* [devel] build kernel modules & System.map
@ 2009-05-11 16:35 Led
2009-05-11 17:28 ` Anton Farygin
0 siblings, 1 reply; 13+ messages in thread
From: Led @ 2009-05-11 16:35 UTC (permalink / raw)
To: ALT Linux Team development discussions
Есть ядерные модули, которым для сборки требуется (кроме
kernel-header-modules) ещё и System.map от ядра, для которого они собираются.
Получается два неприятных момента:
1) Приходится ставить kernel-image в BuildRequires - но это хоть
и "некрасиво", но возможно
2) ls -ld /boot
drwx------ 2 root root 1144 May 11 16:26 /boot
(в том числе и в хэшере). Таким образом доступа к /boot/System.map на этапе
сборки получить всё равно не получается. 711 вместо 700 - проходит.
Про хук наподобие:
$ cat ~/.hasher/install/post
#!/bin/sh
chmod go+x /boot
я в курсе, с этим работает. Но это всё же локальный хук:(
P.S. 700 на /boot и /lib/modules - это AFAIR чисто ALT'овская параноидальная
фича с непонятным назначением. Уже неоднократно приходилось городить вокруг
этого костыли:(
--
Led
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] build kernel modules & System.map
2009-05-11 16:35 [devel] build kernel modules & System.map Led
@ 2009-05-11 17:28 ` Anton Farygin
2009-05-11 21:44 ` Dmitry V. Levin
0 siblings, 1 reply; 13+ messages in thread
From: Anton Farygin @ 2009-05-11 17:28 UTC (permalink / raw)
To: ALT Linux Team development discussions
Led пишет:
>
> P.S. 700 на /boot и /lib/modules - это AFAIR чисто ALT'овская параноидальная
> фича с непонятным назначением. Уже неоднократно приходилось городить вокруг
> этого костыли:(
Про /lib/modules - где-то есть в bugzilla запись.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] build kernel modules & System.map
2009-05-11 17:28 ` Anton Farygin
@ 2009-05-11 21:44 ` Dmitry V. Levin
2009-05-11 21:59 ` Led
2009-05-12 6:28 ` Mikhail Gusarov
0 siblings, 2 replies; 13+ messages in thread
From: Dmitry V. Levin @ 2009-05-11 21:44 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 415 bytes --]
On Mon, May 11, 2009 at 09:28:39PM +0400, Anton Farygin wrote:
> Led пишет:
> >
> >P.S. 700 на /boot и /lib/modules - это AFAIR чисто
> >ALT'овская параноидальная фича с
> >непонятным назначением. Уже
> >неоднократно приходилось городить
> >вокруг этого костыли:(
>
> Про /lib/modules - где-то есть в bugzilla запись.
https://bugzilla.altlinux.org/show_bug.cgi?id=5969
Есть идеи?
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] build kernel modules & System.map
2009-05-11 21:44 ` Dmitry V. Levin
@ 2009-05-11 21:59 ` Led
2009-05-15 8:31 ` Michael Shigorin
2009-05-12 6:28 ` Mikhail Gusarov
1 sibling, 1 reply; 13+ messages in thread
From: Led @ 2009-05-11 21:59 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Tuesday, 12 May 2009 00:44:08 Dmitry V. Levin wrote:
> On Mon, May 11, 2009 at 09:28:39PM +0400, Anton Farygin wrote:
> > Led пишет:
> > >P.S. 700 на /boot и /lib/modules - это AFAIR чисто
> > >ALT'овская параноидальная фича с
> > >непонятным назначением. Уже
> > >неоднократно приходилось городить
> > >вокруг этого костыли:(
> >
> > Про /lib/modules - где-то есть в bugzilla запись.
>
> https://bugzilla.altlinux.org/show_bug.cgi?id=5969
>
> Есть идеи?
Есть. Для исключительных случаев и для параноиков - control для установки 700
на /boot и /lib/modules, по-умолчанию - 755 или хотя бы 711
--
Led
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] build kernel modules & System.map
2009-05-11 21:59 ` Led
@ 2009-05-15 8:31 ` Michael Shigorin
2009-05-15 11:10 ` Led
0 siblings, 1 reply; 13+ messages in thread
From: Michael Shigorin @ 2009-05-15 8:31 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Tue, May 12, 2009 at 12:59:22AM +0300, Led wrote:
> > > >P.S. 700 на /boot и /lib/modules - это AFAIR чисто
> > > >ALT'овская параноидальная фича с непонятным назначением.
