[devel] Q: Xvfb: SELinux support breaks software

[devel] Q: Xvfb: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 285 bytes --]

On Mon, Aug 30, 2010 at 01:57:47AM +0400, ALT beekeeper wrote:
> xvfb-run-1.4.1-alt1
> 	+ ./xvfb-run -a xset b
> 	Fatal server error:
> 	SELinux: Failed to open x_contexts mapping in policy

Что-то сломалось в Xvfb после включения поддержки SELinux в xorg-server?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Q: Xvfb: SELinux support breaks software

[Valery V. Ionozemtsev]

[-- Attachment #1: Type: text/plain, Size: 847 bytes --]

В Пнд, 30/08/2010 в 02:11 +0400, Dmitry V. Levin пишет:
> On Mon, Aug 30, 2010 at 01:57:47AM +0400, ALT beekeeper wrote:
> > xvfb-run-1.4.1-alt1
> > 	+ ./xvfb-run -a xset b
> > 	Fatal server error:
> > 	SELinux: Failed to open x_contexts mapping in policy
> 
> Что-то сломалось в Xvfb после включения поддержки SELinux в xorg-server?

что то сломалось в вашем этом хашере. у меня в локальном хашере

[builder@shrek .in]$ xvfb-run xdpyinfo
_XSERVTransmkdir: Owner of /tmp/.X11-unix should be set to root
name of display:    :99.0
version number:    11.0
vendor string:    The X.Org Foundation
vendor release number:    10900000
X.Org version: 1.9.0
maximum request size:  16777212 bytes

и т.д.

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Q: Xvfb: SELinux support breaks software

[Valery V. Ionozemtsev]

[-- Attachment #1: Type: text/plain, Size: 1088 bytes --]

В Пнд, 30/08/2010 в 10:28 +0400, Valery V. Ionozemtsev пишет:
> В Пнд, 30/08/2010 в 02:11 +0400, Dmitry V. Levin пишет:
> > On Mon, Aug 30, 2010 at 01:57:47AM +0400, ALT beekeeper wrote:
> > > xvfb-run-1.4.1-alt1
> > > 	+ ./xvfb-run -a xset b
> > > 	Fatal server error:
> > > 	SELinux: Failed to open x_contexts mapping in policy
> > 
> > Что-то сломалось в Xvfb после включения поддержки SELinux в xorg-server?
> 
> что то сломалось в вашем этом хашере. у меня в локальном хашере
> 
> [builder@shrek .in]$ xvfb-run xdpyinfo
> _XSERVTransmkdir: Owner of /tmp/.X11-unix should be set to root
> name of display:    :99.0
> version number:    11.0
> vendor string:    The X.Org Foundation
> vendor release number:    10900000
> X.Org version: 1.9.0
> maximum request size:  16777212 bytes
> 
> и т.д.

ох ты ёпть... у меня proc в hasher монтируется, без proc ваш selinux не
работает

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Q: Xvfb: SELinux support breaks software

[Michael Shigorin]

On Mon, Aug 30, 2010 at 10:31:34AM +0400, Valery V. Ionozemtsev wrote:
> ох ты ёпть... у меня proc в hasher монтируется, без proc ваш
> selinux не работает

Бишь всем пострадальцам следует добавить в спек
BuildRequires: /proc
-- так?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] Q: Xvfb: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 447 bytes --]

On Mon, Aug 30, 2010 at 11:02:13AM +0300, Michael Shigorin wrote:
> On Mon, Aug 30, 2010 at 10:31:34AM +0400, Valery V. Ionozemtsev wrote:
> > ох ты ёпть... у меня proc в hasher монтируется, без proc ваш
> > selinux не работает
> 
> Бишь всем пострадальцам следует добавить в спек
> BuildRequires: /proc
> -- так?

Нет, конечно.  Пострадальцам нужно подождать, когда разломавшие
разберутся и исправят то, что разломалось.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Q: Xvfb: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1179 bytes --]

On Mon, Aug 30, 2010 at 10:31:34AM +0400, Valery V. Ionozemtsev wrote:
> В Пнд, 30/08/2010 в 10:28 +0400, Valery V. Ionozemtsev пишет:
> > В Пнд, 30/08/2010 в 02:11 +0400, Dmitry V. Levin пишет:
> > > On Mon, Aug 30, 2010 at 01:57:47AM +0400, ALT beekeeper wrote:
> > > > xvfb-run-1.4.1-alt1
> > > > 	+ ./xvfb-run -a xset b
> > > > 	Fatal server error:
> > > > 	SELinux: Failed to open x_contexts mapping in policy
> > > 
> > > Что-то сломалось в Xvfb после включения поддержки SELinux в xorg-server?
> > 
> > что то сломалось в вашем этом хашере. у меня в локальном хашере
> > 
> > [builder@shrek .in]$ xvfb-run xdpyinfo
> > _XSERVTransmkdir: Owner of /tmp/.X11-unix should be set to root
> > name of display:    :99.0
> > version number:    11.0
> > vendor string:    The X.Org Foundation
> > vendor release number:    10900000
> > X.Org version: 1.9.0
> > maximum request size:  16777212 bytes
> > 
> > и т.д.
> 
> ох ты ёпть... у меня proc в hasher монтируется, без proc ваш selinux не
> работает

Он работает, только надо правильно проверять код возврата.
2sem@: Миша, проверь/исправь, пожалуйста, поддержку SELinux в xorg-server.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Q: Xvfb: SELinux support breaks software

[Valery V. Ionozemtsev]

[-- Attachment #1: Type: text/plain, Size: 1736 bytes --]

В Пнд, 30/08/2010 в 12:07 +0400, Dmitry V. Levin пишет:
> On Mon, Aug 30, 2010 at 10:31:34AM +0400, Valery V. Ionozemtsev wrote:
> > В Пнд, 30/08/2010 в 10:28 +0400, Valery V. Ionozemtsev пишет:
> > > В Пнд, 30/08/2010 в 02:11 +0400, Dmitry V. Levin пишет:
> > > > On Mon, Aug 30, 2010 at 01:57:47AM +0400, ALT beekeeper wrote:
> > > > > xvfb-run-1.4.1-alt1
> > > > > 	+ ./xvfb-run -a xset b
> > > > > 	Fatal server error:
> > > > > 	SELinux: Failed to open x_contexts mapping in policy
> > > > 
> > > > Что-то сломалось в Xvfb после включения поддержки SELinux в xorg-server?
> > > 
> > > что то сломалось в вашем этом хашере. у меня в локальном хашере
> > > 
> > > [builder@shrek .in]$ xvfb-run xdpyinfo
> > > _XSERVTransmkdir: Owner of /tmp/.X11-unix should be set to root
> > > name of display:    :99.0
> > > version number:    11.0
> > > vendor string:    The X.Org Foundation
> > > vendor release number:    10900000
> > > X.Org version: 1.9.0
> > > maximum request size:  16777212 bytes
> > > 
> > > и т.д.
> > 
> > ох ты ёпть... у меня proc в hasher монтируется, без proc ваш selinux не
> > работает
> 
> Он работает, только надо правильно проверять код возврата.

там используется тот же is_selinux_enabled(), т.ч. см. про dbus

> 2sem@: Миша, проверь/исправь, пожалуйста, поддержку SELinux в xorg-server.

