* Re: [devel] [sisyphus] приключения resolv.conf в ALT @ 2020-04-03 10:28 ` Vladimir D. Seleznev 2020-04-03 10:32 ` Denis Medvedev 2020-04-03 10:32 ` Alexey V. Vissarionov 0 siblings, 2 replies; 17+ messages in thread From: Vladimir D. Seleznev @ 2020-04-03 10:28 UTC (permalink / raw) To: sisyphus, devel On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote: > > PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf. > > дождитесь его, прежде чем отвечать :) > 5) update_chrooted. > Наши замечательные ALT особенности :) > Множество сервисов и отдельных программ(например ping) запускаются в chroot. > В этот chroot должны быть скопированы и библиотеки, и настройки для > этих библиотек, в частности resolv.conf. > Т.е. ping не использует /etc/resolv.conf, а использует > /var/resolv/etc/resolv.conf. > Нам очень важно держать в chroot'ах resolv.conf синхронным c с > основной системой. > Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать > update_chrooted. Может быть стоит написать некий update_chrootd, который следил бы за всеми файлами, которые должны быть в чруте, и при их обновлении обновлял бы чрут? -- WBR, Vladimir D. Seleznev ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 10:28 ` [devel] [sisyphus] приключения resolv.conf в ALT Vladimir D. Seleznev @ 2020-04-03 10:32 ` Denis Medvedev 2020-04-03 10:37 ` Vladimir D. Seleznev 2020-04-03 10:32 ` Alexey V. Vissarionov 1 sibling, 1 reply; 17+ messages in thread From: Denis Medvedev @ 2020-04-03 10:32 UTC (permalink / raw) To: ALT Linux Team development discussions, Vladimir D. Seleznev, sisyphus 03.04.2020 13:28, Vladimir D. Seleznev пишет: > On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote: >>> PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf. >>> дождитесь его, прежде чем отвечать :) >> 5) update_chrooted. >> Наши замечательные ALT особенности :) >> Множество сервисов и отдельных программ(например ping) запускаются в chroot. >> В этот chroot должны быть скопированы и библиотеки, и настройки для >> этих библиотек, в частности resolv.conf. >> Т.е. ping не использует /etc/resolv.conf, а использует >> /var/resolv/etc/resolv.conf. >> Нам очень важно держать в chroot'ах resolv.conf синхронным c с >> основной системой. >> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать >> update_chrooted. > Может быть стоит написать некий update_chrootd, который следил бы за > всеми файлами, которые должны быть в чруте, и при их обновлении обновлял > бы чрут? > Делать inotify на список файлов относящимся к chroot и по событию изменения делать update_chroot? ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 10:32 ` Denis Medvedev @ 2020-04-03 10:37 ` Vladimir D. Seleznev 2020-04-03 10:50 ` Vladimir D. Seleznev 0 siblings, 1 reply; 17+ messages in thread From: Vladimir D. Seleznev @ 2020-04-03 10:37 UTC (permalink / raw) To: Denis Medvedev Cc: sisyphus, ALT Linux Team development discussions, Vladimir D. Seleznev On Fri, Apr 03, 2020 at 01:32:38PM +0300, Denis Medvedev wrote: > 03.04.2020 13:28, Vladimir D. Seleznev пишет: > > On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote: > >>> PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf. > >>> дождитесь его, прежде чем отвечать :) > >> 5) update_chrooted. > >> Наши замечательные ALT особенности :) > >> Множество сервисов и отдельных программ(например ping) запускаются в chroot. > >> В этот chroot должны быть скопированы и библиотеки, и настройки для > >> этих библиотек, в частности resolv.conf. > >> Т.е. ping не использует /etc/resolv.conf, а использует > >> /var/resolv/etc/resolv.conf. > >> Нам очень важно держать в chroot'ах resolv.conf синхронным c с > >> основной системой. > >> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать > >> update_chrooted. > > Может быть стоит написать некий update_chrootd, который следил бы за > > всеми файлами, которые должны быть в чруте, и при их обновлении обновлял > > бы чрут? > > > Делать inotify на список файлов относящимся к chroot и по событию > изменения делать update_chroot? Да. -- WBR, Vladimir D. Seleznev ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 10:37 ` Vladimir D. Seleznev @ 2020-04-03 10:50 ` Vladimir D. Seleznev 2020-04-03 10:51 ` Denis Medvedev 0 siblings, 1 reply; 17+ messages in thread From: Vladimir D. Seleznev @ 2020-04-03 10:50 UTC (permalink / raw) To: Denis Medvedev; +Cc: sisyphus, ALT Linux Team development discussions On Fri, Apr 03, 2020 at 01:37:41PM +0300, Vladimir D. Seleznev wrote: > On Fri, Apr 03, 2020 at 01:32:38PM +0300, Denis Medvedev wrote: > > 03.04.2020 13:28, Vladimir D. Seleznev пишет: > > > On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote: > > >>> PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf. > > >>> дождитесь его, прежде чем отвечать :) > > >> 5) update_chrooted. > > >> Наши замечательные ALT особенности :) > > >> Множество сервисов и отдельных программ(например ping) запускаются в chroot. > > >> В этот chroot должны быть скопированы и библиотеки, и настройки для > > >> этих библиотек, в частности resolv.conf. > > >> Т.е. ping не использует /etc/resolv.conf, а использует > > >> /var/resolv/etc/resolv.conf. > > >> Нам очень важно держать в chroot'ах resolv.conf синхронным c с > > >> основной системой. > > >> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать > > >> update_chrooted. > > > Может быть стоит написать некий update_chrootd, который следил бы за > > > всеми файлами, которые должны быть в чруте, и при их обновлении обновлял > > > бы чрут? > > > > > Делать inotify на список файлов относящимся к chroot и по событию > > изменения делать update_chroot? > > Да. Нет, при текущей архитектуре update_chrooted предложенное мной решение невозможно. Для него надо с нуля придумывать всё решение. И если для postfix'а нельзя декларативно указать все его конфиги, то боюсь в общем случае это будет невозможно. -- WBR, Vladimir D. Seleznev ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 10:50 ` Vladimir D. Seleznev @ 2020-04-03 10:51 ` Denis Medvedev 2020-04-03 12:20 ` Dmitry V. Levin 0 siblings, 1 reply; 17+ messages in thread From: Denis Medvedev @ 2020-04-03 10:51 UTC (permalink / raw) To: ALT Linux Team development discussions, Vladimir D. Seleznev; +Cc: sisyphus 03.04.2020 13:50, Vladimir D. Seleznev пишет: > On Fri, Apr 03, 2020 at 01:37:41PM +0300, Vladimir D. Seleznev wrote: >> On Fri, Apr 03, 2020 at 01:32:38PM +0300, Denis Medvedev wrote: >>> 03.04.2020 13:28, Vladimir D. Seleznev пишет: >>>> On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote: >>>>>> PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf. >>>>>> дождитесь его, прежде чем отвечать :) >>>>> 5) update_chrooted. >>>>> Наши замечательные ALT особенности :) >>>>> Множество сервисов и отдельных программ(например ping) запускаются в chroot. >>>>> В этот chroot должны быть скопированы и библиотеки, и настройки для >>>>> этих библиотек, в частности resolv.conf. >>>>> Т.