From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <nbr@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>,
 "Alexey V. Vissarionov" <gremlin@altlinux.org>
References: <CAEdvWkRV2QxgpLBhoTSNvNjBfiWbTAjRPPRYj-mhYeb4v+C4vA@mail.gmail.com>
 <20200318150818.GB32306@altlinux.org>
 <CAEdvWkS7ubybPRBC8Dh==Wb1H0gHygxScZrhkF9UahABfx1fGQ@mail.gmail.com>
 <8f7a58f6-bef3-6148-00a6-9aaf34a7a269@altlinux.org>
 <20200318183200.GB24209@altlinux.org>
From: Denis Medvedev <nbr@altlinux.org>
Message-ID: <870f0cdc-cbeb-5b3f-dcdb-0e535c9e385e@altlinux.org>
Date: Wed, 18 Mar 2020 21:35:19 +0300
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101
 Thunderbird/68.5.0
MIME-Version: 1.0
In-Reply-To: <20200318183200.GB24209@altlinux.org>
Content-Type: text/plain; charset=koi8-r; format=flowed
Content-Transfer-Encoding: 8bit
Content-Language: en-US
Subject: Re: [devel] rpm: symlink to dir
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 18 Mar 2020 18:35:19 -0000
Archived-At: <http://lore.altlinux.org/devel/870f0cdc-cbeb-5b3f-dcdb-0e535c9e385e@altlinux.org/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>



On 3/18/20 9:32 PM, Alexey V. Vissarionov wrote:
> On 2020-03-18 19:51:39 +0300, Denis Medvedev wrote:
>   >>>> Если сервис запускается в chroot, то правильно скопировать
>   >>>> нужные файлы ему в chroot, а не делать такие хитрые симлинки.
>   >>> Почему это?
>   >> - взлом сервиса в chroot может привести к порче или потере
>   >> конфигурационного файла. Если оригинал будет в /etc, то при
>   >> перезапуске сервиса мы просто восстанавливаем конфиг из
>   >> оригинала. А если сервис умеет сначала читать конфиг а потом
>   >> чрутиться, то и конфиг в chroot не нужен(имея симлинк мы
>   >> связаны по рукам и ничего сделать не можем).
>   > Ух а это аргумент и против хардлинкинга в chroot-ах вообще!
>   > Может уберем?
>
> Очень боюсь сболтнуть Страшную Админскую Тайну, но все же: /var
> можно разместить на отдельной файловой системе - заодно ее можно
> будет монтировать с noexec,nodev,noatime
>
> А держать в /var что-то важное - то самое кроилово, которое рано
> или поздно приводит к попадалову. Общее правило: /var не подлежит
> регулярному резервному копированию.
>
И поэтому тоже - я бы хотел иметь опцию работать вообще без chrootеd 
iservices.

Поддержка их довольно сложна, модель безопасности они запутывают и усложняют

администрирование, вводя еще одно место где могут разъехаться данные.