вы бы там для начала заглянули в код libselinux

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Q: Xvfb: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1571 bytes --]

On Mon, Aug 30, 2010 at 12:07:56PM +0400, Dmitry V. Levin wrote:
> On Mon, Aug 30, 2010 at 10:31:34AM +0400, Valery V. Ionozemtsev wrote:
> > В Пнд, 30/08/2010 в 10:28 +0400, Valery V. Ionozemtsev пишет:
> > > В Пнд, 30/08/2010 в 02:11 +0400, Dmitry V. Levin пишет:
> > > > On Mon, Aug 30, 2010 at 01:57:47AM +0400, ALT beekeeper wrote:
> > > > > xvfb-run-1.4.1-alt1
> > > > > 	+ ./xvfb-run -a xset b
> > > > > 	Fatal server error:
> > > > > 	SELinux: Failed to open x_contexts mapping in policy
> > > > 
> > > > Что-то сломалось в Xvfb после включения поддержки SELinux в xorg-server?
> > > 
> > > что то сломалось в вашем этом хашере. у меня в локальном хашере
> > > 
> > > [builder@shrek .in]$ xvfb-run xdpyinfo
> > > _XSERVTransmkdir: Owner of /tmp/.X11-unix should be set to root
> > > name of display:    :99.0
> > > version number:    11.0
> > > vendor string:    The X.Org Foundation
> > > vendor release number:    10900000
> > > X.Org version: 1.9.0
> > > maximum request size:  16777212 bytes
> > > 
> > > и т.д.
> > 
> > ох ты ёпть... у меня proc в hasher монтируется, без proc ваш selinux не
> > работает
> 
> Он работает, только надо правильно проверять код возврата.
> 2sem@: Миша, проверь/исправь, пожалуйста, поддержку SELinux в xorg-server.

В xorg-server/Xext/xselinux_ext.c написано:

    if (!is_selinux_enabled()) {
	LogMessage(X_INFO, "SELinux: Disabled on system\n");
	return;
    }

Неправильную проверку
    if (!is_selinux_enabled())
нужно исправить на
    if (is_selinux_enabled() <= 0)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Q: Xvfb: SELinux support breaks software

[Valery V. Ionozemtsev]

[-- Attachment #1: Type: text/plain, Size: 1050 bytes --]

> > > ох ты ёпть... у меня proc в hasher монтируется, без proc ваш selinux не
> > > работает
> > 
> > Он работает, только надо правильно проверять код возврата.
> > 2sem@: Миша, проверь/исправь, пожалуйста, поддержку SELinux в xorg-server.
> 
> В xorg-server/Xext/xselinux_ext.c написано:
> 
>     if (!is_selinux_enabled()) {
> 	LogMessage(X_INFO, "SELinux: Disabled on system\n");
> 	return;
>     }
> 
> Неправильную проверку
>     if (!is_selinux_enabled())
> нужно исправить на
>     if (is_selinux_enabled() <= 0)

-1 говорит только о том что вызов is_selinux_enabled() не смог
достучаться до /proc и понять включен selinux или нет невозможно.
то есть -1 никак не может говорить о том что selinux выключен

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 978 bytes --]

On Mon, Aug 30, 2010 at 12:27:04PM +0400, Valery V. Ionozemtsev wrote:
> > Неправильную проверку
> >     if (!is_selinux_enabled())
> > нужно исправить на
> >     if (is_selinux_enabled() <= 0)
> 
> -1 говорит только о том что вызов is_selinux_enabled() не смог
> достучаться до /proc и понять включен selinux или нет невозможно.
> то есть -1 никак не может говорить о том что selinux выключен
On Mon, Aug 30, 2010 at 12:27:26PM +0400, Alexey Gladkov wrote:
> Ну вообще-то из этого не следует, что selinux выключен. При
> отмонтированном /proc selinux может быть включён и политики могут
> быть загружены.

Из этого следует, что приложение не сможет работать с SELinux вне
зависимости от того, включен SELinux или нет.  Для всех приложений,
кроме некоторых специальных утилит для SELinux, это практически
означает, что SELinux выключен.  Посмотрите, наконец, примеры
использования is_selinux_enabled() в менее кривом софте.

Ещё вопросы есть?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Valery V. Ionozemtsev]

[-- Attachment #1: Type: text/plain, Size: 2037 bytes --]

В Пнд, 30/08/2010 в 13:51 +0400, Dmitry V. Levin пишет:
> On Mon, Aug 30, 2010 at 12:27:04PM +0400, Valery V. Ionozemtsev wrote:
> > > Неправильную проверку
> > >     if (!is_selinux_enabled())
> > > нужно исправить на
> > >     if (is_selinux_enabled() <= 0)
> > 
> > -1 говорит только о том что вызов is_selinux_enabled() не смог
> > достучаться до /proc и понять включен selinux или нет невозможно.
> > то есть -1 никак не может говорить о том что selinux выключен
> On Mon, Aug 30, 2010 at 12:27:26PM +0400, Alexey Gladkov wrote:
> > Ну вообще-то из этого не следует, что selinux выключен. При
> > отмонтированном /proc selinux может быть включён и политики могут
> > быть загружены.
> 
> Из этого следует, что приложение не сможет работать с SELinux вне
> зависимости от того, включен SELinux или нет.  Для всех приложений,
> кроме некоторых специальных утилит для SELinux, это практически
> означает, что SELinux выключен.  Посмотрите, наконец, примеры
> использования is_selinux_enabled() в менее кривом софте.
> 
> Ещё вопросы есть?

посмотри реализацию is_selinux_enabled() достойную гавнокода...
если не смогли открыть /proc/filesystems то это -1, а если не смогли там
найти selinuxfs, то 0... вы таки опрЭдэлить шо вы хотитэ этим сказАть?

еще более гениальна void init_selinuxmnt(void), в которой выставляется
selinux_mnt

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1504 bytes --]

On Mon, Aug 30, 2010 at 02:08:06PM +0400, Valery V. Ionozemtsev wrote:
> В Пнд, 30/08/2010 в 13:51 +0400, Dmitry V. Levin пишет:
> > On Mon, Aug 30, 2010 at 12:27:04PM +0400, Valery V. Ionozemtsev wrote:
> > > > Неправильную проверку
> > > >     if (!is_selinux_enabled())
> > > > нужно исправить на
> > > >     if (is_selinux_enabled() <= 0)
> > > 
> > > -1 говорит только о том что вызов is_selinux_enabled() не смог
> > > достучаться до /proc и понять включен selinux или нет невозможно.
> > > то есть -1 никак не может говорить о том что selinux выключен
> > On Mon, Aug 30, 2010 at 12:27:26PM +0400, Alexey Gladkov wrote:
> > > Ну вообще-то из этого не следует, что selinux выключен. При
> > > отмонтированном /proc selinux может быть включён и политики могут
> > > быть загружены.
> > 
> > Из этого следует, что приложение не сможет работать с SELinux вне
> > зависимости от того, включен SELinux или нет.  Для всех приложений,
> > кроме некоторых специальных утилит для SELinux, это практически
> > означает, что SELinux выключен.  Посмотрите, наконец, примеры
> > использования is_selinux_enabled() в менее кривом софте.
> > 
> > Ещё вопросы есть?
> 
> посмотри реализацию is_selinux_enabled() достойную гавнокода...
> если не смогли открыть /proc/filesystems то это -1, а если не смогли там
> найти selinuxfs, то 0... вы таки опрЭдэлить шо вы хотитэ этим сказАть?

Перечитай, пожалуйста, код реализации is_selinux_enabled() ещё раз,
там всё написано.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Michael Shigorin]

On Mon, Aug 30, 2010 at 02:08:06PM +0400, Valery V. Ionozemtsev wrote:
> посмотри реализацию is_selinux_enabled() достойную гавнокода...
> если не смогли открыть /proc/filesystems то это -1, а если не
> смогли там найти selinuxfs, то 0... вы таки опрЭдэлить шо вы
> хотитэ этим сказАть?