е. ping не использует /etc/resolv.conf, а использует >>>>> /var/resolv/etc/resolv.conf. >>>>> Нам очень важно держать в chroot'ах resolv.conf синхронным c с >>>>> основной системой. >>>>> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать >>>>> update_chrooted. >>>> Может быть стоит написать некий update_chrootd, который следил бы за >>>> всеми файлами, которые должны быть в чруте, и при их обновлении обновлял >>>> бы чрут? >>>> >>> Делать inotify на список файлов относящимся к chroot и по событию >>> изменения делать update_chroot? >> Да. > Нет, при текущей архитектуре update_chrooted предложенное мной решение > невозможно. Для него надо с нуля придумывать всё решение. И если для > postfix'а нельзя декларативно указать все его конфиги, то боюсь в общем > случае это будет невозможно. > Хотелось бы прописать политику о том, что любой пакет, желающий использовать chroot, должен иметь возможность работать БЕЗ chroot. (легкую отключаемость этой IMHO mis-feature). ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 10:51 ` Denis Medvedev @ 2020-04-03 12:20 ` Dmitry V. Levin 2020-04-03 12:22 ` Denis Medvedev ` (2 more replies) 0 siblings, 3 replies; 17+ messages in thread From: Dmitry V. Levin @ 2020-04-03 12:20 UTC (permalink / raw) To: ALT Devel discussion list On Fri, Apr 03, 2020 at 01:51:51PM +0300, Denis Medvedev wrote: > 03.04.2020 13:50, Vladimir D. Seleznev пишет: > > On Fri, Apr 03, 2020 at 01:37:41PM +0300, Vladimir D. Seleznev wrote: > >> On Fri, Apr 03, 2020 at 01:32:38PM +0300, Denis Medvedev wrote: > >>> 03.04.2020 13:28, Vladimir D. Seleznev пишет: > >>>> On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote: > >>>>>> PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf. > >>>>>> дождитесь его, прежде чем отвечать :) > >>>>> 5) update_chrooted. > >>>>> Наши замечательные ALT особенности :) > >>>>> Множество сервисов и отдельных программ(например ping) запускаются в chroot. > >>>>> В этот chroot должны быть скопированы и библиотеки, и настройки для > >>>>> этих библиотек, в частности resolv.conf. > >>>>> Т.е. ping не использует /etc/resolv.conf, а использует > >>>>> /var/resolv/etc/resolv.conf. > >>>>> Нам очень важно держать в chroot'ах resolv.conf синхронным c с > >>>>> основной системой. > >>>>> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать > >>>>> update_chrooted. > >>>> Может быть стоит написать некий update_chrootd, который следил бы за > >>>> всеми файлами, которые должны быть в чруте, и при их обновлении обновлял > >>>> бы чрут? > >>>> > >>> Делать inotify на список файлов относящимся к chroot и по событию > >>> изменения делать update_chroot? > >> Да. > > Нет, при текущей архитектуре update_chrooted предложенное мной решение > > невозможно. Для него надо с нуля придумывать всё решение. И если для > > postfix'а нельзя декларативно указать все его конфиги, то боюсь в общем > > случае это будет невозможно. > > > Хотелось бы прописать политику о том, что любой пакет, желающий > использовать chroot, должен иметь возможность работать БЕЗ chroot. Нет, хотелось бы обратного, чтобы всякий желающий оторвать чрут получал бы по рукам. -- ldv ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 12:20 ` Dmitry V. Levin @ 2020-04-03 12:22 ` Denis Medvedev 2020-04-03 12:33 ` Alexey V. Vissarionov 2020-04-03 12:56 ` Andrey Savchenko 2 siblings, 0 replies; 17+ messages in thread From: Denis Medvedev @ 2020-04-03 12:22 UTC (permalink / raw) To: ALT Linux Team development discussions, Dmitry V. Levin 03.04.2020 15:20, Dmitry V. Levin пишет: > On Fri, Apr 03, 2020 at 01:51:51PM +0300, Denis Medvedev wrote: >> 03.04.2020 13:50, Vladimir D. Seleznev пишет: >>> On Fri, Apr 03, 2020 at 01:37:41PM +0300, Vladimir D. Seleznev wrote: >>>> On Fri, Apr 03, 2020 at 01:32:38PM +0300, Denis Medvedev wrote: >>>>> 03.04.2020 13:28, Vladimir D. Seleznev пишет: >>>>>> On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote: >>>>>>>> PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf. >>>>>>>> дождитесь его, прежде чем отвечать :) >>>>>>> 5) update_chrooted. >>>>>>> Наши замечательные ALT особенности :) >>>>>>> Множество сервисов и отдельных программ(например ping) запускаются в chroot. >>>>>>> В этот chroot должны быть скопированы и библиотеки, и настройки для >>>>>>> этих библиотек, в частности resolv.conf. >>>>>>> Т.е. ping не использует /etc/resolv.conf, а использует >>>>>>> /var/resolv/etc/resolv.conf. >>>>>>> Нам очень важно держать в chroot'ах resolv.conf синхронным c с >>>>>>> основной системой. >>>>>>> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать >>>>>>> update_chrooted. >>>>>> Может быть стоит написать некий update_chrootd, который следил бы за >>>>>> всеми файлами, которые должны быть в чруте, и при их обновлении обновлял >>>>>> бы чрут? >>>>>> >>>>> Делать inotify на список файлов относящимся к chroot и по событию >>>>> изменения делать update_chroot? >>>> Да. >>> Нет, при текущей архитектуре update_chrooted предложенное мной решение >>> невозможно. Для него надо с нуля придумывать всё решение. И если для >>> postfix'а нельзя декларативно указать все его конфиги, то боюсь в общем >>> случае это будет невозможно. >>> >> Хотелось бы прописать политику о том, что любой пакет, желающий >> использовать chroot, должен иметь возможность работать БЕЗ chroot. > Нет, хотелось бы обратного, чтобы всякий желающий оторвать чрут > получал бы по рукам. > > Может тогда убрать вообще конфиги для chroot сервисов из главного /etc чтобы они не путали людей и не вносили некогерентность? ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 12:20 ` Dmitry V. Levin 2020-04-03 12:22 ` Denis Medvedev @ 2020-04-03 12:33 ` Alexey V. Vissarionov 2020-04-03 12:56 ` Andrey Savchenko 2 siblings, 0 replies; 17+ messages in thread From: Alexey V. Vissarionov @ 2020-04-03 12:33 UTC (permalink / raw) To: ALT Linux Team development discussions On 2020-04-03 15:20:23 +0300, Dmitry V. Levin wrote: >> Хотелось бы прописать политику о том, что любой пакет, желающий >> использовать chroot, должен иметь возможность работать БЕЗ chroot. > Нет, хотелось бы обратного, чтобы всякий желающий оторвать чрут > получал бы по рукам. ... и ставил шляпу или дебилиан? Система должна быть гибкой в настройке. То есть, уметь в точности повторять форму рук администратора. -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 12:20 ` Dmitry V. Levin 2020-04-03 12:22 ` Denis Medvedev 2020-04-03 12:33 ` Alexey V. Vissarionov @ 2020-04-03 12:56 ` Andrey Savchenko 2020-04-03 13:10 ` Dmitry V. Levin 2 siblings, 1 reply; 17+ messages in thread From: Andrey Savchenko @ 2020-04-03 12:56 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 3695 bytes --] On Fri, 3 Apr 2020 15:20:23 +0300 Dmitry V. Levin wrote: > On Fri, Apr 03, 2020 at 01:51:51PM +0300, Denis Medvedev wrote: > > 03.04.2020 13:50, Vladimir D. Seleznev пишет: > > > On Fri, Apr 03, 2020 at 01:37:41PM +0300, Vladimir D. Seleznev wrote: > > >> On Fri, Apr 03, 2020 at 01:32:38PM +0300, Denis Medvedev wrote: > > >>> 03.04.2020 13:28, Vladimir D. Seleznev пишет: > > >>>> On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote: > > >>>>>> PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf. > > >>>>>> дождитесь его, прежде чем отвечать :) > > >>>>> 5) update_chrooted. > > >>>>> Наши замечательные ALT особенности :) > > >>>>> Множество сервисов и отдельных программ(например ping) запускаются в chroot. > > >>>>> В этот chroot должны быть скопированы и библиотеки, и настройки для > > >>>>> этих библиотек, в частности resolv.conf. > > >>>>> Т.е. ping не использует /etc/resolv.conf, а использует > > >>>>> /var/resolv/etc/resolv.conf. > > >>>>> Нам очень важно держать в chroot'ах resolv.conf синхронным c с > > >>>>> основной системой. > > >>>>> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать > > >>>>> update_chrooted. > > >>>> Может быть стоит написать некий update_chrootd, который следил бы за > > >>>> всеми файлами, которые должны быть в чруте, и при их обновлении обновлял > > >>>> бы чрут? > > >>>> > > >>> Делать inotify на список файлов относящимся к chroot и по событию > > >>> изменения делать update_chroot? > > >> Да. > > > Нет, при текущей архитектуре update_chrooted предложенное мной решение > > > невозможно. Для него надо с нуля придумывать всё решение. И если для > > > postfix'а нельзя декларативно указать все его конфиги, то боюсь в общем > > > случае это будет невозможно. > > > > > Хотелось бы прописать политику о том, что любой пакет, желающий > > использовать chroot, должен иметь возможность работать БЕЗ chroot. > > Нет, хотелось бы обратного, чтобы всякий желающий оторвать чрут > получал бы по рукам. А чем поясняется такое стойкое желание использовать chroot? Выход из него абсолютно тривиален при наличии прав рута и сложнее при отсутствии, но всё же осуществим через то же локальное поднятие привилегий. Если действительно важна изоляция сервисов с точки зрения безопасности, почему бы не использовать LXC? Да, этот механизм тоже не идеален, но он предоставляет намного больше защиты, чем простой chroot. Best regards, Andrew Savchenko [-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --] ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 12:56 ` Andrey Savchenko @ 2020-04-03 13:10 ` Dmitry V. Levin 2020-04-03 13:21 ` Denis Medvedev 0 siblings, 1 reply; 17+ messages in thread From: Dmitry V. Levin @ 2020-04-03 13:10 UTC (permalink / raw) To: Andrey Savchenko; +Cc: ALT Linux Team development discussions On Fri, Apr 03, 2020 at 03:56:04PM +0300, Andrey Savchenko wrote: > On Fri, 3 Apr 2020 15:20:23 +0300 Dmitry V. Levin wrote: > > On Fri, Apr 03, 2020 at 01:51:51PM +0300, Denis Medvedev wrote: > > > 03.04.2020 13:50, Vladimir D. Seleznev пишет: > > > > On Fri, Apr 03, 2020 at 01:37:41PM +0300, Vladimir D. Seleznev wrote: > > > >> On Fri, Apr 03, 2020 at 01:32:38PM +0300, Denis Medvedev wrote: > > > >>> 03.04.2020 13:28, Vladimir D. Seleznev пишет: > > > >>>> On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote: > > > >>>>>> PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf. > > > >>>>>> дождитесь его, прежде чем отвечать :) > > > >>>>> 5) update_chrooted. > > > >>>>> Наши замечательные ALT особенности :) > > > >>>>> Множество сервисов и отдельных программ(например ping) запускаются в chroot. > > > >>>>> В этот chroot должны быть скопированы и библиотеки, и настройки для > > > >>>>> этих библиотек, в частности resolv.conf. > > > >>>>> Т.е. ping не использует /etc/resolv.conf, а использует > > > >>>>> /var/resolv/etc/resolv.conf. > > > >>>>> Нам очень важно держать в chroot'ах resolv.conf синхронным c с > > > >>>>> основной системой. > > > >>>>> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать > > > >>>>> update_chrooted. > > > >>>> Может быть стоит написать некий update_chrootd, который следил бы за > > > >>>> всеми файлами, которые должны быть в чруте, и при их обновлении обновлял > > > >>>> бы чрут? > > > >>>> > > > >>> Делать inotify на список файлов относящимся к chroot и по событию > > > >>> изменения делать update_chroot? > > > >> Да. > > > > Нет, при текущей архитектуре update_chrooted предложенное мной решение > > > > невозможно. Для него надо с нуля придумывать всё решение. И если для > > > > postfix'а нельзя декларативно указать все его конфиги, то боюсь в общем > > > > случае это будет невозможно. > > > > > > > Хотелось бы прописать политику о том, что любой пакет, желающий > > > использовать chroot, должен иметь возможность работать БЕЗ chroot. > > > > Нет, хотелось бы обратного, чтобы всякий желающий оторвать чрут > > получал бы по рукам. > > А чем поясняется такое стойкое желание использовать chroot? Потому что логика работы программы уже полагается на чрут как один из инструментов. Точно так же как логика работы программы полагается на переключение в непривилегированных пользователей