From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <54B96F5F.7080603@altlinux.com> Date: Fri, 16 Jan 2015 23:06:55 +0300 From: Anton Farygin User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Thunderbird/31.3.0 MIME-Version: 1.0 To: devel@lists.altlinux.org References: <54A2AE77.9060205@altlinux.ru> <20150101204150.GA31879@altlinux.org> <54B3BE58.6050208@altlinux.com> <20150112135532.GA17551@altlinux.org> <20150112141557.GA17644@altlinux.org> <54B41C86.6040506@altlinux.com> <20150112193631.GA19013@altlinux.org> <54B507A1.4080405@altlinux.com> <20150116145413.GB6306@altlinux.org> <54B9618D.9090008@altlinux.com> <20150116195437.GB7473@altlinux.org> In-Reply-To: <20150116195437.GB7473@altlinux.org> Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [devel] =?utf-8?b?0JrQsNC6INC/0YDQvtC50YLQuCDRgdCx0L7RgNC60YMg?= =?utf-8?b?0LXRgdC70Lgg0YLRgNC10LHRg9C10YLRgdGPIC9kZXYvc2htID8=?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 16 Jan 2015 20:06:56 -0000 Archived-At: List-Archive: List-Post: On 16.01.2015 22:54, Dmitry V. Levin wrote: > On Fri, Jan 16, 2015 at 10:07:57PM +0300, Anton Farygin wrote: >> On 16.01.2015 17:54, Dmitry V. Levin wrote: >>> On Tue, Jan 13, 2015 at 02:55:13PM +0300, Anton Farygin wrote: >>>> On 12.01.2015 22:36, Dmitry V. Levin wrote: >>> [...] >>>>> Там возникнет конфликт прав доступа к >>>>> chroot/dev/shm, который еще надо >>>>> придумать, как разрешить: >>>>> - если chroot/dev/shm уже на tmpfs, то >>>>> псевдопользователь #2 должен иметь >>>>> доступ к нему на запись; >>>> >>>> А чем тебя не устраивает 777 на chroot/dev/shm ? >>> >>> Там сейчас 1777, и это устраивало всех, >>> кроме процедуры монтирования. >>> >>>>> - если chroot/dev/shm должен быть смонтирован, >>>>> то на права доступа к нему >>>>> налагаются сильные ограничения. >>> >>> Я почти убедился в том, что в режиме mount >>> namespace isolation права >>> доступа 1777 новых угроз не создают. >>> >>> Интересно, сколько nr_blocks и nr_inodes >>> необходимо давать для /dev/shm >>> в чруте по умолчанию? >> >> Это не имеет никакого значения > > Речь идет об умолчаниях, которые будут зашиты в hasher-priv/mount.c Я понял. Дима, на твоё усмотрение. Там много не надо. На работающей системе больше 10 файлов в /dev/shm/ не видел. Объём. Да кто ж его знает. Ну сделай мегабайт 20, хватит за глаза. Правда я б честно не стал бы вообще ограничения по объёму вводить. > >> - сейчас >> ты даёшь на сборочнице явно больше, чем >> любое ограничение. > > Сборочница тут вообще не при чем: все сборочные узлы бездисковые, > там все на tmpfs, и /dev/shm там монтировать незачем. Да, но и ограничений нет. точнее ограничения есть для потока. > >> Кстати, что будет на сборочнице, если >> некий пакет случайно создаст очень много >> мусора в /dev/shm в сборочном чруте ? > > Сборочнице все равно, где пакет размещает свой мусор. > У каждого сборочного потока действует свой memory.limit_in_bytes. А, точно. там общий лимит на память. > >> Это же можно и сейчас проверить ? > > Да проверяли уже. > http://lists.altlinux.org/pipermail/devel/2014-September/199034.html > http://lists.altlinux.org/pipermail/devel/2014-September/199054.html