Были бы умные, возвращали бы 0 при удаче и errorlevel >0
при неудачах.  Или у них бывают разные удачи?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Alexey Gladkov]

30.08.2010 13:51, Dmitry V. Levin wrote:
> Ещё вопросы есть?

Вопрос не к тебе, а по существу is_selinux_enabled():

http://git.altlinux.org/people/sem/packages/selinux.git?p=selinux.git;a=blob;f=libselinux/src/enabled.c#l39

почему невозможность открытия файла является критической ошибкой, а
невозможность из него прочитать нет ?

Либо в обоих случаях нужно выводить ошибку, либо (что для меня более
логично) в обоих случаях делать "goto out;".

Лично для меня эта функция не должна выдавать "не знаю" на вопрос
включён или нет selinux и софт использующий эту библиотеку не причём.

-- 
Rgrds, legion

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1024 bytes --]

On Mon, Aug 30, 2010 at 02:09:10PM +0400, Alexey Gladkov wrote:
> 30.08.2010 13:51, Dmitry V. Levin wrote:
> > Ещё вопросы есть?
> 
> Вопрос не к тебе, а по существу is_selinux_enabled():
> 
> http://git.altlinux.org/people/sem/packages/selinux.git?p=selinux.git;a=blob;f=libselinux/src/enabled.c#l39
> 
> почему невозможность открытия файла является критической ошибкой, а
> невозможность из него прочитать нет ?

В коде is_selinux_enabled() нет проверки на невозможность прочитать.
Считается, что если файл /proc/filesystems удалось открыть на чтение,
то проблем с чтением ожидать не приходится.

> Либо в обоих случаях нужно выводить ошибку, либо (что для меня более
> логично) в обоих случаях делать "goto out;".
> 
> Лично для меня эта функция не должна выдавать "не знаю" на вопрос
> включён или нет selinux и софт использующий эту библиотеку не причём.

Тем не менее, эта функция определена таким образом, что может давать
три вида ответа: "да", "нет" и "нет способа определить".


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Alexey Gladkov]

30.08.2010 14:21, Dmitry V. Levin wrote:
> В коде is_selinux_enabled() нет проверки на невозможность прочитать.

  38         /* Drop back to detecting it the long way. */
  39         fp = fopen("/proc/filesystems", "r");
  40         if (!fp)
  41                 return -1;

Здесь мы возвращаем -1. Зачем тут -1, почему не goto out; ?

  44         while ((num = getline(&buf, &len, fp)) != -1) {
  45                 if (strstr(buf, "selinuxfs")) {
  46                         enabled = 1;
  47                         break;
  48                 }
  49         }
  50
  51         if (num < 0)
  52                 goto out;

Дим, проверка есть и в этом случае вернётся 0.

> Тем не менее, эта функция определена таким образом, что может давать
> три вида ответа: "да", "нет" и "нет способа определить".

-- 
Rgrds, legion

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Mikhail Efremov]

On Mon, 30 Aug 2010 14:30:20 +0400 Alexey Gladkov wrote:
> > В коде is_selinux_enabled() нет проверки на невозможность прочитать.
> 
>   38         /* Drop back to detecting it the long way. */
>   39         fp = fopen("/proc/filesystems", "r");
>   40         if (!fp)
>   41                 return -1;
> 
> Здесь мы возвращаем -1. Зачем тут -1, почему не goto out; ?

Потому что на самом деле неизвестно, включен ли SELinux. И решать что
делать должен вызывающий код, эта функция не должна принимать таких
решений.

>   44         while ((num = getline(&buf, &len, fp)) != -1) {
>   45                 if (strstr(buf, "selinuxfs")) {
>   46                         enabled = 1;
>   47                         break;
>   48                 }
>   49         }
>   50
>   51         if (num < 0)
>   52                 goto out;
> 
> Дим, проверка есть и в этом случае вернётся 0.

Возможно тут тоже должно быть return -1.

> > Тем не менее, эта функция определена таким образом, что может давать
> > три вида ответа: "да", "нет" и "нет способа определить".
 
Да, и теперь это даже документировано. Раньше не было, коммит от 18
марта.

-- 
WBR, Mikhail Efremov

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Alexey Gladkov]

30.08.2010 15:16, Mikhail Efremov wrote:
>> Здесь мы возвращаем -1. Зачем тут -1, почему не goto out; ?
> 
> Потому что на самом деле неизвестно, включен ли SELinux. И решать что

Без смонтированого /proc selinux работать будет ?

> делать должен вызывающий код, эта функция не должна принимать таких
> решений.

Вот это сильно спорно. Вызывающий код имеет ещё меньше представлений о
том, что делать дальше. Когда is_selinux_enabled() вернул -1, то это
не значит что SELinux выключен (вы сами про это говорите), но и не
значит, что включён.

Сейчас делается упор, что

if (!is_selinux_enabled())

неправильная обработка и нужно расценивать -1 как 0 ... но это тоже
неправильно, так как решение отдано на откуп приложения. Если -1 нужно
расценивать как 0, то так и нужно возвращать.

-- 
Rgrds, legion

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1229 bytes --]

On Mon, Aug 30, 2010 at 03:30:40PM +0400, Alexey Gladkov wrote:
> 30.08.2010 15:16, Mikhail Efremov wrote:
> >> Здесь мы возвращаем -1. Зачем тут -1, почему не goto out; ?
> > 
> > Потому что на самом деле неизвестно, включен ли SELinux. И решать что
> 
> Без смонтированого /proc selinux работать будет ?

Вопрос не в том, будет ли работать SELinux, а в том, будет ли работать
приложение с SELinux.

> > делать должен вызывающий код, эта функция не должна принимать таких
> > решений.
> 
> Вот это сильно спорно. Вызывающий код имеет ещё меньше представлений о
> том, что делать дальше. Когда is_selinux_enabled() вернул -1, то это
> не значит что SELinux выключен (вы сами про это говорите), но и не
> значит, что включён.

Это означает, что приложение не может работать с SELinux.

> Сейчас делается упор, что
> 
> if (!is_selinux_enabled())
> 
> неправильная обработка и нужно расценивать -1 как 0 ... но это тоже
> неправильно, так как решение отдано на откуп приложения. Если -1 нужно
> расценивать как 0, то так и нужно возвращать.

Есть некоторые приложения, которые могут отличать эти две ситуации
(выключен или недоступен), но большинству приложений должно быть всё
равно.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Valery V. Ionozemtsev]

[-- Attachment #1: Type: text/plain, Size: 2169 bytes --]

В Пнд, 30/08/2010 в 17:16 +0400, Dmitry V. Levin пишет:
> On Mon, Aug 30, 2010 at 03:30:40PM +0400, Alexey Gladkov wrote:
> > 30.08.2010 15:16, Mikhail Efremov wrote:
> > >> Здесь мы возвращаем -1. Зачем тут -1, почему не goto out; ?
> > > 
> > > Потому что на самом деле неизвестно, включен ли SELinux. И решать что
> > 
> > Без смонтированого /proc selinux работать будет ?
> 
> Вопрос не в том, будет ли работать SELinux, а в том, будет ли работать
> приложение с SELinux.
> 
> > > делать должен вызывающий код, эта функция не должна принимать таких
> > > решений.
> > 
> > Вот это сильно спорно. Вызывающий код имеет ещё меньше представлений о
> > том, что делать дальше. Когда is_selinux_enabled() вернул -1, то это
> > не значит что SELinux выключен (вы сами про это говорите), но и не
> > значит, что включён.
> 
> Это означает, что приложение не может работать с SELinux.
> 
> > Сейчас делается упор, что
> > 
> > if (!is_selinux_enabled())
> > 
> > неправильная обработка и нужно расценивать -1 как 0 ... но это тоже
> > неправильно, так как решение отдано на откуп приложения. Если -1 нужно
> > расценивать как 0, то так и нужно возвращать.
> 
> Есть некоторые приложения, которые могут отличать эти две ситуации
> (выключен или недоступен),

например dbus, о чем он собственно и говорит

>  но большинству приложений должно быть всё
> равно.