и другие инструменты. > Выход из него абсолютно тривиален при наличии прав рута Никто в здравом уме не использует чрут таким образом. > и сложнее при > отсутствии, но всё же осуществим через то же локальное поднятие > привилегий. Если есть уязвимости в ядре, их надо устранять, а не запускать всё от рута. > Если действительно важна изоляция сервисов с точки зрения > безопасности, почему бы не использовать LXC? Да, этот механизм тоже > не идеален, но он предоставляет намного больше защиты, чем простой > chroot. Под LXC обычно понимают контейнеризацию, а не unshare, это другое. -- ldv ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 13:10 ` Dmitry V. Levin @ 2020-04-03 13:21 ` Denis Medvedev 2020-04-03 13:28 ` Dmitry V. Levin 2020-04-03 13:46 ` Vladimir D. Seleznev 0 siblings, 2 replies; 17+ messages in thread From: Denis Medvedev @ 2020-04-03 13:21 UTC (permalink / raw) To: ALT Linux Team development discussions, Dmitry V. Levin, Andrey Savchenko 03.04.2020 16:10, Dmitry V. Levin пишет: > On Fri, Apr 03, 2020 at 03:56:04PM +0300, Andrey Savchenko wrote: >> On Fri, 3 Apr 2020 15:20:23 +0300 Dmitry V. Levin wrote: >>> On Fri, Apr 03, 2020 at 01:51:51PM +0300, Denis Medvedev wrote: >>>> 03.04.2020 13:50, Vladimir D. Seleznev пишет: >>>>> On Fri, Apr 03, 2020 at 01:37:41PM +0300, Vladimir D. Seleznev wrote: >>>>>> On Fri, Apr 03, 2020 at 01:32:38PM +0300, Denis Medvedev wrote: >>>>>>> 03.04.2020 13:28, Vladimir D. Seleznev пишет: >>>>>>>> On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote: >>>>>>>>>> PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf. >>>>>>>>>> дождитесь его, прежде чем отвечать :) >>>>>>>>> 5) update_chrooted. >>>>>>>>> Наши замечательные ALT особенности :) >>>>>>>>> Множество сервисов и отдельных программ(например ping) запускаются в chroot. >>>>>>>>> В этот chroot должны быть скопированы и библиотеки, и настройки для >>>>>>>>> этих библиотек, в частности resolv.conf. >>>>>>>>> Т.е. ping не использует /etc/resolv.conf, а использует >>>>>>>>> /var/resolv/etc/resolv.conf. >>>>>>>>> Нам очень важно держать в chroot'ах resolv.conf синхронным c с >>>>>>>>> основной системой. >>>>>>>>> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать >>>>>>>>> update_chrooted. >>>>>>>> Может быть стоит написать некий update_chrootd, который следил бы за >>>>>>>> всеми файлами, которые должны быть в чруте, и при их обновлении обновлял >>>>>>>> бы чрут? rpm -qf * >>>>>>>> файл /var/lib/ldap/usr/lib/libcom_err.so.2 не принадлежит ни одному из пакетов >>>>>>>> файл /var/lib/ldap/usr/lib/libdb-4.7.so не принадлежит ни одному из пакетов >>>>>>>> файл /var/lib/ldap/usr/lib/libgssapi_krb5.so.2 не принадлежит ни одному из пакетов >>>>>>>> файл /var/lib/ldap/usr/lib/libk5crypto.so.3 не принадлежит ни одному из пакетов >>>>>>>> файл /var/lib/ldap/usr/lib/libkeyutils.so.1 не принадлежит ни одному из пакетов >>>>>>>> файл /var/lib/ldap/usr/lib/libkrb5.so.3 не принадлежит ни одному из пакетов >>>>>>>> файл /var/lib/ldap/usr/lib/libkrb5support.so.0 не принадлежит ни одному из пакетов >>>>>>>> файл /var/lib/ldap/usr/lib/libm.so.6 не принадлежит ни одному из пакетов >>>>>>>> файл /var/lib/ldap/usr/lib/libodbc.so.2 не принадлежит ни одному из пакетов >>>>>>>> файл /var/lib/ldap/usr/lib/libpcre.so.3 не принадлежит ни одному из пакетов >>>>>>>> файл /var/lib/ldap/usr/lib/libperl-5.28.so не принадлежит ни одному из пакетов >>>>>>>> файл /var/lib/ldap/usr/lib/libselinux.so.1 не принадлежит ни одному из пакетов >>>>>>>> openldap-servers-2.4.48-alt3.x86_64 >>>>>>>> openldap-servers-2.4.48-alt3.x86_64 >>>>>>>> >>>>>>>> >>>>>>> Делать inotify на список файлов относящимся к chroot и по событию >>>>>>> изменения делать update_chroot? >>>>>> Да. >>>>> Нет, при текущей архитектуре update_chrooted предложенное мной решение >>>>> невозможно. Для него надо с нуля придумывать всё решение. И если для >>>>> postfix'а нельзя декларативно указать все его конфиги, то боюсь в общем >>>>> случае это будет невозможно. >>>>> >>>> Хотелось бы прописать политику о том, что любой пакет, желающий >>>> использовать chroot, должен иметь возможность работать БЕЗ chroot. Наличие чрута приводит к вот такой ситуации: rpm -qf * файл /var/lib/ldap/usr/lib/libcom_err.so.2 не принадлежит ни одному из пакетов файл /var/lib/ldap/usr/lib/libdb-4.7.so не принадлежит ни одному из пакетов файл /var/lib/ldap/usr/lib/libgssapi_krb5.so.2 не принадлежит ни одному из пакетов файл /var/lib/ldap/usr/lib/libk5crypto.so.3 не принадлежит ни одному из пакетов файл /var/lib/ldap/usr/lib/libkeyutils.so.1 не принадлежит ни одному из пакетов файл /var/lib/ldap/usr/lib/libkrb5.so.3 не принадлежит ни одному из пакетов файл /var/lib/ldap/usr/lib/libkrb5support.so.0 не принадлежит ни одному из пакетов файл /var/lib/ldap/usr/lib/libm.so.6 не принадлежит ни одному из пакетов файл /var/lib/ldap/usr/lib/libodbc.so.2 не принадлежит ни одному из пакетов файл /var/lib/ldap/usr/lib/libpcre.so.3 не принадлежит ни одному из пакетов файл /var/lib/ldap/usr/lib/libperl-5.28.so не принадлежит ни одному из пакетов файл /var/lib/ldap/usr/lib/libselinux.so.1 не принадлежит ни одному из пакетов openldap-servers-2.4.48-alt3.x86_64 openldap-servers-2.4.48-alt3.x86_64 И как мне правильно проверять целостность таких файлов относительно базы rpm? Это файлы с исполняемым кодом. ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 13:21 ` Denis Medvedev @ 2020-04-03 13:28 ` Dmitry V. Levin 2020-04-03 13:50 ` Alexey V. Vissarionov 2020-04-03 13:46 ` Vladimir D. Seleznev 1 sibling, 1 reply; 17+ messages in thread From: Dmitry V. Levin @ 2020-04-03 13:28 UTC (permalink / raw) To: ALT Linux Team development discussions On Fri, Apr 03, 2020 at 04:21:52PM +0300, Denis Medvedev wrote: > 03.04.2020 16:10, Dmitry V. Levin пишет: > > On Fri, Apr 03, 2020 at 03:56:04PM +0300, Andrey Savchenko wrote: > >> On Fri, 3 Apr 2020 15:20:23 +0300 Dmitry V. Levin wrote: > >>> On Fri, Apr 03, 2020 at 01:51:51PM +0300, Denis Medvedev wrote: > >>>> 03.04.2020 13:50, Vladimir D. Seleznev пишет: > >>>>> On Fri, Apr 03, 2020 at 01:37:41PM +0300, Vladimir D. Seleznev wrote: > >>>>>> On Fri, Apr 03, 2020 at 01:32:38PM +0300, Denis Medvedev wrote: > >>>>>>> 03.04.2020 13:28, Vladimir D. Seleznev пишет: > >>>>>>>> On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote: > >>>>>>>>>> PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf. > >>>>>>>>>> дождитесь его, прежде чем отвечать :) > >>>>>>>>> 5) update_chrooted. > >>>>>>>>> Наши замечательные ALT особенности :) > >>>>>>>>> Множество сервисов и отдельных программ(например ping) запускаются в chroot. > >>>>>>>>> В этот chroot должны быть скопированы и библиотеки, и настройки для > >>>>>>>>> этих библиотек, в частности resolv.conf. > >>>>>>>>> Т.