[devel] build kernel modules & System.map

[devel] build kernel modules & System.map

[Led]

Есть ядерные модули, которым для сборки требуется (кроме 
kernel-header-modules) ещё и System.map от ядра, для которого они собираются.
Получается два неприятных момента:
1) Приходится ставить kernel-image в BuildRequires - но это хоть 
и "некрасиво", но возможно
2) ls -ld /boot
drwx------ 2 root root 1144 May 11 16:26 /boot
(в том числе и в хэшере). Таким образом доступа к /boot/System.map на этапе 
сборки получить всё равно не получается. 711 вместо 700 - проходит.

Про хук наподобие:

$ cat ~/.hasher/install/post
#!/bin/sh
chmod go+x /boot

я в курсе, с этим работает. Но это всё же локальный хук:(

P.S. 700 на /boot и /lib/modules - это AFAIR чисто ALT'овская параноидальная 
фича с непонятным назначением. Уже неоднократно приходилось городить вокруг 
этого костыли:(

-- 
Led

Re: [devel] build kernel modules & System.map

[Anton Farygin]

Led пишет:
> 
> P.S. 700 на /boot и /lib/modules - это AFAIR чисто ALT'овская параноидальная 
> фича с непонятным назначением. Уже неоднократно приходилось городить вокруг 
> этого костыли:(

Про /lib/modules - где-то есть в bugzilla запись.

Re: [devel] build kernel modules & System.map

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 415 bytes --]

On Mon, May 11, 2009 at 09:28:39PM +0400, Anton Farygin wrote:
> Led пишет:
> >
> >P.S. 700 на /boot и /lib/modules - это AFAIR чисто 
> >ALT'овская параноидальная фича с 
> >непонятным назначением. Уже 
> >неоднократно приходилось городить 
> >вокруг этого костыли:(
> 
> Про /lib/modules - где-то есть в bugzilla запись.

https://bugzilla.altlinux.org/show_bug.cgi?id=5969

Есть идеи?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] build kernel modules & System.map

[Led]

On Tuesday, 12 May 2009 00:44:08 Dmitry V. Levin wrote:
> On Mon, May 11, 2009 at 09:28:39PM +0400, Anton Farygin wrote:
> > Led пишет:
> > >P.S. 700 на /boot и /lib/modules - это AFAIR чисто
> > >ALT'овская параноидальная фича с
> > >непонятным назначением. Уже
> > >неоднократно приходилось городить
> > >вокруг этого костыли:(
> >
> > Про /lib/modules - где-то есть в bugzilla запись.
>
> https://bugzilla.altlinux.org/show_bug.cgi?id=5969
>
> Есть идеи?

Есть. Для исключительных случаев и для параноиков - control для установки 700 
на /boot и /lib/modules, по-умолчанию - 755 или хотя бы 711

-- 
Led

Re: [devel] build kernel modules & System.map

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 399 bytes --]


Twas brillig at 01:44:08 12.05.2009 UTC+04 when ldv@altlinux.org did gyre and gimble:

 DVL> https://bugzilla.altlinux.org/show_bug.cgi?id=5969

 DVL> Есть идеи?

#6

или же объявить, что с какого-то момента /lib/modules больше не закрыт,
модули должны быть 600 и добавить тест в sisyphus_check.

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [devel] build kernel modules & System.map

[Michael Shigorin]

On Tue, May 12, 2009 at 12:59:22AM +0300, Led wrote:
> > > >P.S. 700 на /boot и /lib/modules - это AFAIR чисто
> > > >ALT'овская параноидальная фича с непонятным назначением.
> > > >Уже неоднократно приходилось городить вокруг этого
> > > >костыли:(

Назначение понятно, но я, например, считаю неуместным повышать
привилегии для заглядывания в /boot/config*.  Т.е. считаю это
более потенциально опасным, чем такой DoS (от которого приведены
и другие средства, хотя modinfo тоже бы хотелось иметь
возможность делать без sudo -- но тут уж ладно).

> > > Про /lib/modules - где-то есть в bugzilla запись.
> > https://bugzilla.altlinux.org/show_bug.cgi?id=5969
> > Есть идеи?
> Есть. Для исключительных случаев и для параноиков - control для
> установки 700 на /boot и /lib/modules, по-умолчанию - 755 или
> хотя бы 711

А теперь перечитай #c9:

---
Мешало control-изации то, что называется проблемой "яйцо или курица":
у пакета filesystem не должно быть %pre-скрипта, но для control-изации
нужен %pre-скрипт.
---

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] build kernel modules & System.map

[Led]

On Friday, 15 May 2009 11:31:35 Michael Shigorin wrote:
> On Tue, May 12, 2009 at 12:59:22AM +0300, Led wrote:
> > > > >P.S. 700 на /boot и /lib/modules - это AFAIR чисто
> > > > >ALT'овская параноидальная фича с непонятным назначением.
> > > > >Уже неоднократно приходилось городить вокруг этого
> > > > >костыли:(
>
> Назначение понятно, но я, например, считаю неуместным повышать
> привилегии для заглядывания в /boot/config*.