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1188 bytes --]

On Mon, Aug 30, 2010 at 05:29:09PM +0400, Valery V. Ionozemtsev wrote:
> В Пнд, 30/08/2010 в 17:16 +0400, Dmitry V. Levin пишет:
> > On Mon, Aug 30, 2010 at 03:30:40PM +0400, Alexey Gladkov wrote:
[...]
> > > Вот это сильно спорно. Вызывающий код имеет ещё меньше представлений о
> > > том, что делать дальше. Когда is_selinux_enabled() вернул -1, то это
> > > не значит что SELinux выключен (вы сами про это говорите), но и не
> > > значит, что включён.
> > 
> > Это означает, что приложение не может работать с SELinux.
> > 
> > > Сейчас делается упор, что
> > > 
> > > if (!is_selinux_enabled())
> > > 
> > > неправильная обработка и нужно расценивать -1 как 0 ... но это тоже
> > > неправильно, так как решение отдано на откуп приложения. Если -1 нужно
> > > расценивать как 0, то так и нужно возвращать.
> > 
> > Есть некоторые приложения, которые могут отличать эти две ситуации
> > (выключен или недоступен),
> 
> например dbus, о чем он собственно и говорит

Всё, что умеет dbus в этом плане -- это вывести диагностическое сообщение.
Ну, пусть сообщает, если очень хочется.  Аварийно завершать работу в этой
ситуации -- это грубая ошибка.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Valery V. Ionozemtsev]

[-- Attachment #1: Type: text/plain, Size: 1088 bytes --]

> > > Есть некоторые приложения, которые могут отличать эти две ситуации
> > > (выключен или недоступен),
> > 
> > например dbus, о чем он собственно и говорит
> 
> Всё, что умеет dbus в этом плане -- это вывести диагностическое сообщение.
> Ну, пусть сообщает, если очень хочется.  Аварийно завершать работу в этой
> ситуации -- это грубая ошибка.

не нам об этом судить. ваши "потому что гладиолус" и прочие отмазки меня
утомили. подите уже в апстримы и там подискутируйте... в rhel, например,
я не вижу патчей ни в xorg, ни в dbus на тему is_selinux_enabled из чего
делаю вывод что баги где то не там где вы их ищите

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1103 bytes --]

On Mon, Aug 30, 2010 at 06:05:37PM +0400, Valery V. Ionozemtsev wrote:
> > > > Есть некоторые приложения, которые могут отличать эти две ситуации
> > > > (выключен или недоступен),
> > > 
> > > например dbus, о чем он собственно и говорит
> > 
> > Всё, что умеет dbus в этом плане -- это вывести диагностическое сообщение.
> > Ну, пусть сообщает, если очень хочется.  Аварийно завершать работу в этой
> > ситуации -- это грубая ошибка.
> 
> не нам об этом судить. ваши "потому что гладиолус" и прочие отмазки меня
> утомили. подите уже в апстримы и там подискутируйте... в rhel, например,
> я не вижу патчей ни в xorg, ни в dbus на тему is_selinux_enabled из чего
> делаю вывод что баги где то не там где вы их ищите

Я не являюсь мейнтейнером пакетов dbus и xorg-server, и
я не хочу выполнять работу мейнтейнеров пакетов dbus и xorg-server.
Меня не интересует, что там делает rhel в этой области.  Не надо
пытаться казаться святее папы римского^W^W^W консервативнее своего
апстрима.  Надо просто честно выполнять свою работу.  Тупо валить
всё на коллег деструктивно.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Michael Shigorin]

On Mon, Aug 30, 2010 at 05:46:59PM +0400, Dmitry V. Levin wrote:
> Короче говоря, давайте закруглять обсуждение и переходить
> к исправлению пакетов.

Дим, кому понадобился SELinux?  Вот он пусть и шлёт патчи.
Валера вроде не подписывался его поддерживать.


On Mon, Aug 30, 2010 at 06:05:37PM +0400, Valery V. Ionozemtsev wrote:
> подите уже в апстримы и там подискутируйте... в rhel,
> например, я не вижу патчей ни в xorg, ни в dbus на тему
> is_selinux_enabled из чего делаю вывод что баги где то не там
> где вы их ищите

Насколько понимаю, баги-то есть, но апстрим их может не знать
-- предположу, что в том же редхате в сборочный чрут /proc
монтируется по умолчанию (быстро выяснить не получилось).

Если это так -- то вместо тыкания друг в друга пальцами
(с итогом в виде забивания на проблему) предлагаю:

- зафиксировать список проблемных пакетов на вики;
- _сейчас_ собрать их с /proc;
- обсудить с апстримами вопрос;
- по результатам смотреть, как и чьими силами фиксить;
- по мере исправления убирать BR: /proc.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Kirill A. Shutemov]

On Tue, Aug 31, 2010 at 03:17:01PM +0300, Michael Shigorin wrote:
> On Mon, Aug 30, 2010 at 05:46:59PM +0400, Dmitry V. Levin wrote:
> > Короче говоря, давайте закруглять обсуждение и переходить
> > к исправлению пакетов.
> 
> Дим, кому понадобился SELinux?  Вот он пусть и шлёт патчи.
> Валера вроде не подписывался его поддерживать.
> 
> 
> On Mon, Aug 30, 2010 at 06:05:37PM +0400, Valery V. Ionozemtsev wrote:
> > подите уже в апстримы и там подискутируйте... в rhel,
> > например, я не вижу патчей ни в xorg, ни в dbus на тему
> > is_selinux_enabled из чего делаю вывод что баги где то не там
> > где вы их ищите
> 
> Насколько понимаю, баги-то есть, но апстрим их может не знать
> -- предположу, что в том же редхате в сборочный чрут /proc
> монтируется по умолчанию (быстро выяснить не получилось).
> 
> Если это так -- то вместо тыкания друг в друга пальцами
> (с итогом в виде забивания на проблему) предлагаю:
> 
> - зафиксировать список проблемных пакетов на вики;
> - _сейчас_ собрать их с /proc;
> - обсудить с апстримами вопрос;
> - по результатам смотреть, как и чьими силами фиксить;
> - по мере исправления убирать BR: /proc.

По этому сцеарию /proc в BR останется навсегда. Никто в спеку смотреть не
будет пока ничего не сломалось.

-- 
 Kirill A. Shutemov

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Igor Zubkov]

31 августа 2010 г. 15:25 пользователь Kirill A. Shutemov написал:
> По этому сцеарию /proc в BR останется навсегда. Никто в спеку смотреть не
> будет пока ничего не сломалось.

Тест для repocop быстро расскажет кто и где забыл. :)

-- 
Igor Zubkov
http://hi.im/ice

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1446 bytes --]

On Tue, Aug 31, 2010 at 03:17:01PM +0300, Michael Shigorin wrote:
> On Mon, Aug 30, 2010 at 05:46:59PM +0400, Dmitry V. Levin wrote:
> > Короче говоря, давайте закруглять обсуждение и переходить
> > к исправлению пакетов.
> 
> Дим, кому понадобился SELinux?  Вот он пусть и шлёт патчи.
> Валера вроде не подписывался его поддерживать.