е. ping не использует /etc/resolv.conf, а использует > >>>>>>>>> /var/resolv/etc/resolv.conf. > >>>>>>>>> Нам очень важно держать в chroot'ах resolv.conf синхронным c с > >>>>>>>>> основной системой. > >>>>>>>>> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать > >>>>>>>>> update_chrooted. > >>>>>>>> Может быть стоит написать некий update_chrootd, который следил бы за > >>>>>>>> всеми файлами, которые должны быть в чруте, и при их обновлении обновлял > >>>>>>>> бы чрут? rpm -qf * > >>>>>>>> файл /var/lib/ldap/usr/lib/libcom_err.so.2 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libdb-4.7.so не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libgssapi_krb5.so.2 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libk5crypto.so.3 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libkeyutils.so.1 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libkrb5.so.3 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libkrb5support.so.0 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libm.so.6 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libodbc.so.2 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libpcre.so.3 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libperl-5.28.so не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libselinux.so.1 не принадлежит ни одному из пакетов > >>>>>>>> openldap-servers-2.4.48-alt3.x86_64 > >>>>>>>> openldap-servers-2.4.48-alt3.x86_64 > >>>>>>>> > >>>>>>>> > >>>>>>> Делать inotify на список файлов относящимся к chroot и по событию > >>>>>>> изменения делать update_chroot? > >>>>>> Да. > >>>>> Нет, при текущей архитектуре update_chrooted предложенное мной решение > >>>>> невозможно. Для него надо с нуля придумывать всё решение. И если для > >>>>> postfix'а нельзя декларативно указать все его конфиги, то боюсь в общем > >>>>> случае это будет невозможно. > >>>>> > >>>> Хотелось бы прописать политику о том, что любой пакет, желающий > >>>> использовать chroot, должен иметь возможность работать БЕЗ chroot. > > Наличие чрута приводит к вот такой ситуации: > > rpm -qf * > файл /var/lib/ldap/usr/lib/libcom_err.so.2 не принадлежит ни одному из > пакетов > файл /var/lib/ldap/usr/lib/libdb-4.7.so не принадлежит ни одному из пакетов > файл /var/lib/ldap/usr/lib/libgssapi_krb5.so.2 не принадлежит ни одному > из пакетов > файл /var/lib/ldap/usr/lib/libk5crypto.so.3 не принадлежит ни одному из > пакетов > файл /var/lib/ldap/usr/lib/libkeyutils.so.1 не принадлежит ни одному из > пакетов > файл /var/lib/ldap/usr/lib/libkrb5.so.3 не принадлежит ни одному из пакетов > файл /var/lib/ldap/usr/lib/libkrb5support.so.0 не принадлежит ни одному > из пакетов > файл /var/lib/ldap/usr/lib/libm.so.6 не принадлежит ни одному из пакетов > файл /var/lib/ldap/usr/lib/libodbc.so.2 не принадлежит ни одному из пакетов > файл /var/lib/ldap/usr/lib/libpcre.so.3 не принадлежит ни одному из пакетов > файл /var/lib/ldap/usr/lib/libperl-5.28.so не принадлежит ни одному из > пакетов > файл /var/lib/ldap/usr/lib/libselinux.so.1 не принадлежит ни одному из > пакетов > openldap-servers-2.4.48-alt3.x86_64 > openldap-servers-2.4.48-alt3.x86_64 > > И как мне правильно проверять целостность таких файлов относительно базы > rpm? Это файлы с исполняемым кодом. Вы как будто предлагаете лечить насморк методом декапитации? -- ldv ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 13:28 ` Dmitry V. Levin @ 2020-04-03 13:50 ` Alexey V. Vissarionov 0 siblings, 0 replies; 17+ messages in thread From: Alexey V. Vissarionov @ 2020-04-03 13:50 UTC (permalink / raw) To: ALT Linux Team development discussions On 2020-04-03 16:28:18 +0300, Dmitry V. Levin wrote: >> Наличие чрута приводит к вот такой ситуации: >> rpm -qf * >> файл /var/lib/ldap/usr/lib/libcom_err.so.2 не принадлежит ни >> одному из пакетов >> [...] >> И как мне правильно проверять целостность таких файлов >> относительно базы rpm? Это файлы с исполняемым кодом. > Вы как будто предлагаете лечить насморк методом декапитации? Ну вообще-то это старый и надежный способ борьбы с эпидемиями... Подумай, как это выглядит с кочки зрения админа: в системе хрен пойми откуда (в обход пакетной системы) появляются исполняемые файлы. Уже этого факта достаточно для того, чтобы разработчиков не то что декапитации, а массовым расстрелам подвергнуть. И нас в этой ситуации спасает ровно одно: админы - люди ленивые. Вот если создавать каталог для chroot() в tmpfs непосредственно при запуске процесса, а после остановки нещадно его уничтожать (в том числе при перезапуске) - может быть, и не расстреляют, а просто морду набьют. Потому что все равно фу. Думаю, каталоги наподобие /run/chroot/${daemon_name} для этого вполне подойдут. -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 13:21 ` Denis Medvedev 2020-04-03 13:28 ` Dmitry V. Levin @ 2020-04-03 13:46 ` Vladimir D. Seleznev 2020-04-03 16:53 ` Andrey Savchenko 1 sibling, 1 reply; 17+ messages in thread From: Vladimir D. Seleznev @ 2020-04-03 13:46 UTC (permalink / raw) To: ALT Linux Team development discussions On Fri, Apr 03, 2020 at 04:21:52PM +0300, Denis Medvedev wrote: > 03.04.2020 16:10, Dmitry V. Levin пишет: > > On Fri, Apr 03, 2020 at 03:56:04PM +0300, Andrey Savchenko wrote: > >> On Fri, 3 Apr 2020 15:20:23 +0300 Dmitry V. Levin wrote: > >>> On Fri, Apr 03, 2020 at 01:51:51PM +0300, Denis Medvedev wrote: > >>>> 03.04.2020 13:50, Vladimir D. Seleznev пишет: > >>>>> On Fri, Apr 03, 2020 at 01:37:41PM +0300, Vladimir D. Seleznev wrote: > >>>>>> On Fri, Apr 03, 2020 at 01:32:38PM +0300, Denis Medvedev wrote: > >>>>>>> 03.04.2020 13:28, Vladimir D. Seleznev пишет: > >>>>>>>> On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote: > >>>>>>>>>> PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf. > >>>>>>>>>> дождитесь его, прежде чем отвечать :) > >>>>>>>>> 5) update_chrooted. > >>>>>>>>> Наши замечательные ALT особенности :) > >>>>>>>>> Множество сервисов и отдельных программ(например ping) запускаются в chroot. > >>>>>>>>> В этот chroot должны быть скопированы и библиотеки, и настройки для > >>>>>>>>> этих библиотек, в частности resolv.conf. > >>>>>>>>> Т.