On Fri, 3 Apr 2020 15:20:23 +0300 Dmitry V. Levin wrote:
> On Fri, Apr 03, 2020 at 01:51:51PM +0300, Denis Medvedev wrote:
> > 03.04.2020 13:50, Vladimir D. Seleznev пишет:
> > > On Fri, Apr 03, 2020 at 01:37:41PM +0300, Vladimir D. Seleznev wrote:
> > >> On Fri, Apr 03, 2020 at 01:32:38PM +0300, Denis Medvedev wrote:
> > >>> 03.04.2020 13:28, Vladimir D. Seleznev пишет:
> > >>>> On Tue, Mar 31, 2020 at 10:05:17PM +0300, Alexey Shabalin wrote:
> > >>>>>> PS: следующим письмом попробую подробно описать наши кувыркания с resolv.conf.
> > >>>>>> дождитесь его, прежде чем отвечать :)
> > >>>>> 5) update_chrooted.
> > >>>>> Наши замечательные ALT особенности :)
> > >>>>> Множество сервисов и отдельных программ(например ping) запускаются в chroot.
> > >>>>> В этот chroot должны быть скопированы и библиотеки, и настройки для
> > >>>>> этих библиотек, в частности resolv.conf.
> > >>>>> Т.е. ping не использует /etc/resolv.conf, а использует
> > >>>>> /var/resolv/etc/resolv.conf.
> > >>>>> Нам очень важно держать в chroot'ах resolv.conf синхронным c с
> > >>>>> основной системой.
> > >>>>> Вроде все утилиты, обновляющие /etc/resolv.conf обучены вызывать
> > >>>>> update_chrooted.
> > >>>> Может быть стоит написать некий update_chrootd, который следил бы за
> > >>>> всеми файлами, которые должны быть в чруте, и при их обновлении обновлял
> > >>>> бы чрут?
> > >>>>
> > >>> Делать inotify на список файлов относящимся к chroot и по событию
> > >>> изменения делать update_chroot?
> > >> Да.
> > > Нет, при текущей архитектуре update_chrooted предложенное мной решение
> > > невозможно. Для него надо с нуля придумывать всё решение. И если для
> > > postfix'а нельзя декларативно указать все его конфиги, то боюсь в общем
> > > случае это будет невозможно.
> > >
> > Хотелось бы прописать политику о том, что любой пакет, желающий 
> > использовать chroot, должен иметь возможность работать БЕЗ chroot.
> 
> Нет, хотелось бы обратного, чтобы всякий желающий оторвать чрут
> получал бы по рукам.

А чем поясняется такое стойкое желание использовать chroot? Выход
из него абсолютно тривиален при наличии прав рута и сложнее при
отсутствии, но всё же осуществим через то же локальное поднятие
привилегий.

Если действительно важна изоляция сервисов с точки зрения
безопасности, почему бы не использовать LXC? Да, этот механизм тоже
не идеален, но он предоставляет намного больше защиты, чем простой
chroot.

Best regards,
Andrew Savchenko