Валера сам включил поддержку SELinux в dbus.  Я считаю, что мейнтейнер
должен отвечать за свои действия.

> On Mon, Aug 30, 2010 at 06:05:37PM +0400, Valery V. Ionozemtsev wrote:
> > подите уже в апстримы и там подискутируйте... в rhel,
> > например, я не вижу патчей ни в xorg, ни в dbus на тему
> > is_selinux_enabled из чего делаю вывод что баги где то не там
> > где вы их ищите
> 
> Насколько понимаю, баги-то есть, но апстрим их может не знать
> -- предположу, что в том же редхате в сборочный чрут /proc
> монтируется по умолчанию (быстро выяснить не получилось).

В редхате сборочный чрут устроен иначе, это факт.
Там другой набор особенностей.

> Если это так -- то вместо тыкания друг в друга пальцами
> (с итогом в виде забивания на проблему) предлагаю:
> 
> - зафиксировать список проблемных пакетов на вики;

Фикс очевиден, надо исправлять очевидные ошибки, а не разводить
пустую дискуссию.

> - _сейчас_ собрать их с /proc;

Нет.  Это неправильный подход.

> - обсудить с апстримами вопрос;

Это находится в сфере ответственности мейнтейнера.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Alexey Gladkov]

31.08.2010 17:02, Dmitry V. Levin wrote:
> Валера сам включил поддержку SELinux в dbus.  Я считаю, что мейнтейнер
> должен отвечать за свои действия.

После такого заявления ты же знаешь каким будет следующий шаг
мейнтейнера ...

Он отключит selinux и дальше внедрять selinux заинтересованные
граждане будут в одиночку, включая общение с апстримами. А также
дальнейшая поддержка всей этой кухни ляжет на них.

Не понимаю зачем вы избираете этот путь, но дело ваше.

-- 
Rgrds, legion

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Anton Farygin]

31.08.2010 17:26, Alexey Gladkov пишет:
> 31.08.2010 17:02, Dmitry V. Levin wrote:
>> Валера сам включил поддержку SELinux в dbus.  Я считаю, что мейнтейнер
>> должен отвечать за свои действия.
>
> После такого заявления ты же знаешь каким будет следующий шаг
> мейнтейнера ...
>
> Он отключит selinux и дальше внедрять selinux заинтересованные
> граждане будут в одиночку, включая общение с апстримами. А также
> дальнейшая поддержка всей этой кухни ляжет на них.
>
> Не понимаю зачем вы избираете этот путь, но дело ваше.

А весь сыр-бор решается тривиальным патчем... по принципу "нет /proc - 
нет SELinux".

Одним на всех...

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Valery V. Inozemtsev]

[-- Attachment #1: Type: text/plain, Size: 1132 bytes --]

В Втр, 31/08/2010 в 17:26 +0400, Alexey Gladkov пишет:
> 31.08.2010 17:02, Dmitry V. Levin wrote:
> > Валера сам включил поддержку SELinux в dbus.  Я считаю, что мейнтейнер
> > должен отвечать за свои действия.
> 
> После такого заявления ты же знаешь каким будет следующий шаг
> мейнтейнера ...
> 
> Он отключит selinux и дальше внедрять selinux заинтересованные
> граждане будут в одиночку, включая общение с апстримами. А также
> дальнейшая поддержка всей этой кухни ляжет на них.

именно таким и будет, к тому же лично мне selinux нахрен не нужен.

> Не понимаю зачем вы избираете этот путь, но дело ваше.

я предлагал другой путь - положить пустой /proc/filesystems в hasher

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1143 bytes --]

On Tue, Aug 31, 2010 at 05:46:27PM +0400, Valery V. Inozemtsev wrote:
> В Втр, 31/08/2010 в 17:26 +0400, Alexey Gladkov пишет:
> > 31.08.2010 17:02, Dmitry V. Levin wrote:
> > > Валера сам включил поддержку SELinux в dbus.  Я считаю, что мейнтейнер
> > > должен отвечать за свои действия.
> > 
> > После такого заявления ты же знаешь каким будет следующий шаг
> > мейнтейнера ...
> > 
> > Он отключит selinux и дальше внедрять selinux заинтересованные
> > граждане будут в одиночку,

Предполагается, что мейнтейнер, отправляющий пакет в Сизиф, обладает
здравым смыслом и стремлением сделать Сизиф лучше.

> включая общение с апстримами. А также
> > дальнейшая поддержка всей этой кухни ляжет на них.
> 
> именно таким и будет, к тому же лично мне selinux нахрен не нужен.

Мейнтейнер, который не в состоянии общаться с апстримами, не является
полноценным мейнтейнером.  А git pull с gear-commit и крон-скрипт может
сделать.

> > Не понимаю зачем вы избираете этот путь, но дело ваше.
> 
> я предлагал другой путь - положить пустой /proc/filesystems в hasher

Костыли предлагайте тем, кому они нужны.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Michael Shigorin]

On Tue, Aug 31, 2010 at 06:03:41PM +0400, Dmitry V. Levin wrote:
> Предполагается, что мейнтейнер, отправляющий пакет в Сизиф,
> обладает здравым смыслом и стремлением сделать Сизиф лучше.

Предположения имеют свойство порой разъезжаться, особенно неявные.
Хименко осторожничал с участием в team ещё в 2002, спрашивая
_сперва_ правила игры.  И он был прав.

> Мейнтейнер, который не в состоянии общаться с апстримами,
> не является полноценным мейнтейнером.

Замечательно, набирайте полноценных.  Компания, которая не в
состоянии сдержать своё слово по поддержке дистрибутива --
тоже, между прочим, не является полноценной.  Так что квиты.

> > > Не понимаю зачем вы избираете этот путь, но дело ваше.
> > я предлагал другой путь - положить пустой /proc/filesystems в hasher
> Костыли предлагайте тем, кому они нужны.

А всё-таки если прекратить истерить и делать вид, что мы круче
апстрима и можем всё враз починить -- что не так с предложенным
мной планом, особенно с напоминанием icesik@ про repocop?

<else>
Или мне провести носом господ крутохакеров по alterator-*
и installer-*, где не то что апстримные косяки -- кондовые
гвозди ящиками, нашенские?  Как раз сейчас продираюсь.
</>

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1262 bytes --]

On Tue, Aug 31, 2010 at 05:14:52PM +0300, Michael Shigorin wrote:
> On Tue, Aug 31, 2010 at 06:03:41PM +0400, Dmitry V. Levin wrote:
> > Предполагается, что мейнтейнер, отправляющий пакет в Сизиф,
> > обладает здравым смыслом и стремлением сделать Сизиф лучше.
> 
> Предположения имеют свойство порой разъезжаться, особенно неявные.
> Хименко осторожничал с участием в team ещё в 2002, спрашивая
> _сперва_ правила игры.  И он был прав.
> 
> > Мейнтейнер, который не в состоянии общаться с апстримами,
> > не является полноценным мейнтейнером.
> 
> Замечательно, набирайте полноценных.  Компания, которая не в
> состоянии сдержать своё слово по поддержке дистрибутива --
> тоже, между прочим, не является полноценной.  Так что квиты.

Компания не подписана на этот список рассылки и не сможет ответить.
Так что это offtopic.