е. ping не использует /etc/resolv.conf, а использует > >>>>>>>>> /var/resolv/etc/resolv.conf. > >>>>>>>>> Нам очень важно держать в chroot'ах resolv.conf синхронным c с > >>>>>>>>> основной системой. > >>>>>>>>> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать > >>>>>>>>> update_chrooted. > >>>>>>>> Может быть стоит написать некий update_chrootd, который следил бы за > >>>>>>>> всеми файлами, которые должны быть в чруте, и при их обновлении обновлял > >>>>>>>> бы чрут? rpm -qf * > >>>>>>>> файл /var/lib/ldap/usr/lib/libcom_err.so.2 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libdb-4.7.so не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libgssapi_krb5.so.2 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libk5crypto.so.3 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libkeyutils.so.1 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libkrb5.so.3 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libkrb5support.so.0 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libm.so.6 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libodbc.so.2 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libpcre.so.3 не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libperl-5.28.so не принадлежит ни одному из пакетов > >>>>>>>> файл /var/lib/ldap/usr/lib/libselinux.so.1 не принадлежит ни одному из пакетов > >>>>>>>> openldap-servers-2.4.48-alt3.x86_64 > >>>>>>>> openldap-servers-2.4.48-alt3.x86_64 > >>>>>>>> > >>>>>>>> > >>>>>>> Делать inotify на список файлов относящимся к chroot и по событию > >>>>>>> изменения делать update_chroot? > >>>>>> Да. > >>>>> Нет, при текущей архитектуре update_chrooted предложенное мной решение > >>>>> невозможно. Для него надо с нуля придумывать всё решение. И если для > >>>>> postfix'а нельзя декларативно указать все его конфиги, то боюсь в общем > >>>>> случае это будет невозможно. > >>>>> > >>>> Хотелось бы прописать политику о том, что любой пакет, желающий > >>>> использовать chroot, должен иметь возможность работать БЕЗ chroot. > > Наличие чрута приводит к вот такой ситуации: > > rpm -qf * > файл /var/lib/ldap/usr/lib/libcom_err.so.2 не принадлежит ни одному из > пакетов > файл /var/lib/ldap/usr/lib/libdb-4.7.so не принадлежит ни одному из пакетов > файл /var/lib/ldap/usr/lib/libgssapi_krb5.so.2 не принадлежит ни одному > из пакетов > файл /var/lib/ldap/usr/lib/libk5crypto.so.3 не принадлежит ни одному из > пакетов > файл /var/lib/ldap/usr/lib/libkeyutils.so.1 не принадлежит ни одному из > пакетов > файл /var/lib/ldap/usr/lib/libkrb5.so.3 не принадлежит ни одному из пакетов > файл /var/lib/ldap/usr/lib/libkrb5support.so.0 не принадлежит ни одному > из пакетов > файл /var/lib/ldap/usr/lib/libm.so.6 не принадлежит ни одному из пакетов > файл /var/lib/ldap/usr/lib/libodbc.so.2 не принадлежит ни одному из пакетов > файл /var/lib/ldap/usr/lib/libpcre.so.3 не принадлежит ни одному из пакетов > файл /var/lib/ldap/usr/lib/libperl-5.28.so не принадлежит ни одному из > пакетов > файл /var/lib/ldap/usr/lib/libselinux.so.1 не принадлежит ни одному из > пакетов > openldap-servers-2.4.48-alt3.x86_64 > openldap-servers-2.4.48-alt3.x86_64 > > И как мне правильно проверять целостность таких файлов относительно базы > rpm? Это файлы с исполняемым кодом. Из-за отсутствия инструмента для такой проверки предлагается отказаться от security feature? Это странное решение. Правильнее было бы сделать такой инструмент. Из того, что сходу приходит на ум, можно в chroot dir создавать базу данных rpm и копировать туда записи пакетов из исходной базы при обновлении чрута по признаку принадлежности пакета по копируемым путям. Возвращаясь к вопросу демона отслеживания изменений файлов: ldv@: возможно ограничиться только остлеживанием файлов /etc/resolv.conf и /etc/hosts и в случае их изменений выполнять update_chrooted conf? -- WBR, Vladimir D. Seleznev ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 13:46 ` Vladimir D. Seleznev @ 2020-04-03 16:53 ` Andrey Savchenko 2020-04-03 18:09 ` Vladimir D. Seleznev 0 siblings, 1 reply; 17+ messages in thread From: Andrey Savchenko @ 2020-04-03 16:53 UTC (permalink / raw) To: ALT Linux Team development discussions [-- Attachment #1: Type: text/plain, Size: 8124 bytes --] On Fri, 3 Apr 2020 16:46:03 +0300 Vladimir D. Seleznev wrote: > On Fri, Apr 03, 2020 at 04:21:52PM +0300, Denis Medvedev wrote: > > 03.04.2020 16:10, Dmitry V. Levin пишет: > > > On Fri, Apr 03, 2020 at 03:56:04PM +0300, Andrey Savchenko wrote: > > >> On Fri, 3 Apr 2020 15:20:23 +0300 Dmitry V. Levin wrote: > > >>> On Fri, Apr 03, 2020 at 01:51:51PM +0300, Denis Medvedev wrote: > > >>>> 03.04.2020 13:50, Vladimir D. Seleznev пишет: > > >>>>> On Fri, Apr 03, 2020 at 01:37:41PM +0300, Vladimir D. Seleznev wrote: > > >>>>>> On Fri, Apr 03, 2020 at 01:32:38PM +0300, Denis Medvedev wrote: > > >>>>>>> 03.04.2020 13:28, Vladimir D. Seleznev пишет: > > >>>>>>>> On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote: > > >>>>>>>>>> PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf. > > >>>>>>>>>> дождитесь его, прежде чем отвечать :) > > >>>>>>>>> 5) update_chrooted. > > >>>>>>>>> Наши замечательные ALT особенности :) > > >>>>>>>>> Множество сервисов и отдельных программ(например ping) запускаются в chroot. > > >>>>>>>>> В этот chroot должны быть скопированы и библиотеки, и настройки для > > >>>>>>>>> этих библиотек, в частности resolv.conf. > > >>>>>>>>> Т.