From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <rider@altlinux.com>
Message-ID: <54B9618D.9090008@altlinux.com>
Date: Fri, 16 Jan 2015 22:07:57 +0300
From: Anton Farygin <rider@altlinux.com>
User-Agent: Mozilla/5.0 (X11; Linux x86_64;
	rv:31.0) Gecko/20100101 Thunderbird/31.3.0
MIME-Version: 1.0
To: devel@lists.altlinux.org
References: <54A165FA.2010604@altlinux.ru>
	<54A2AE77.9060205@altlinux.ru>	<20150101204150.GA31879@altlinux.org>	<54B3BE58.6050208@altlinux.com>	<20150112135532.GA17551@altlinux.org>	<20150112141557.GA17644@altlinux.org>	<54B41C86.6040506@altlinux.com>	<20150112193631.GA19013@altlinux.org>	<54B507A1.4080405@altlinux.com>
	<20150116145413.GB6306@altlinux.org>
In-Reply-To: <20150116145413.GB6306@altlinux.org>
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [devel] =?utf-8?b?0JrQsNC6INC/0YDQvtC50YLQuCDRgdCx0L7RgNC60YMg?=
 =?utf-8?b?0LXRgdC70Lgg0YLRgNC10LHRg9C10YLRgdGPIC9kZXYvc2htID8=?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 16 Jan 2015 19:07:58 -0000
Archived-At: <http://lore.altlinux.org/devel/54B9618D.9090008@altlinux.com/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

On 16.01.2015 17:54, Dmitry V. Levin wrote:
> On Tue, Jan 13, 2015 at 02:55:13PM +0300, Anton Farygin wrote:
>> On 12.01.2015 22:36, Dmitry V. Levin wrote:
> [...]
>>> Там возникнет конфликт прав доступа к
>>> chroot/dev/shm, который еще надо
>>> придумать, как разрешить:
>>> - если chroot/dev/shm уже на tmpfs, то
>>> псевдопользователь #2 должен иметь
>>> доступ к нему на запись;
>>
>> А чем тебя не устраивает 777 на chroot/dev/shm ?
>
> Там сейчас 1777, и это устраивало всех, кроме процедуры монтирования.
>
>>> - если chroot/dev/shm должен быть смонтирован,
>>> то на права доступа к нему
>>> налагаются сильные ограничения.
>
> Я почти убедился в том, что в режиме mount namespace isolation права
> доступа 1777 новых угроз не создают.
>
> Интересно, сколько nr_blocks и nr_inodes необходимо давать для /dev/shm
> в чруте по умолчанию?

Это не имеет никакого значения - сейчас ты даёшь на сборочнице явно 
больше, чем любое ограничение.

Кстати, что будет на сборочнице, если некий пакет случайно создаст очень 
много мусора в /dev/shm в сборочном чруте ?


Это же можно и сейчас проверить ?