> > > >Уже неоднократно приходилось городить вокруг этого
> > > >костыли:(
Назначение понятно, но я, например, считаю неуместным повышать
привилегии для заглядывания в /boot/config*. Т.е. считаю это
более потенциально опасным, чем такой DoS (от которого приведены
и другие средства, хотя modinfo тоже бы хотелось иметь
возможность делать без sudo -- но тут уж ладно).
> > > Про /lib/modules - где-то есть в bugzilla запись.
> > https://bugzilla.altlinux.org/show_bug.cgi?id=5969
> > Есть идеи?
> Есть. Для исключительных случаев и для параноиков - control для
> установки 700 на /boot и /lib/modules, по-умолчанию - 755 или
> хотя бы 711
А теперь перечитай #c9:
---
Мешало control-изации то, что называется проблемой "яйцо или курица":
у пакета filesystem не должно быть %pre-скрипта, но для control-изации
нужен %pre-скрипт.
---
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] build kernel modules & System.map
2009-05-15 8:31 ` Michael Shigorin
@ 2009-05-15 11:10 ` Led
2009-05-15 11:31 ` Michael Shigorin
0 siblings, 1 reply; 13+ messages in thread
From: Led @ 2009-05-15 11:10 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Friday, 15 May 2009 11:31:35 Michael Shigorin wrote:
> On Tue, May 12, 2009 at 12:59:22AM +0300, Led wrote:
> > > > >P.S. 700 на /boot и /lib/modules - это AFAIR чисто
> > > > >ALT'овская параноидальная фича с непонятным назначением.
> > > > >Уже неоднократно приходилось городить вокруг этого
> > > > >костыли:(
>
> Назначение понятно, но я, например, считаю неуместным повышать
> привилегии для заглядывания в /boot/config*.
# rpm -qf /boot/config-2.6.27-std-def-alt15
kernel-image-std-def-2.6.27-alt15
Какие проблемы в него "заглянуть", если то же самое можно любым пользователем
посмотреть в пакете kernel-image-*.rpm?
> Т.е. считаю это
> более потенциально опасным, чем такой DoS (от которого приведены
> и другие средства, хотя modinfo тоже бы хотелось иметь
> возможность делать без sudo -- но тут уж ладно).
>
> > > > Про /lib/modules - где-то есть в bugzilla запись.
> > >
> > > https://bugzilla.altlinux.org/show_bug.cgi?id=5969
> > > Есть идеи?
> >
> > Есть. Для исключительных случаев и для параноиков - control для
> > установки 700 на /boot и /lib/modules, по-умолчанию - 755 или
> > хотя бы 711
>
> А теперь перечитай #c9:
Уже перечитал. Ничего не изменилось (от перечитывания):)
--
Led
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] build kernel modules & System.map
2009-05-15 11:10 ` Led
@ 2009-05-15 11:31 ` Michael Shigorin
2009-05-15 12:54 ` Led
0 siblings, 1 reply; 13+ messages in thread
From: Michael Shigorin @ 2009-05-15 11:31 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Fri, May 15, 2009 at 02:10:47PM +0300, Led wrote:
> > > > > >P.S. 700 на /boot и /lib/modules - это AFAIR чисто
> > > > > >ALT'овская параноидальная фича с непонятным
> > > > > >назначением. Уже неоднократно приходилось городить
> > > > > >вокруг этого костыли:(
> > Назначение понятно, но я, например, считаю неуместным
> > повышать привилегии для заглядывания в /boot/config*.
> # rpm -qf /boot/config-2.6.27-std-def-alt15
> kernel-image-std-def-2.6.27-alt15
> Какие проблемы в него "заглянуть", если то же самое можно любым
> пользователем посмотреть в пакете kernel-image-*.rpm?
Да это понятно, не о том. Я к тому, что закрывание _всего_
/boot мне лично приносит время от времени лишние sudo/su без
реальной необходимости к тому. А что config-* не секрет _обычно_
(не факт, что он из опубликованного где-либо ядра) -- эт ясно.
> > > > https://bugzilla.altlinux.org/show_bug.cgi?id=5969
> > > > Есть идеи?
