From: "Dmitry V. Levin" <ldv@altlinux.org>
To: ALT Devel discussion list <devel@lists.altlinux.org>
Subject: Re: [devel] /dev/shm
Date: Thu, 29 Aug 2019 01:52:44 +0300
Message-ID: <20190828225244.GB975@altlinux.org> (raw)
In-Reply-To: <20190828214650.yw2avjxhlmem3rdx@Legion-PC.fortress>
[-- Attachment #1: Type: text/plain, Size: 1802 bytes --]
On Wed, Aug 28, 2019 at 11:46:50PM +0200, Alexey Gladkov wrote:
> On Wed, Aug 28, 2019 at 11:53:15PM +0300, Dmitry V. Levin wrote:
> > On Wed, Aug 28, 2019 at 09:50:18PM +0200, Alexey Gladkov wrote:
> > > On Wed, Aug 28, 2019 at 09:15:52PM +0300, Dmitry V. Levin wrote:
> > > > Изменение по сути одно и оно точечное.
> > > >
> > > > Содержимое hasher/chroot/dev будет недоступно процессам в чруте,
> > > > поскольку у них будет свой /dev на tmpfs, создаваемый каждый раз
> > > > при запуске этих процессов в их mount namespace и, соответственно,
> > > > недоступный процессам снаружи.
> > >
> > > Ну setns всё-таки есть :)
> >
> > Это процессы разных пользователей, и setns не сработает с hidepid=1.
>
> Да, но это нужно делать в хост-системе и он будет глобален для всего pid
> namespace ... нужно всё-таки возродить тот патч.
Сейчас без hidepid=1 возможна утечка доступа к /dev из чрута к вызывающему
пользователю. Этого, наверное, можно было бы избежать, установив права
доступа 0700 к /dev в чруте, но это, вероятно, сломает какие-нибудь
генераторы образов. Пожалуй, лучше оставить 0755.
> > > А почему теперь /dev/shm обязателен и не отключаем ? Раньше же без него
> > > обходились.
> >
> > Раньше его неотключаемо создавал hasher, теперь hasher-priv.
> > В принципе, его можно отключить через /etc/hasher-priv/fstab,
> > написав какой-нибудь mode=755, но зачем?
>
> Ну просто это ещё одна tmpfs. Она конечно ограничена по размеру, но
> всё-таки. Я бы и /sys без нужды не давал ибо нефиг читать информацию про
> хост-систему и модули.
Можно объявить, что /dev/shm мы монтируем временно
для обеспечения обратной совместимости, и скоро уберём.
Ну а /sys по умолчанию не входит в allowed_mountpoints,
который по умолчанию вообще пуст.
--
ldv
[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]
next prev parent reply other threads:[~2019-08-28 22:52 UTC|newest]
Thread overview: 32+ messages / expand[flat|nested] mbox.gz Atom feed top
2019-08-28 8:27 ` [devel] Fwd: [cyber] I: Sisyphus-20190827 x86_64 beehive_status: +34 -5 (105) Levin Stanislav
2019-08-28 9:04 ` [devel] /dev/shm Dmitry V. Levin
2019-08-28 9:55 ` Dmitry V. Levin
2019-08-28 9:58 ` Anton Farygin
2019-08-28 10:03 ` Валерий Иноземцев
2019-08-28 10:13 ` Dmitry V. Levin
2019-08-28 10:57 ` Dmitry V. Levin
2019-08-29 0:56 ` Alexey Shabalin
2019-08-28 13:54 ` Dmitry V. Levin
2019-08-28 14:33 ` Alexey Gladkov
2019-08-28 15:02 ` Dmitry V. Levin
2019-08-28 15:11 ` Alexey Gladkov
2019-08-28 15:23 ` Dmitry V. Levin
2019-08-28 18:08 ` Alexey Gladkov
2019-08-28 18:11 ` Anton Farygin
2019-08-28 18:24 ` Dmitry V. Levin
2019-08-28 18:45 ` Anton Farygin
2019-08-28 18:50 ` Anton Farygin
2019-08-28 18:59 ` Dmitry V. Levin
2019-08-29 21:08 ` Dmitry V. Levin
2019-08-28 18:15 ` Dmitry V. Levin
2019-08-28 19:50 ` Alexey Gladkov
2019-08-28 20:53 ` Dmitry V. Levin
2019-08-28 21:46 ` Alexey Gladkov
2019-08-28 22:52 ` Dmitry V. Levin [this message]
2019-08-29 13:58 ` Andrey Savchenko
2019-08-29 19:24 ` Dmitry V. Levin
2019-08-29 19:36 ` Anton Farygin
2019-08-29 23:39 ` Leonid Krivoshein
2019-08-30 0:27 ` Dmitry V. Levin
2019-08-30 4:30 ` Leonid Krivoshein
2019-08-28 16:31 ` Stanislav Levin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20190828225244.GB975@altlinux.org \
--to=ldv@altlinux.org \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git