> > > > Не понимаю зачем вы избираете этот путь, но дело ваше.
> > > я предлагал другой путь - положить пустой /proc/filesystems в hasher
> > Костыли предлагайте тем, кому они нужны.
> 
> А всё-таки если прекратить истерить и делать вид, что мы круче
> апстрима и можем всё враз починить

Миша, отвечай, пожалуйста, за _свои_ слова, и, очень тебя прошу,
не пытайся приписать другим свои мысли.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 681 bytes --]

On Tue, Aug 31, 2010 at 05:14:52PM +0300, Michael Shigorin wrote:
> On Tue, Aug 31, 2010 at 06:03:41PM +0400, Dmitry V. Levin wrote:
> > Предполагается, что мейнтейнер, отправляющий пакет в Сизиф,
> > обладает здравым смыслом и стремлением сделать Сизиф лучше.
> 
> Предположения имеют свойство порой разъезжаться, особенно неявные.
> Хименко осторожничал с участием в team ещё в 2002, спрашивая
> _сперва_ правила игры.  И он был прав.

Это порой бывает заметно.  Одни, включая новую --enable-ФИЧА,
сперва тестируют получившееся, а потом отправляют пакет в Сизиф.
Другие сперва отправляют пакет в Сизиф, а потом пользователи пишут,
что у них сломалось.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Anton Farygin]

31.08.2010 18:03, Dmitry V. Levin пишет:
> On Tue, Aug 31, 2010 at 05:46:27PM +0400, Valery V. Inozemtsev wrote:
>> В Втр, 31/08/2010 в 17:26 +0400, Alexey Gladkov пишет:
>>> 31.08.2010 17:02, Dmitry V. Levin wrote:
>>>> Валера сам включил поддержку SELinux в dbus.  Я считаю, что мейнтейнер
>>>> должен отвечать за свои действия.
>>>
>>> После такого заявления ты же знаешь каким будет следующий шаг
>>> мейнтейнера ...
>>>
>>> Он отключит selinux и дальше внедрять selinux заинтересованные
>>> граждане будут в одиночку,
>
> Предполагается, что мейнтейнер, отправляющий пакет в Сизиф, обладает
> здравым смыслом и стремлением сделать Сизиф лучше.
>
>> включая общение с апстримами. А также
>>> дальнейшая поддержка всей этой кухни ляжет на них.
>>
>> именно таким и будет, к тому же лично мне selinux нахрен не нужен.
>
> Мейнтейнер, который не в состоянии общаться с апстримами, не является
> полноценным мейнтейнером.  А git pull с gear-commit и крон-скрипт может
> сделать.

Безусловно. И в данной ситуации, на мой взгляд, оптимальным вариантом 
было бы спросить у апстрима, что они имели в виду, добавляя ответ "не 
знаю" функции "is_selinux_enabled()"

И уже в результате этого патчить или нет софт.

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 278 bytes --]

On Tue, Aug 31, 2010 at 06:56:05PM +0400, Anton Farygin wrote:
> Безусловно. И в данной ситуации, на мой 
> взгляд, оптимальным вариантом было бы 
> спросить у апстрима, что они имели в виду, 

Спрашивать у апстрима имеет смысл, когда у тебя ещё нет ответа.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Anton Farygin]

31.08.2010 19:03, Dmitry V. Levin пишет:
> On Tue, Aug 31, 2010 at 06:56:05PM +0400, Anton Farygin wrote:
>> Безусловно. И в данной ситуации, на мой
>> взгляд, оптимальным вариантом было бы
>> спросить у апстрима, что они имели в виду,
>
> Спрашивать у апстрима имеет смысл, когда у тебя ещё нет ответа.

а есть ответ ?

Читая эту оживлённую дискуссию не возникло ощущение, что ответ есть и он 
понятен всем участникам.

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 962 bytes --]

On Tue, Aug 31, 2010 at 06:56:05PM +0400, Anton Farygin wrote:

AF> Безусловно. И в данной ситуации, на мой взгляд, оптимальным вариантом 
AF> было бы спросить у апстрима, что они имели в виду, добавляя ответ "не 
AF> знаю" функции "is_selinux_enabled()"
AF> И уже в результате этого патчить или нет софт.

Есть 3 ответа -- "да", "нет", "не знаю".

Есть софт, которому нужно _точно_ знать "да" или "нет" (и в случае если
ответ получить не удается -- надо честно сдохнуть накричав на пользователя
в лог).

Есть софт, которому в принципе пофиг "да" или "нет", но если "да" --
выполняется какой-либо код. То есть false positives неприемлимы, false
negatives -- вполне допустимы.

Автор приложения волен выбирать -- допустимы ли false negatives, false
positives, или ему необходимо точно знать есть ли selinux или нет.

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Anton Farygin]

01.09.2010 04:55, Денис Смирнов пишет:
> On Tue, Aug 31, 2010 at 06:56:05PM +0400, Anton Farygin wrote:
>
> AF>  Безусловно. И в данной ситуации, на мой взгляд, оптимальным вариантом
> AF>  было бы спросить у апстрима, что они имели в виду, добавляя ответ "не
> AF>  знаю" функции "is_selinux_enabled()"
> AF>  И уже в результате этого патчить или нет софт.
>
> Есть 3 ответа -- "да", "нет", "не знаю".
>
> Есть софт, которому нужно _точно_ знать "да" или "нет" (и в случае если
> ответ получить не удается -- надо честно сдохнуть накричав на пользователя
> в лог).
>
> Есть софт, которому в принципе пофиг "да" или "нет", но если "да" --
> выполняется какой-либо код. То есть false positives неприемлимы, false
> negatives -- вполне допустимы.
>
> Автор приложения волен выбирать -- допустимы ли false negatives, false
> positives, или ему необходимо точно знать есть ли selinux или нет.

IMHO, при ответе "не знаю", приложение берёт на себя все функции, 
связанные с определением и работой с SELinux.

Если есть такие приложения, то подобное поведение разумно.

Вопрос - есть ли такие приложения ?

Насколько разумно оставлять выбор "да" или "нет" на приложение, если 
учесть, что приложения к такому выбору не готовы...

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 583 bytes --]

On Wed, Sep 01, 2010 at 08:54:29AM +0400, Anton Farygin wrote:

AF> IMHO, при ответе "не знаю", приложение берёт на себя все функции, 
AF> связанные с определением и работой с SELinux.

Думаю нет. При ответе "не знаю" у приложения есть два варианта -- работать
как будто SELinux отсутствует, или сдохнуть выругавшись в лог.

Вариант поведения зависит от того, насколько неприятны последствия
ошибочного принятия решения что SELinux отсутствует.

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 912 bytes --]

On Wed, Sep 01, 2010 at 09:05:36AM +0400, Денис Смирнов wrote:
> On Wed, Sep 01, 2010 at 08:54:29AM +0400, Anton Farygin wrote:
> 
> AF> IMHO, при ответе "не знаю", приложение берёт на себя все функции, 
> AF> связанные с определением и работой с SELinux.
> 
> Думаю нет.
> 
> При ответе "не знаю" у приложения есть два варианта -- работать
> как будто SELinux отсутствует, или сдохнуть выругавшись в лог.
> Вариант поведения зависит от того, насколько неприятны последствия
> ошибочного принятия решения что SELinux отсутствует.

Приложения при виде ответа "не знаю" делятся на 3 категории:
1. считают, что SELinux включён, и продолжают (недолго) работать;
2. считают, что SELinux выключён, и продолжают работать;
3. считают, что всё плохо, и прекращают работать.

Большинство приложений относится ко 2-й категории, но не все.
к примеру, dbus-daemon относится к 3-й категории.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Alexey Gladkov]

30.08.2010 17:16, Dmitry V. Levin wrote:
> Вопрос не в том, будет ли работать SELinux, а в том, будет ли работать
> приложение с SELinux.

Это был важный вопрос. Если работать без этой проверки selinux будет,
то -1 можно отнести к 1 (что if (!is_selinux_enabled()) и делает),
если не будет работать, то это ответ который ждут от
is_selinux_enabled и нужно вернуть 0, чтобы приложение не пыталось
использовать selinux.