е. ping не использует /etc/resolv.conf, а использует > > >>>>>>>>> /var/resolv/etc/resolv.conf. > > >>>>>>>>> Нам очень важно держать в chroot'ах resolv.conf синхронным c с > > >>>>>>>>> основной системой. > > >>>>>>>>> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать > > >>>>>>>>> update_chrooted. > > >>>>>>>> Может быть стоит написать некий update_chrootd, который следил бы за > > >>>>>>>> всеми файлами, которые должны быть в чруте, и при их обновлении обновлял > > >>>>>>>> бы чрут? rpm -qf * > > >>>>>>>> файл /var/lib/ldap/usr/lib/libcom_err.so.2 не принадлежит ни одному из пакетов > > >>>>>>>> файл /var/lib/ldap/usr/lib/libdb-4.7.so не принадлежит ни одному из пакетов > > >>>>>>>> файл /var/lib/ldap/usr/lib/libgssapi_krb5.so.2 не принадлежит ни одному из пакетов > > >>>>>>>> файл /var/lib/ldap/usr/lib/libk5crypto.so.3 не принадлежит ни одному из пакетов > > >>>>>>>> файл /var/lib/ldap/usr/lib/libkeyutils.so.1 не принадлежит ни одному из пакетов > > >>>>>>>> файл /var/lib/ldap/usr/lib/libkrb5.so.3 не принадлежит ни одному из пакетов > > >>>>>>>> файл /var/lib/ldap/usr/lib/libkrb5support.so.0 не принадлежит ни одному из пакетов > > >>>>>>>> файл /var/lib/ldap/usr/lib/libm.so.6 не принадлежит ни одному из пакетов > > >>>>>>>> файл /var/lib/ldap/usr/lib/libodbc.so.2 не принадлежит ни одному из пакетов > > >>>>>>>> файл /var/lib/ldap/usr/lib/libpcre.so.3 не принадлежит ни одному из пакетов > > >>>>>>>> файл /var/lib/ldap/usr/lib/libperl-5.28.so не принадлежит ни одному из пакетов > > >>>>>>>> файл /var/lib/ldap/usr/lib/libselinux.so.1 не принадлежит ни одному из пакетов > > >>>>>>>> openldap-servers-2.4.48-alt3.x86_64 > > >>>>>>>> openldap-servers-2.4.48-alt3.x86_64 > > >>>>>>>> > > >>>>>>>> > > >>>>>>> Делать inotify на список файлов относящимся к chroot и по событию > > >>>>>>> изменения делать update_chroot? > > >>>>>> Да. > > >>>>> Нет, при текущей архитектуре update_chrooted предложенное мной решение > > >>>>> невозможно. Для него надо с нуля придумывать всё решение. И если для > > >>>>> postfix'а нельзя декларативно указать все его конфиги, то боюсь в общем > > >>>>> случае это будет невозможно. > > >>>>> > > >>>> Хотелось бы прописать политику о том, что любой пакет, желающий > > >>>> использовать chroot, должен иметь возможность работать БЕЗ chroot. > > > > Наличие чрута приводит к вот такой ситуации: > > > > rpm -qf * > > файл /var/lib/ldap/usr/lib/libcom_err.so.2 не принадлежит ни одному из > > пакетов > > файл /var/lib/ldap/usr/lib/libdb-4.7.so не принадлежит ни одному из пакетов > > файл /var/lib/ldap/usr/lib/libgssapi_krb5.so.2 не принадлежит ни одному > > из пакетов > > файл /var/lib/ldap/usr/lib/libk5crypto.so.3 не принадлежит ни одному из > > пакетов > > файл /var/lib/ldap/usr/lib/libkeyutils.so.1 не принадлежит ни одному из > > пакетов > > файл /var/lib/ldap/usr/lib/libkrb5.so.3 не принадлежит ни одному из пакетов > > файл /var/lib/ldap/usr/lib/libkrb5support.so.0 не принадлежит ни одному > > из пакетов > > файл /var/lib/ldap/usr/lib/libm.so.6 не принадлежит ни одному из пакетов > > файл /var/lib/ldap/usr/lib/libodbc.so.2 не принадлежит ни одному из пакетов > > файл /var/lib/ldap/usr/lib/libpcre.so.3 не принадлежит ни одному из пакетов > > файл /var/lib/ldap/usr/lib/libperl-5.28.so не принадлежит ни одному из > > пакетов > > файл /var/lib/ldap/usr/lib/libselinux.so.1 не принадлежит ни одному из > > пакетов > > openldap-servers-2.4.48-alt3.x86_64 > > openldap-servers-2.4.48-alt3.x86_64 > > > > И как мне правильно проверять целостность таких файлов относительно базы > > rpm? Это файлы с исполняемым кодом. > > Из-за отсутствия инструмента для такой проверки предлагается отказаться > от security feature? Это странное решение. Chroot не является security feature: It is not hard to consider the chroot() system call a security feature. In theory, it sounds great, but if you really take the time to understand what is going on, it is not really a security feature, it is closer to what we would call a hardening feature. https://access.redhat.com/blogs/766093/posts/1975883 У этой технологии, безусловно, есть свои применения, но если вы строите системы безопасности на основе chroot, то это всего лишь иллюзия безопасности. > Правильнее было бы сделать > такой инструмент. Из того, что сходу приходит на ум, можно в chroot dir > создавать базу данных rpm и копировать туда записи пакетов из исходной > базы при обновлении чрута по признаку принадлежности пакета по > копируемым путям. Правильным было бы использовать инструменты по их назначению. Best regards, Andrew Savchenko [-- Attachment #2: Type: application/pgp-signature, Size: 833 bytes --] ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 16:53 ` Andrey Savchenko @ 2020-04-03 18:09 ` Vladimir D. Seleznev 0 siblings, 0 replies; 17+ messages in thread From: Vladimir D. Seleznev @ 2020-04-03 18:09 UTC (permalink / raw) To: ALT Linux Team development discussions On Fri, Apr 03, 2020 at 07:53:20PM +0300, Andrey Savchenko wrote: > On Fri, 3 Apr 2020 16:46:03 +0300 Vladimir D. Seleznev wrote: > > On Fri, Apr 03, 2020 at 04:21:52PM +0300, Denis Medvedev wrote: > > > 03.04.2020 16:10, Dmitry V. Levin пишет: > > > > On Fri, Apr 03, 2020 at 03:56:04PM +0300, Andrey Savchenko wrote: > > > >> On Fri, 3 Apr 2020 15:20:23 +0300 Dmitry V. Levin wrote: > > > >>> On Fri, Apr 03, 2020 at 01:51:51PM +0300, Denis Medvedev wrote: > > > >>>> 03.04.2020 13:50, Vladimir D. Seleznev пишет: > > > >>>>> On Fri, Apr 03, 2020 at 01:37:41PM +0300, Vladimir D. Seleznev wrote: > > > >>>>>> On Fri, Apr 03, 2020 at 01:32:38PM +0300, Denis Medvedev wrote: > > > >>>>>>> 03.04.2020 13:28, Vladimir D. Seleznev пишет: > > > >>>>>>>> On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote: > > > >>>>>>>>>> PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf. > > > >>>>>>>>>> дождитесь его, прежде чем отвечать :) > > > >>>>>>>>> 5) update_chrooted. > > > >>>>>>>>> Наши замечательные ALT особенности :) > > > >>>>>>>>> Множество сервисов и отдельных программ(например ping) запускаются в chroot. > > > >>>>>>>>> В этот chroot должны быть скопированы и библиотеки, и настройки для > > > >>>>>>>>> этих библиотек, в частности resolv.conf. > > > >>>>>>>>> Т.