Re: [devel] minimal system - Dmitry V. Levin

ALT Linux Team development discussions
 help / color / mirror / Atom feed

From: "Dmitry V. Levin" <ldv@alt-linux.org>
To: devel@altlinux.ru
Subject: Re: [devel] minimal system
Date: Tue, 27 Nov 2001 11:19:54 +0300
Message-ID: <20011127081954.GB18772@ldv.office.alt-linux.org> (raw)
In-Reply-To: <20011127090458.053d19f7.andrei@tvcell.ru>

[-- Attachment #1: Type: text/plain, Size: 4609 bytes --]

On Tue, Nov 27, 2001 at 09:04:58AM +0300, Andrey Astafiev wrote:
> Большое спасибо, за пояснения. еще немного вопросов.
> 
> > mingetty - должен быть в зависимостях initscripts.
> 
> его там нет.
> 
> > > passwd
> >
> > а если не надо?
> 
> возможно, в BTS и не надо, а для минимальной
> многопользовательской рабочей системы - надо :)

Тогда это пакет interactivesystem.

> насколько я помню, я ни словом не упомянул,
> что basesystem должен зависеть от passwd.
> я так понял, basesystem является тем ограничивающим
> пакетом в системе, наличие которого при сохраненных
> зависимостях гарантирует присутствие всех
> жизненно-необходимых компонентов?

Да, так было задумано.
Вопрос только в том, что считать жизненно необходимым?

> > Как уже было сказано, setup сейчас необходимо
> > ставить до basesystem.
> 
> кстати, в описании basesystem сказано, что этот
> пакет должен быть установлен первым, а Александр
> написал, что сначала нужно установить setup с
> зависящими от него пакетами, хотя таковых нет.
> это временное явление?

На данный момент нет другого способа гарантировать, что setup будет
установлен первым.

> > > это навело на мысль о том, что возможно скрипты,
> > > связанные с установкой и удалением пакетов тоже
> > > проверять на предмет зависимостей. бред? усложнение?
> >
> > Это уже запланировано. Однако придется исправлять
> > довольно много скриптов.
> 
> т.е. удалять из скриптов неоправданно используемые
> команды? зависимости ведь будут проставляться...

Не только. Например, макрос %update_menus надо будет изменить с нынешнего
[ -x /usr/bin/update-menus ] && /usr/bin/update-menus ||:
на более корректное
UPDATE_MENUS=/usr/bin/update-menus
[ -x "$UPDATE_MENUS" ] && "$UPDATE_MENUS" ||:

Аналогично следует поступить во всех случаях условного запуска.

> > Сейчас в findutils есть поддержка некоторых особых
> > возможностей ext2. Если они оттуда исчезнут,
> > то и зависимость пропадет.
> 
> похоже эта зависимость будет жить в веках :)

Не факт, см.
http://bugs.altlinux.ru/view_bug_advanced_page.php?f_id=0000074

> > > установить util-linux без нарушения завивисимостей
> > >нельзя, так как agetty зависит от login,
> >
> > Эти "вытаскивающие за волосы" зависимости (glibc,
> > util-linux,shadow-utils) были сделаны с тем, чтобы
> > в уже работающей системе не потерять необходимые
> > компоненты.
> 
> но ведь теперь для этого существует basesystem?

Кто сказал, что, напр., fdisk - это basesystem?

> > > еще немного об авторизации. при установке shadow-utils
> > > не создаются файлы shadow и gshadow, хотя могли бы при
> > > помощи скрипта на основе информации из passwd и group.
> >
> > Не думаю, что это актуально в связи с tcb...
> 
> что такое tcb?

TCB(5)                                                     TCB(5)

NAME
       tcb - alternative password shadowing scheme

PROBLEM
       With  the  traditional password shadowing scheme, password
       hashes and password aging  information  of  all  users  is
       stored  in one file, /etc/shadow.  Therefore, if a process
       requires access to information on a  single  user,  it  is
       forced  to  possess  privileges  which  are  sufficient to
       access data on all users.  This is a design flaw, which is
       most  clearly  visible  in  the case of passwd(1) utility.
       Let's assume that unprivileged users are to be allowed  to
       change  their  own  passwords.   Whatever  permissions are
       assigned to /etc/shadow, passwd(1),  invoked  by  unprivi-
       leged  user U, must be able to modify the contents of this
       file.  If malicious user U finds  a  way  to  control  the
       passwd(1)  process  (with the help of a buffer overflow or
       another bug in the passwd(1) code,  in  the  libraries  it
       uses,  or  in the kernel), the user will be able to change
       passwords of all users and thus obtain full  control  over
       the system.

SOLUTION
       The  solution  is  straightforward - each user is assigned
       its own, separate shadow-style file.  User U's shadow file
       is  owned by U, so passwd(1) invoked by U does not require
       superuser privileges.

Надеюсь скоро перевести Sisyphus на tcb (если на этой неделе не успею, то
на следующей).


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

next prev parent reply	other threads:[~2001-11-27  8:19 UTC|newest]

Thread overview: 17+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2001-11-26  6:35 Andrey Astafiev
2001-11-26 11:24 ` Alexander Bokovoy
2001-11-26 11:31   ` Alexander Bokovoy
2001-11-27  6:05   ` Andrey Astafiev
2001-11-27  7:59     ` Dmitry V. Levin
2001-11-27  9:47     ` Alexander Bokovoy
2001-11-26 13:29 ` Dmitry V. Levin
2001-11-26 13:50   ` Andrey Astafiev
2001-11-26 14:02     ` Dmitry V. Levin
2001-11-27  6:04   ` Andrey Astafiev
2001-11-27  8:19     ` Dmitry V. Levin [this message]
2001-11-27  9:23       ` Andrey Astafiev
2001-11-27  9:35         ` Dmitry V. Levin
2001-11-27 10:23           ` Andrey Astafiev
2001-11-27  9:43       ` [devel] " Mikhail Zabaluev
2001-11-27  9:47         ` [devel] " Dmitry V. Levin
2001-11-27  9:55     ` Alexander Bokovoy

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20011127081954.GB18772@ldv.office.alt-linux.org \
    --to=ldv@alt-linux.org \
    --cc=devel@altlinux.ru \
    --cc=devel@linux.iplabs.ru \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git