момент собирается.  Впрочем, hasher может
выдывать эту информацию в /dev/log.

Можно сделать что-то типа 'hasher-useradd --without-network'.
По сути это развитие сборочной инфраструктуры.  С другой стороны,
можно делать специальные сборочные container'ы, в которых нет ничего
кроме hasher'а и доступ ко внешней сети запрещён (кроме настоящего рута,
напр. для dist-upgrade'а).  Правда, я не знаю, как сейчас обстоит дело
с tmpfs у контейнеров.  Без tmpfs будет плохо.

Сборка пакета должна быть самодостаточной и полагаться только
на содержимое сборочного чрута.  Иногда это нарушается на стадии
'make test'.  Надо делать так:

%ifdef __BTE
disable online tests
%endif

Макрос %__BTE экспортируется hasher'ом.