On Fri, Feb 23, 2007 at 12:43:29AM +0300, Dmitry V. Levin wrote:
> > Вообще, нужно максимально унифицировать параметры внутри сборочного
> > чрута, по крайней мере те из них, которые доступны для модификации
> > suid-хелперу.
> 
> Ему доступны все параметры, которые можно выставить через setrlimit,
> плюс nice.

Хорошо. :)  Значит, нужно проверить и выставить
предсказуемые/рациональные значения для всех параметров, которые только
доступны.  Из недоступных я имел в виду, что, например hostname
подменять на предсказуемый смысла нет, поскольку это системный вызов.

> > Кстати, самый минимальный nice внутри чрута (при сборке пакетов) это
> > тоже не очень красиво.  Сделать там хотя бы 15 или 18.
> 
> Это сумма двух факторов:
> hasher-priv += 10
> rpm-build += 10
> 
> У hasher-priv это настраивается, в rpm-build зашито в код (надо сделать
> настраиваемым).  Могу сделать 8.

По-моему, самый-самый bottom нужно зарезервировать для пользователя.
Т.е. ни одна программа, естественным образом запущенная, не должна
иметь nice >= 19.