е. ping не использует /etc/resolv.conf, а использует > > > >>>>>>>>> /var/resolv/etc/resolv.conf. > > > >>>>>>>>> Нам очень важно держать в chroot'ах resolv.conf синхронным c с > > > >>>>>>>>> основной системой. > > > >>>>>>>>> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать > > > >>>>>>>>> update_chrooted. > > > >>>>>>>> Может быть стоит написать некий update_chrootd, который следил бы за > > > >>>>>>>> всеми файлами, которые должны быть в чруте, и при их обновлении обновлял > > > >>>>>>>> бы чрут? rpm -qf * > > > >>>>>>>> файл /var/lib/ldap/usr/lib/libcom_err.so.2 не принадлежит ни одному из пакетов > > > >>>>>>>> файл /var/lib/ldap/usr/lib/libdb-4.7.so не принадлежит ни одному из пакетов > > > >>>>>>>> файл /var/lib/ldap/usr/lib/libgssapi_krb5.so.2 не принадлежит ни одному из пакетов > > > >>>>>>>> файл /var/lib/ldap/usr/lib/libk5crypto.so.3 не принадлежит ни одному из пакетов > > > >>>>>>>> файл /var/lib/ldap/usr/lib/libkeyutils.so.1 не принадлежит ни одному из пакетов > > > >>>>>>>> файл /var/lib/ldap/usr/lib/libkrb5.so.3 не принадлежит ни одному из пакетов > > > >>>>>>>> файл /var/lib/ldap/usr/lib/libkrb5support.so.0 не принадлежит ни одному из пакетов > > > >>>>>>>> файл /var/lib/ldap/usr/lib/libm.so.6 не принадлежит ни одному из пакетов > > > >>>>>>>> файл /var/lib/ldap/usr/lib/libodbc.so.2 не принадлежит ни одному из пакетов > > > >>>>>>>> файл /var/lib/ldap/usr/lib/libpcre.so.3 не принадлежит ни одному из пакетов > > > >>>>>>>> файл /var/lib/ldap/usr/lib/libperl-5.28.so не принадлежит ни одному из пакетов > > > >>>>>>>> файл /var/lib/ldap/usr/lib/libselinux.so.1 не принадлежит ни одному из пакетов > > > >>>>>>>> openldap-servers-2.4.48-alt3.x86_64 > > > >>>>>>>> openldap-servers-2.4.48-alt3.x86_64 > > > >>>>>>>> > > > >>>>>>>> > > > >>>>>>> Делать inotify на список файлов относящимся к chroot и по событию > > > >>>>>>> изменения делать update_chroot? > > > >>>>>> Да. > > > >>>>> Нет, при текущей архитектуре update_chrooted предложенное мной решение > > > >>>>> невозможно. Для него надо с нуля придумывать всё решение. И если для > > > >>>>> postfix'а нельзя декларативно указать все его конфиги, то боюсь в общем > > > >>>>> случае это будет невозможно. > > > >>>>> > > > >>>> Хотелось бы прописать политику о том, что любой пакет, желающий > > > >>>> использовать chroot, должен иметь возможность работать БЕЗ chroot. > > > > > > Наличие чрута приводит к вот такой ситуации: > > > > > > rpm -qf * > > > файл /var/lib/ldap/usr/lib/libcom_err.so.2 не принадлежит ни одному из > > > пакетов > > > файл /var/lib/ldap/usr/lib/libdb-4.7.so не принадлежит ни одному из пакетов > > > файл /var/lib/ldap/usr/lib/libgssapi_krb5.so.2 не принадлежит ни одному > > > из пакетов > > > файл /var/lib/ldap/usr/lib/libk5crypto.so.3 не принадлежит ни одному из > > > пакетов > > > файл /var/lib/ldap/usr/lib/libkeyutils.so.1 не принадлежит ни одному из > > > пакетов > > > файл /var/lib/ldap/usr/lib/libkrb5.so.3 не принадлежит ни одному из пакетов > > > файл /var/lib/ldap/usr/lib/libkrb5support.so.0 не принадлежит ни одному > > > из пакетов > > > файл /var/lib/ldap/usr/lib/libm.so.6 не принадлежит ни одному из пакетов > > > файл /var/lib/ldap/usr/lib/libodbc.so.2 не принадлежит ни одному из пакетов > > > файл /var/lib/ldap/usr/lib/libpcre.so.3 не принадлежит ни одному из пакетов > > > файл /var/lib/ldap/usr/lib/libperl-5.28.so не принадлежит ни одному из > > > пакетов > > > файл /var/lib/ldap/usr/lib/libselinux.so.1 не принадлежит ни одному из > > > пакетов > > > openldap-servers-2.4.48-alt3.x86_64 > > > openldap-servers-2.4.48-alt3.x86_64 > > > > > > И как мне правильно проверять целостность таких файлов относительно базы > > > rpm? Это файлы с исполняемым кодом. > > > > Из-за отсутствия инструмента для такой проверки предлагается отказаться > > от security feature? Это странное решение. > > Chroot не является security feature: > > It is not hard to consider the chroot() system call a security > feature. In theory, it sounds great, but if you really take the > time to understand what is going on, it is not really a security > feature, it is closer to what we would call a hardening feature. > > https://access.redhat.com/blogs/766093/posts/1975883 Хорошо, назовём её по своему классу: hardening feature. > У этой технологии, безусловно, есть свои применения, но если вы > строите системы безопасности на основе chroot, то это всего лишь > иллюзия безопасности. Я не знаю откуда возникло мнение, что кто-то строит системы безопасности на основе chroot. > > Правильнее было бы сделать > > такой инструмент. Из того, что сходу приходит на ум, можно в chroot dir > > создавать базу данных rpm и копировать туда записи пакетов из исходной > > базы при обновлении чрута по признаку принадлежности пакета по > > копируемым путям. > > Правильным было бы использовать инструменты по их назначению. Правильно иметь инструмент для решения задачи или создание такового при его отсутствии. -- WBR, Vladimir D. Seleznev ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [devel] [sisyphus] приключения resolv.conf в ALT 2020-04-03 10:28 ` [devel] [sisyphus] приключения resolv.conf в ALT Vladimir D. Seleznev 2020-04-03 10:32 ` Denis Medvedev @ 2020-04-03 10:32 ` Alexey V. Vissarionov 1 sibling, 0 replies; 17+ messages in thread From: Alexey V. Vissarionov @ 2020-04-03 10:32 UTC (permalink / raw) To: ALT Linux Team development discussions On 2020-04-03 13:28:27 +0300, Vladimir D. Seleznev wrote: >> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать >> update_chrooted. > Может быть стоит написать некий update_chrootd, который следил бы > за всеми файлами, которые должны быть в чруте, и при их обновлении > обновлял бы чрут? Не надо! Максимум - свой для каждого процесса, и чтобы его можно было не ставить. -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net ^ permalink raw reply [flat|nested] 17+ messages in thread
end of thread, other threads:[~2020-04-03 18:09 UTC | newest] Thread overview: 17+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2020-04-03 10:28 ` [devel] [sisyphus] приключения resolv.conf в ALT Vladimir D. Seleznev 2020-04-03 10:32 ` Denis Medvedev 2020-04-03 10:37 ` Vladimir D. Seleznev 2020-04-03 10:50 ` Vladimir D. Seleznev 2020-04-03 10:51 ` Denis Medvedev 2020-04-03 12:20 ` Dmitry V. Levin 2020-04-03 12:22 ` Denis Medvedev 2020-04-03 12:33 ` Alexey V. Vissarionov 2020-04-03 12:56 ` Andrey Savchenko 2020-04-03 13:10 ` Dmitry V. Levin 2020-04-03 13:21 ` Denis Medvedev 2020-04-03 13:28 ` Dmitry V. Levin 2020-04-03 13:50 ` Alexey V. Vissarionov 2020-04-03 13:46 ` Vladimir D. Seleznev 2020-04-03 16:53 ` Andrey Savchenko 2020-04-03 18:09 ` Vladimir D. Seleznev 2020-04-03 10:32 ` Alexey V. Vissarionov
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git