-- 
Rgrds, legion

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1145 bytes --]

On Mon, Aug 30, 2010 at 02:30:20PM +0400, Alexey Gladkov wrote:
> 30.08.2010 14:21, Dmitry V. Levin wrote:
> > В коде is_selinux_enabled() нет проверки на невозможность прочитать.
> 
>   38         /* Drop back to detecting it the long way. */
>   39         fp = fopen("/proc/filesystems", "r");
>   40         if (!fp)
>   41                 return -1;
> 
> Здесь мы возвращаем -1. Зачем тут -1, почему не goto out; ?

Потому что out: выполняет fclose(fp) и возвращает 0/1.

>   44         while ((num = getline(&buf, &len, fp)) != -1) {
>   45                 if (strstr(buf, "selinuxfs")) {
>   46                         enabled = 1;
>   47                         break;
>   48                 }
>   49         }
>   50
>   51         if (num < 0)
>   52                 goto out;
> 
> Дим, проверка есть и в этом случае вернётся 0.

Люди, которые писали этот код, закрыли глаза на то, что, теоретически
возможна ситуация, когда getline(3) возвращает ошибку не из-за EOF.

Это проверка не на ошибку, а на EOF.  Если в этой точке num < 0, это
значит, что в файле /proc/filesystems нет selinuxfs.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Valery V. Ionozemtsev]

[-- Attachment #1: Type: text/plain, Size: 1974 bytes --]

В Пнд, 30/08/2010 в 14:21 +0400, Dmitry V. Levin пишет:
> On Mon, Aug 30, 2010 at 02:09:10PM +0400, Alexey Gladkov wrote:
> > 30.08.2010 13:51, Dmitry V. Levin wrote:
> > > Ещё вопросы есть?
> > 
> > Вопрос не к тебе, а по существу is_selinux_enabled():
> > 
> > http://git.altlinux.org/people/sem/packages/selinux.git?p=selinux.git;a=blob;f=libselinux/src/enabled.c#l39
> > 
> > почему невозможность открытия файла является критической ошибкой, а
> > невозможность из него прочитать нет ?
> 
> В коде is_selinux_enabled() нет проверки на невозможность прочитать.
> Считается, что если файл /proc/filesystems удалось открыть на чтение,
> то проблем с чтением ожидать не приходится.

для того что бы определить смонтирован /selinux или нет, /proc не нужен.
пример:

# mountpoint -d /selinux
0:13

> > Либо в обоих случаях нужно выводить ошибку, либо (что для меня более
> > логично) в обоих случаях делать "goto out;".
> > 
> > Лично для меня эта функция не должна выдавать "не знаю" на вопрос
> > включён или нет selinux и софт использующий эту библиотеку не причём.
> 
> Тем не менее, эта функция определена таким образом, что может давать
> три вида ответа: "да", "нет" и "нет способа определить".

"Ну так зачем тогда плодить сущности без необходимости?" (с) Dmitry V.
Levin

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 936 bytes --]

On Mon, Aug 30, 2010 at 03:44:21PM +0400, Valery V. Ionozemtsev wrote:
> В Пнд, 30/08/2010 в 14:21 +0400, Dmitry V. Levin пишет:
[...]
> для того что бы определить смонтирован /selinux или нет, /proc не нужен.
> пример:
> 
> # mountpoint -d /selinux
> 0:13

Если /selinux не смонтирован (или вообще отсутствует), то это ещё не
значит, что SELinux включён, выключен или отсутствует.  Например, если
приложение работает в чруте, то оно не может по состоянию /selinux судить
о включённости SELinux.

> > Тем не менее, эта функция определена таким образом, что может давать
> > три вида ответа: "да", "нет" и "нет способа определить".
> 
> "Ну так зачем тогда плодить сущности без необходимости?" (с) Dmitry V. Levin

Авторам libselinux понадобилось отличать эти две ситуации.  Это их право,
я не буду их за это судить.

Короче говоря, давайте закруглять обсуждение и переходить к исправлению
пакетов.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: xorg-server, dbus: SELinux support breaks software

[Valery V. Ionozemtsev]

[-- Attachment #1: Type: text/plain, Size: 734 bytes --]

> Авторам libselinux понадобилось отличать эти две ситуации.  Это их право,
> я не буду их за это судить.
> 
> Короче говоря, давайте закруглять обсуждение

давайте

>  и переходить к исправлению
> пакетов.

иксы я исправлю, т.к. там действительно что -1, что 0, без разницы.
а вот в dbus явная проверка

  r = is_selinux_enabled ();
  if (r < 0)
    {

авторам dbus понадобилось отличать эти две ситуации.  и это их право

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Q: Xvfb: SELinux support breaks software

[Alexey Gladkov]

30.08.2010 12:18, Dmitry V. Levin wrote:
> Неправильную проверку
>     if (!is_selinux_enabled())
> нужно исправить на
>     if (is_selinux_enabled() <= 0)

Ну вообще-то из этого не следует, что selinux выключен. При
отмонтированном /proc selinux может быть включён и политики могут быть
загружены.

-- 
Rgrds, legion

Re: [devel] Q: Xvfb: SELinux support breaks software

[Mikhail Efremov]

On Mon, 30 Aug 2010 12:27:26 +0400 Alexey Gladkov wrote:
> > Неправильную проверку
> >     if (!is_selinux_enabled())
> > нужно исправить на
> >     if (is_selinux_enabled() <= 0)
> 
> Ну вообще-то из этого не следует, что selinux выключен. При
> отмонтированном /proc selinux может быть включён и политики могут быть
> загружены.

Да, но какое-то решение, как интерпретировать невозможность это
определить, надо принять. В большинстве кода этот случай
интерпретируется как то, что SELinux выключен. И я думаю обычно это
вполне разумно, во всяком случае у нас.

-- 
WBR, Mikhail Efremov

Re: [devel] Q: Xvfb: SELinux support breaks software

[Alexey Gladkov]

30.08.2010 15:32, Mikhail Efremov wrote:
> Да, но какое-то решение, как интерпретировать невозможность это
> определить, надо принять. В большинстве кода этот случай
> интерпретируется как то, что SELinux выключен. И я думаю обычно это
> вполне разумно, во всяком случае у нас.

Почему тогда не сказать приложению, что он выключен, если это правильно ?

Кстати, вторая функция в этом исходнике is_selinux_mls_enabled() на
ошибке open возвращает 0.

-- 
Rgrds, legion

[devel] I: dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 3872 bytes --]