> > > Есть. Для исключительных случаев и для параноиков - control
> > > для установки 700 на /boot и /lib/modules, по-умолчанию -
> > > 755 или хотя бы 711
> > А теперь перечитай #c9:
> Уже перечитал. Ничего не изменилось (от перечитывания):)
Забыл сразу сказать, что про control-то давно подумали,
вот реализовать и проверить, как это будет работать при
создании чистого чрута -- пока никто не добрался.
filesystem не может зависеть от control, сам понимаешь.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] build kernel modules & System.map
2009-05-15 11:31 ` Michael Shigorin
@ 2009-05-15 12:54 ` Led
2009-05-15 14:21 ` Michael Shigorin
0 siblings, 1 reply; 13+ messages in thread
From: Led @ 2009-05-15 12:54 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Friday 15 May 2009 14:31:51 Michael Shigorin wrote:
> On Fri, May 15, 2009 at 02:10:47PM +0300, Led wrote:
> > > > > > >P.S. 700 на /boot и /lib/modules - это AFAIR чисто
> > > > > > >ALT'овская параноидальная фича с непонятным
> > > > > > >назначением. Уже неоднократно приходилось городить
> > > > > > >вокруг этого костыли:(
> > >
> > > Назначение понятно, но я, например, считаю неуместным
> > > повышать привилегии для заглядывания в /boot/config*.
> >
> > # rpm -qf /boot/config-2.6.27-std-def-alt15
> > kernel-image-std-def-2.6.27-alt15
> > Какие проблемы в него "заглянуть", если то же самое можно любым
> > пользователем посмотреть в пакете kernel-image-*.rpm?
>
> Да это понятно, не о том. Я к тому, что закрывание _всего_
> /boot мне лично приносит время от времени лишние sudo/su без
> реальной необходимости к тому. А что config-* не секрет _обычно_
> (не факт, что он из опубликованного где-либо ядра) -- эт ясно.
А зачем ты от своего "неопубликованного ядра" config в /boot кладёшь? Кстати,
не забудь ещё и из /proc его убрать:)
>
> > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=5969
> > > > > Есть идеи?
> > > >
> > > > Есть. Для исключительных случаев и для параноиков - control
> > > > для установки 700 на /boot и /lib/modules, по-умолчанию -
> > > > 755 или хотя бы 711
> > >
> > > А теперь перечитай #c9:
> >
> > Уже перечитал. Ничего не изменилось (от перечитывания):)
>
> Забыл сразу сказать, что про control-то давно подумали,
> вот реализовать и проверить, как это будет работать при
> создании чистого чрута -- пока никто не добрался.
>
> filesystem не может зависеть от control, сам понимаешь.
Естественно. Зато поставить 711 по умолчанию на /boot можно поставить без
всяких control. А control'ом параноик по желанию может поствить 700 - во
время инсталляции или в любой момент после.
--
Led
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] build kernel modules & System.map
2009-05-15 12:54 ` Led
@ 2009-05-15 14:21 ` Michael Shigorin
2009-05-15 14:25 ` Led
0 siblings, 1 reply; 13+ messages in thread
From: Michael Shigorin @ 2009-05-15 14:21 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Fri, May 15, 2009 at 03:54:51PM +0300, Led wrote:
> > > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=5969
> > > > > > Есть идеи?
> > > > > Есть. Для исключительных случаев и для параноиков - control
> > > > > для установки 700 на /boot и /lib/modules, по-умолчанию -
> > > > > 755 или хотя бы 711
> > > > А теперь перечитай #c9:
> > > Уже перечитал. Ничего не изменилось (от перечитывания):)
> > Забыл сразу сказать, что про control-то давно подумали,
> > вот реализовать и проверить, как это будет работать при
> > создании чистого чрута -- пока никто не добрался.
> > filesystem не может зависеть от control, сам понимаешь.
> Естественно. Зато поставить 711 по умолчанию на /boot можно
> поставить без всяких control. А control'ом параноик по желанию
> может поствить 700 - во время инсталляции или в любой момент
> после.
Саш, а ты никуда control не прикручивал? У него в %pre
дампилка должна отработать. А у filesystem не бывает %pre.
BTW насчёт умолчания -- согласен. Добавишь в багу?
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] build kernel modules & System.map
2009-05-15 14:21 ` Michael Shigorin
@ 2009-05-15 14:25 ` Led
2009-05-15 14:32 ` Michael Shigorin
0 siblings, 1 reply; 13+ messages in thread
From: Led @ 2009-05-15 14:25 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Friday 15 May 2009 17:21:55 Michael Shigorin wrote:
> On Fri, May 15, 2009 at 03:54:51PM +0300, Led wrote:
> > > > > > > https://bugzilla.altlinux.org/show_bug.cgi?id=5969
> > > > > > > Есть идеи?
