On Wed, Aug 28, 2019 at 11:46:50PM +0200, Alexey Gladkov wrote:
> On Wed, Aug 28, 2019 at 11:53:15PM +0300, Dmitry V. Levin wrote:
> > On Wed, Aug 28, 2019 at 09:50:18PM +0200, Alexey Gladkov wrote:
> > > On Wed, Aug 28, 2019 at 09:15:52PM +0300, Dmitry V. Levin wrote:
> > > > Изменение по сути одно и оно точечное.
> > > > 
> > > > Содержимое hasher/chroot/dev будет недоступно процессам в чруте,
> > > > поскольку у них будет свой /dev на tmpfs, создаваемый каждый раз
> > > > при запуске этих процессов в их mount namespace и, соответственно,
> > > > недоступный процессам снаружи.
> > > 
> > > Ну setns всё-таки есть :)
> > 
> > Это процессы разных пользователей, и setns не сработает с hidepid=1.
> 
> Да, но это нужно делать в хост-системе и он будет глобален для всего pid
> namespace ... нужно всё-таки возродить тот патч.

Сейчас без hidepid=1 возможна утечка доступа к /dev из чрута к вызывающему
пользователю.  Этого, наверное, можно было бы избежать, установив права
доступа 0700 к /dev в чруте, но это, вероятно, сломает какие-нибудь
генераторы образов.  Пожалуй, лучше оставить 0755.

> > > А почему теперь /dev/shm обязателен и не отключаем ? Раньше же без него
> > > обходились.
> > 
> > Раньше его неотключаемо создавал hasher, теперь hasher-priv.
> > В принципе, его можно отключить через /etc/hasher-priv/fstab,
> > написав какой-нибудь mode=755, но зачем?
> 
> Ну просто это ещё одна tmpfs. Она конечно ограничена по размеру, но
> всё-таки. Я бы и /sys без нужды не давал ибо нефиг читать информацию про
> хост-систему и модули.

Можно объявить, что /dev/shm мы монтируем временно
для обеспечения обратной совместимости, и скоро уберём.

Ну а /sys по умолчанию не входит в allowed_mountpoints,
который по умолчанию вообще пуст.


-- 
ldv