# rpm -qf /boot/config-2.6.27-std-def-alt15
kernel-image-std-def-2.6.27-alt15

Какие проблемы в него "заглянуть", если то же самое можно любым пользователем 
посмотреть в пакете  kernel-image-*.rpm?

> Т.е. считаю это 
> более потенциально опасным, чем такой DoS (от которого приведены
> и другие средства, хотя modinfo тоже бы хотелось иметь
> возможность делать без sudo -- но тут уж ладно).
>
> > > > Про /lib/modules - где-то есть в bugzilla запись.
> > >
> > > https://bugzilla.altlinux.org/show_bug.cgi?id=5969
> > > Есть идеи?
> >
> > Есть. Для исключительных случаев и для параноиков - control для
> > установки 700 на /boot и /lib/modules, по-умолчанию - 755 или
> > хотя бы 711
>
> А теперь перечитай #c9:

Уже перечитал. Ничего не изменилось (от перечитывания):)

-- 
Led

Re: [devel] build kernel modules & System.map

[Michael Shigorin]

On Fri, May 15, 2009 at 02:10:47PM +0300, Led wrote:
> > > > > >P.S. 700 на /boot и /lib/modules - это AFAIR чисто
> > > > > >ALT'овская параноидальная фича с непонятным
> > > > > >назначением.  Уже неоднократно приходилось городить
> > > > > >вокруг этого костыли:(
> > Назначение понятно, но я, например, считаю неуместным
> > повышать привилегии для заглядывания в /boot/config*.
> # rpm -qf /boot/config-2.6.27-std-def-alt15
> kernel-image-std-def-2.6.27-alt15
> Какие проблемы в него "заглянуть", если то же самое можно любым
> пользователем посмотреть в пакете  kernel-image-*.rpm?

Да это понятно, не о том.  Я к тому, что закрывание _всего_
/boot мне лично приносит время от времени лишние sudo/su без
реальной необходимости к тому.  А что config-* не секрет _обычно_
(не факт, что он из опубликованного где-либо ядра) -- эт ясно.

> > > > https://bugzilla.altlinux.org/show_bug.cgi?id=5969
> > > > Есть идеи?
> > > Есть. Для исключительных случаев и для параноиков - control
> > > для установки 700 на /boot и /lib/modules, по-умолчанию -
> > > 755 или хотя бы 711
> > А теперь перечитай #c9:
> Уже перечитал. Ничего не изменилось (от перечитывания):)

Забыл сразу сказать, что про control-то давно подумали,
вот реализовать и проверить, как это будет работать при
создании чистого чрута -- пока никто не добрался.

filesystem не может зависеть от control, сам понимаешь.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] build kernel modules & System.map

[Led]

On Friday 15 May 2009 14:31:51 Michael Shigorin wrote:
> On Fri, May 15, 2009 at 02:10:47PM +0300, Led wrote:
> > > > > > >P.S. 700 на /boot и /lib/modules - это AFAIR чисто
> > > > > > >ALT'овская параноидальная фича с непонятным
> > > > > > >назначением.  Уже неоднократно приходилось городить
> > > > > > >вокруг этого костыли:(
> > >
> > > Назначение понятно, но я, например, считаю неуместным
> > > повышать привилегии для заглядывания в /boot/config*.
> >
> > # rpm -qf /boot/config-2.6.27-std-def-alt15
> > kernel-image-std-def-2.6.27-alt15
> > Какие проблемы в него "заглянуть", если то же самое можно любым
> > пользователем посмотреть в пакете  kernel-image-*.rpm?
>
> Да это понятно, не о том.  Я к тому, что закрывание _всего_
> /boot мне лично приносит время от времени лишние sudo/su без
> реальной необходимости к тому.  А что config-* не секрет _обычно_
> (не факт, что он из опубликованного где-либо ядра) -- эт ясно.

