On Mon, Mar 15, 2010 at 08:01:44AM +0100, Vitaly Kuznetsov wrote:
> Alexey Tourbin <at@altlinux.ru> writes:
> 
> >> Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
> >> воспроизводимость сборки путём отрезания сборочного контейнера от внешней
> >> сети.
> >
> > Надо бы отключить.  Точнее, надо бы попробовать.  Потому что
> > с другой стороны какой-нибудь 'make test' может отваливаться.
> 
> А если закрывать сеть на этапах %prep, %build, %install и открывать на
> %check ?

Стадии сборки существуют в пределах одного непривилегированного процесса
rpmbuild.  Если rpmbuild сможет открывать/закрывать сеть, то в принципе
кто угодно (в том числе сами пакеты в процессе сборки) смогут открывать/
закрывать сеть.

Но открытие/закрытие сети требует больших привилегий.  Скорее всего,
это можно сделать только где-то на уровне hasher-priv - заранее и
окончательно.