> > > > > >
> > > > > > Есть. Для исключительных случаев и для параноиков - control
> > > > > > для установки 700 на /boot и /lib/modules, по-умолчанию -
> > > > > > 755 или хотя бы 711
> > > > >
> > > > > А теперь перечитай #c9:
> > > >
> > > > Уже перечитал. Ничего не изменилось (от перечитывания):)
> > >
> > > Забыл сразу сказать, что про control-то давно подумали,
> > > вот реализовать и проверить, как это будет работать при
> > > создании чистого чрута -- пока никто не добрался.
> > > filesystem не может зависеть от control, сам понимаешь.
> >
> > Естественно. Зато поставить 711 по умолчанию на /boot можно
> > поставить без всяких control. А control'ом параноик по желанию
> > может поствить 700 - во время инсталляции или в любой момент
> > после.
>
> Саш, а ты никуда control не прикручивал? У него в %pre
> дампилка должна отработать. А у filesystem не бывает %pre.
Я не говорил о прикручивании control прямо в пакете filesystem.
> BTW насчёт умолчания -- согласен. Добавишь в багу?
В моём filesystem умолчания меня устраивают.
На свой вопрос я получил ответ, посмотрев на дату заведения баги, на которую
меня отправили.
--
Led
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] build kernel modules & System.map
2009-05-15 14:25 ` Led
@ 2009-05-15 14:32 ` Michael Shigorin
2009-05-15 14:36 ` Led
0 siblings, 1 reply; 13+ messages in thread
From: Michael Shigorin @ 2009-05-15 14:32 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Fri, May 15, 2009 at 05:25:50PM +0300, Led wrote:
> > Саш, а ты никуда control не прикручивал? У него в %pre
> > дампилка должна отработать. А у filesystem не бывает %pre.
> Я не говорил о прикручивании control прямо в пакете filesystem.
А куда? Мне что-то думалось, но тогда не успел додумать
и тем более сделать-проверить.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] build kernel modules & System.map
2009-05-15 14:32 ` Michael Shigorin
@ 2009-05-15 14:36 ` Led
0 siblings, 0 replies; 13+ messages in thread
From: Led @ 2009-05-15 14:36 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Friday 15 May 2009 17:32:32 Michael Shigorin wrote:
> On Fri, May 15, 2009 at 05:25:50PM +0300, Led wrote:
> > > Саш, а ты никуда control не прикручивал? У него в %pre
> > > дампилка должна отработать. А у filesystem не бывает %pre.
> >
> > Я не говорил о прикручивании control прямо в пакете filesystem.
>
> А куда? Мне что-то думалось, но тогда не успел додумать
> и тем более сделать-проверить.
Да куда угодно. Хоть отдельный filesystem-control завести. Мне всё равно,
потому как 711 на /boot в filesystem меня вполне устраивает пока что:)
--
Led
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [devel] build kernel modules & System.map
2009-05-11 21:44 ` Dmitry V. Levin
2009-05-11 21:59 ` Led
@ 2009-05-12 6:28 ` Mikhail Gusarov
1 sibling, 0 replies; 13+ messages in thread
From: Mikhail Gusarov @ 2009-05-12 6:28 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 399 bytes --]
Twas brillig at 01:44:08 12.05.2009 UTC+04 when ldv@altlinux.org did gyre and gimble:
DVL> https://bugzilla.altlinux.org/show_bug.cgi?id=5969
DVL> Есть идеи?
#6
или же объявить, что с какого-то момента /lib/modules больше не закрыт,
модули должны быть 600 и добавить тест в sisyphus_check.
--
[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2009-05-15 14:36 UTC | newest]
Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-05-11 16:35 [devel] build kernel modules & System.map Led
2009-05-11 17:28 ` Anton Farygin
2009-05-11 21:44 ` Dmitry V. Levin
2009-05-11 21:59 ` Led
2009-05-15 8:31 ` Michael Shigorin
2009-05-15 11:10 ` Led
2009-05-15 11:31 ` Michael Shigorin
2009-05-15 12:54 ` Led
2009-05-15 14:21 ` Michael Shigorin
2009-05-15 14:25 ` Led
2009-05-15 14:32 ` Michael Shigorin
2009-05-15 14:36 ` Led
2009-05-12 6:28 ` Mikhail Gusarov
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git