From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: To: ALT Linux Team development discussions , "Alexey V. Vissarionov" References: <20200318150818.GB32306@altlinux.org> <8f7a58f6-bef3-6148-00a6-9aaf34a7a269@altlinux.org> <20200318183200.GB24209@altlinux.org> From: Denis Medvedev Message-ID: <870f0cdc-cbeb-5b3f-dcdb-0e535c9e385e@altlinux.org> Date: Wed, 18 Mar 2020 21:35:19 +0300 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Thunderbird/68.5.0 MIME-Version: 1.0 In-Reply-To: <20200318183200.GB24209@altlinux.org> Content-Type: text/plain; charset=koi8-r; format=flowed Content-Transfer-Encoding: 8bit Content-Language: en-US Subject: Re: [devel] rpm: symlink to dir X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 18 Mar 2020 18:35:19 -0000 Archived-At: List-Archive: List-Post: On 3/18/20 9:32 PM, Alexey V. Vissarionov wrote: > On 2020-03-18 19:51:39 +0300, Denis Medvedev wrote: > >>>> Если сервис запускается в chroot, то правильно скопировать > >>>> нужные файлы ему в chroot, а не делать такие хитрые симлинки. > >>> Почему это? > >> - взлом сервиса в chroot может привести к порче или потере > >> конфигурационного файла. Если оригинал будет в /etc, то при > >> перезапуске сервиса мы просто восстанавливаем конфиг из > >> оригинала. А если сервис умеет сначала читать конфиг а потом > >> чрутиться, то и конфиг в chroot не нужен(имея симлинк мы > >> связаны по рукам и ничего сделать не можем). > > Ух а это аргумент и против хардлинкинга в chroot-ах вообще! > > Может уберем? > > Очень боюсь сболтнуть Страшную Админскую Тайну, но все же: /var > можно разместить на отдельной файловой системе - заодно ее можно > будет монтировать с noexec,nodev,noatime > > А держать в /var что-то важное - то самое кроилово, которое рано > или поздно приводит к попадалову. Общее правило: /var не подлежит > регулярному резервному копированию. > И поэтому тоже - я бы хотел иметь опцию работать вообще без chrootеd iservices. Поддержка их довольно сложна, модель безопасности они запутывают и усложняют администрирование, вводя еще одно место где могут разъехаться данные.