On Mon, Aug 30, 2010 at 01:57:47AM +0400, ALT beekeeper wrote:
> telepathy-glib-0.10.7-alt1
> 	make[4]: Entering directory `/usr/src/RPM/BUILD/telepathy-glib-0.10.7/tests/dbus'
> 	Could not tell if SELinux is enabled: No such file or directory
> 	SELinux pre-initialization failed
> 	FAIL: test-account
> 	Could not tell if SELinux is enabled: No such file or directory
> 	SELinux pre-initialization failed
> 	FAIL: test-account-manager
> 	Could not tell if SELinux is enabled: No such file or directory
> 	SELinux pre-initialization failed
> 	FAIL: test-call-cancellation
> 	Could not tell if SELinux is enabled: No such file or directory
> 	SELinux pre-initialization failed
> 	FAIL: test-callable-example
> 	Could not tell if SELinux is enabled: No such file or directory
> 	SELinux pre-initialization failed
> 	FAIL: test-channel-dispatcher
> 
> telepathy-haze-0.3.6-alt1
> 	TESTS_ENVIRONMENT="PYTHONPATH=/usr/src/RPM/BUILD/telepathy-haze-0.3.6/tests/twisted:/usr/src/RPM/BUILD/telepathy-haze-0.3.6/tests/twisted
> 	/usr/bin/python"
> 	Could not tell if SELinux is enabled: No such file or directory
> 	SELinux pre-initialization failed
> 
> telepathy-sofiasip-0.6.3-alt2
> 	TESTS_ENVIRONMENT="PYTHONPATH=/usr/src/RPM/BUILD/telepathy-sofiasip-0.6.3/tests/twisted
> 	/usr/bin/python"
> 	Could not tell if SELinux is enabled: No such file or directory
> 	SELinux pre-initialization failed
> 
> vala-0.8.1-alt1
> 	/dbus/basic-types/server: ^[[72G^[[0;31mFAIL^[[m
> 	Could not tell if SELinux is enabled: No such file or directory
> 	SELinux pre-initialization failed
> 	EOF in dbus-launch reading address from bus daemon
> 	** CRITICAL **: file /usr/src/RPM/BUILD/vala-0.8.1/tests/_test/main.c: line 17349:
> 	uncaught error: /usr/bin/dbus-launch terminated abnormally with the following error:
> 	Autolaunch error: X11 initialization failed.
> 	(dbus-glib-error-quark, 23)
> 	--
> 	/dbus/arrays/server: ^[[72G^[[0;31mFAIL^[[m
> 	Could not tell if SELinux is enabled: No such file or directory
> 	SELinux pre-initialization failed
> 	EOF in dbus-launch reading address from bus daemon
> 	** CRITICAL **: file /usr/src/RPM/BUILD/vala-0.8.1/tests/_test/main.c: line 19278:
> 	uncaught error: /usr/bin/dbus-launch terminated abnormally with the following error:
> 	Autolaunch error: X11 initialization failed.
> 	(dbus-glib-error-quark, 23)
> 	--
> 	/dbus/structs/server: ^[[72G^[[0;31mFAIL^[[m
> 	Could not tell if SELinux is enabled: No such file or directory
> 	SELinux pre-initialization failed
> 	EOF in dbus-launch reading address from bus daemon
> 	** CRITICAL **: file /usr/src/RPM/BUILD/vala-0.8.1/tests/_test/main.c: line 20619:
> 	uncaught error: /usr/bin/dbus-launch terminated abnormally with the following error:
> 	Autolaunch error: X11 initialization failed.
> 	(dbus-glib-error-quark, 23)
> 	--
> 	/dbus/async/server: ^[[72G^[[0;31mFAIL^[[m
> 	Could not tell if SELinux is enabled: No such file or directory
> 	SELinux pre-initialization failed
> 	EOF in dbus-launch reading address from bus daemon
> 	** CRITICAL **: file /usr/src/RPM/BUILD/vala-0.8.1/tests/_test/main.c: line 22017:
> 	uncaught error: /usr/bin/dbus-launch terminated abnormally with the following error:
> 	Autolaunch error: X11 initialization failed.
> 	(dbus-glib-error-quark, 23)
> 	--
> 	/dbus/signals/server: ^[[72G^[[0;31mFAIL^[[m
> 	Could not tell if SELinux is enabled: No such file or directory
> 	SELinux pre-initialization failed
> 	EOF in dbus-launch reading address from bus daemon
> 	** CRITICAL **: file /usr/src/RPM/BUILD/vala-0.8.1/tests/_test/main.c: line 22770:
> 	uncaught error: /usr/bin/dbus-launch terminated abnormally with the following error:
> 	Autolaunch error: X11 initialization failed.
> 	(dbus-glib-error-quark, 23)

Это результат включения поддержки SELinux в dbus-1.2.24-alt2.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: dbus: SELinux support breaks software

[Valery V. Ionozemtsev]

[-- Attachment #1: Type: text/plain, Size: 962 bytes --]

В Пнд, 30/08/2010 в 02:21 +0400, Dmitry V. Levin пишет:
> On Mon, Aug 30, 2010 at 01:57:47AM +0400, ALT beekeeper wrote:
> > telepathy-glib-0.10.7-alt1
> > 	make[4]: Entering directory `/usr/src/RPM/BUILD/telepathy-glib-0.10.7/tests/dbus'
> > 	Could not tell if SELinux is enabled: No such file or directory
> > 	SELinux pre-initialization failed
[..]
> Это результат включения поддержки SELinux в dbus-1.2.24-alt2.

какие то проблемы в hasher'e. is_selinux_enabled() возвращает 0 если
SELinux выключет и 1 если включен. простой тест

#include <stdio.h>
#include <selinux/selinux.h>

void main(int argc, char **argv) {
        printf("%i\n", is_selinux_enabled());
}

у меня в локальном хашере возвращает 0, почему в сборочнице оно
верзвращает -1?

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: dbus: SELinux support breaks software

[Mikhail Efremov]

On Mon, 30 Aug 2010 10:25:01 +0400
Valery V. Ionozemtsev wrote:

> какие то проблемы в hasher'e. is_selinux_enabled() возвращает 0 если
> SELinux выключет и 1 если включен. простой тест
> 
> #include <stdio.h>
> #include <selinux/selinux.h>
> 
> void main(int argc, char **argv) {
>         printf("%i\n", is_selinux_enabled());
> }
> 
> у меня в локальном хашере возвращает 0, почему в сборочнице оно
> верзвращает -1?

Не важно почему, эта функция _может_ возвращать -1 (несмотря на то, что
написано в man), и вызывающий код должен корректно обрабатывать этот
случай.

-- 
WBR, Mikhail Efremov

Re: [devel] I: dbus: SELinux support breaks software

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1271 bytes --]

On Mon, Aug 30, 2010 at 10:25:01AM +0400, Valery V. Ionozemtsev wrote:
> В Пнд, 30/08/2010 в 02:21 +0400, Dmitry V. Levin пишет:
> > On Mon, Aug 30, 2010 at 01:57:47AM +0400, ALT beekeeper wrote:
> > > telepathy-glib-0.10.7-alt1
> > > 	make[4]: Entering directory `/usr/src/RPM/BUILD/telepathy-glib-0.10.7/tests/dbus'
> > > 	Could not tell if SELinux is enabled: No such file or directory
> > > 	SELinux pre-initialization failed
> [..]
> > Это результат включения поддержки SELinux в dbus-1.2.24-alt2.
> 
> какие то проблемы в hasher'e. is_selinux_enabled() возвращает 0 если
> SELinux выключет и 1 если включен. простой тест
> 
> #include <stdio.h>
> #include <selinux/selinux.h>
> 
> void main(int argc, char **argv) {
>         printf("%i\n", is_selinux_enabled());
> }
> 
> у меня в локальном хашере возвращает 0, почему в сборочнице оно
> верзвращает -1?

-1 это документированный код возврата, надо его правильно интерпретировать.
В частности, is_selinux_enabled() возвращает -1, когда не может открыть
файл /proc/filesystems с тем, чтобы поискать там слово selinuxfs.

Другими словами, SELinux считается включённым тогда и только тогда, когда
is_selinux_enabled() > 0.  Исправляйте ваших клиентов библиотеки libselinux.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: dbus: SELinux support breaks software

[Valery V. Ionozemtsev]

[-- Attachment #1: Type: text/plain, Size: 371 bytes --]

> Другими словами, SELinux считается включённым тогда и только тогда, когда
> is_selinux_enabled() > 0.  Исправляйте ваших клиентов библиотеки libselinux.

# touch ~/hasher/sisyphus/chroot/proc/filesystems

вот и все исправление

-- 
Valery V. Inozemtsev

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 198 bytes --]