А зачем ты от своего "неопубликованного ядра" config в /boot кладёшь? Кстати, 
не забудь ещё и из /proc его убрать:)

>
> > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=5969
> > > > > Есть идеи?
> > > >
> > > > Есть. Для исключительных случаев и для параноиков - control
> > > > для установки 700 на /boot и /lib/modules, по-умолчанию -
> > > > 755 или хотя бы 711
> > >
> > > А теперь перечитай #c9:
> >
> > Уже перечитал. Ничего не изменилось (от перечитывания):)
>
> Забыл сразу сказать, что про control-то давно подумали,
> вот реализовать и проверить, как это будет работать при
> создании чистого чрута -- пока никто не добрался.
>
> filesystem не может зависеть от control, сам понимаешь.

Естественно. Зато поставить 711 по умолчанию на /boot можно поставить без 
всяких control. А control'ом параноик по желанию может поствить 700 - во 
время инсталляции или в любой момент после.

-- 
Led

Re: [devel] build kernel modules & System.map

[Michael Shigorin]

On Fri, May 15, 2009 at 03:54:51PM +0300, Led wrote:
> > > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=5969
> > > > > > Есть идеи?
> > > > > Есть. Для исключительных случаев и для параноиков - control
> > > > > для установки 700 на /boot и /lib/modules, по-умолчанию -
> > > > > 755 или хотя бы 711
> > > > А теперь перечитай #c9:
> > > Уже перечитал. Ничего не изменилось (от перечитывания):)
> > Забыл сразу сказать, что про control-то давно подумали,
> > вот реализовать и проверить, как это будет работать при
> > создании чистого чрута -- пока никто не добрался.
> > filesystem не может зависеть от control, сам понимаешь.
> Естественно. Зато поставить 711 по умолчанию на /boot можно
> поставить без всяких control. А control'ом параноик по желанию
> может поствить 700 - во время инсталляции или в любой момент
> после.

Саш, а ты никуда control не прикручивал?  У него в %pre
дампилка должна отработать.  А у filesystem не бывает %pre.

BTW насчёт умолчания -- согласен.  Добавишь в багу?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] build kernel modules & System.map

[Led]

On Friday 15 May 2009 17:21:55 Michael Shigorin wrote:
> On Fri, May 15, 2009 at 03:54:51PM +0300, Led wrote:
> > > > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=5969
> > > > > > > Есть идеи?
> > > > > >
> > > > > > Есть. Для исключительных случаев и для параноиков - control
> > > > > > для установки 700 на /boot и /lib/modules, по-умолчанию -
> > > > > > 755 или хотя бы 711
> > > > >
> > > > > А теперь перечитай #c9:
> > > >
> > > > Уже перечитал. Ничего не изменилось (от перечитывания):)
> > >
> > > Забыл сразу сказать, что про control-то давно подумали,
> > > вот реализовать и проверить, как это будет работать при
> > > создании чистого чрута -- пока никто не добрался.
> > > filesystem не может зависеть от control, сам понимаешь.
> >
> > Естественно. Зато поставить 711 по умолчанию на /boot можно
> > поставить без всяких control. А control'ом параноик по желанию
> > может поствить 700 - во время инсталляции или в любой момент
> > после.
>
> Саш, а ты никуда control не прикручивал?  У него в %pre
> дампилка должна отработать.  А у filesystem не бывает %pre.

Я не говорил о прикручивании control прямо в пакете filesystem.

> BTW насчёт умолчания -- согласен.  Добавишь в багу?

В моём filesystem умолчания меня устраивают.
На свой вопрос я получил ответ, посмотрев на дату заведения баги, на которую 
меня отправили.

-- 
Led

Re: [devel] build kernel modules & System.map

[Michael Shigorin]

On Fri, May 15, 2009 at 05:25:50PM +0300, Led wrote:
> > Саш, а ты никуда control не прикручивал?  У него в %pre
> > дампилка должна отработать.  А у filesystem не бывает %pre.
> Я не говорил о прикручивании control прямо в пакете filesystem.

А куда?  Мне что-то думалось, но тогда не успел додумать
и тем более сделать-проверить.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] build kernel modules & System.map

[Led]

On Friday 15 May 2009 17:32:32 Michael Shigorin wrote:
> On Fri, May 15, 2009 at 05:25:50PM +0300, Led wrote:
> > > Саш, а ты никуда control не прикручивал?  У него в %pre
> > > дампилка должна отработать.  А у filesystem не бывает %pre.
> >
> > Я не говорил о прикручивании control прямо в пакете filesystem.
>
> А куда?  Мне что-то думалось, но тогда не успел додумать
> и тем более сделать-проверить.

Да куда угодно. Хоть отдельный filesystem-control завести. Мне всё равно, 
потому как 711 на /boot в filesystem меня вполне устраивает пока что:)

-- 
Led