On Wed, 18 Mar 2020, Denis Medvedev wrote:

> On 3/18/20 7:46 PM, Alexey Shabalin wrote:
> > ср, 18 мар. 2020 г. в 18:08, Dmitry V. Levin <ldv@altlinux.org>:
> > > On Wed, Mar 18, 2020 at 04:05:02PM +0300, Alexey Shabalin wrote:
> > > [...]
> > > > Если сервис запускается в chroot, то правильно скопировать нужные
> > > > файлы ему в chroot, а не делать такие хитрые симлинки.
> > > Почему это?
> > вопрос был не про это, но попробую описать минусы:
> > - для кофигов /etc, и можно помечать как %config(noreplace)
> > - в /var %config быть не должно - ваша же сборочница на это ругается
> > - etckeeper не видит конфигов в /var
> > - взлом сервиса в chroot может привести к порче или потере
> > конфигурационного файла. Если оригинал будет в /etc, то при
> > перезапуске сервиса мы просто восстанавливаем конфиг из оригинала. А
> > если сервис умеет сначала читать конфиг а потом чрутиться, то и конфиг
> > в chroot не нужен(имея симлинк мы связаны по рукам и ничего сделать не
> > можем).
> 
> Ух а это аргумент и против хардлинкинга в chroot-ах вообще!

Но если он стал root-ом в chroot-е, то он и так может легко выбраться, 
разве нет?

Или не легко?

Поэтому с этой точки зрения нет никакой разницы (если файлы принадлежат 
root-у), hardlink-и это или файлы которые кто-то читает по симлинкам 
снаружи. (Но подчёркиваю: при условии, если они принадлежат root-у или 
другому пользователю, от имени которого никакие сервисы не работают.)

-- 
Best regards,
Ivan