On Fri, Feb 23, 2007 at 12:53:36AM +0300, Alexey Tourbin wrote:
> On Fri, Feb 23, 2007 at 12:43:29AM +0300, Dmitry V. Levin wrote:
> > > Вообще, нужно максимально унифицировать параметры внутри сборочного
> > > чрута, по крайней мере те из них, которые доступны для модификации
> > > suid-хелперу.
> > 
> > Ему доступны все параметры, которые можно выставить через setrlimit,
> > плюс nice.
> 
> Хорошо. :)  Значит, нужно проверить и выставить
> предсказуемые/рациональные значения для всех параметров, которые только
> доступны.  Из недоступных я имел в виду, что, например hostname
> подменять на предсказуемый смысла нет, поскольку это системный вызов.

Когда мы полностью перейдём на контейнеры, можно будет и hostname
подменить.  Пока пользуемся тем что есть.

> > > Кстати, самый минимальный nice внутри чрута (при сборке пакетов) это
> > > тоже не очень красиво.  Сделать там хотя бы 15 или 18.
> > 
> > Это сумма двух факторов:
> > hasher-priv += 10
> > rpm-build += 10
> > 
> > У hasher-priv это настраивается, в rpm-build зашито в код (надо сделать
> > настраиваемым).  Могу сделать 8.
> 
> По-моему, самый-самый bottom нужно зарезервировать для пользователя.
> Т.е. ни одна программа, естественным образом запущенная, не должна
> иметь nice >= 19.

Тогда 8+8 должно всех устроить?


-- 
ldv