From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 18 Mar 2020 20:19:35 +0300 (MSK) From: Ivan Zakharyaschev To: ALT Linux Team development discussions In-Reply-To: <8f7a58f6-bef3-6148-00a6-9aaf34a7a269@altlinux.org> Message-ID: References: <20200318150818.GB32306@altlinux.org> <8f7a58f6-bef3-6148-00a6-9aaf34a7a269@altlinux.org> User-Agent: Alpine 2.20 (LFD 67 2015-01-07) MIME-Version: 1.0 Content-Type: multipart/mixed; BOUNDARY="1807885841-1348156220-1584551975=:23098" Cc: Alexey Shabalin Subject: Re: [devel] rpm: symlink to dir X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 18 Mar 2020 17:19:36 -0000 Archived-At: List-Archive: List-Post: This message is in MIME format. The first part should be readable text, while the remaining parts are likely unreadable without MIME-aware tools. --1807885841-1348156220-1584551975=:23098 Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8BIT On Wed, 18 Mar 2020, Denis Medvedev wrote: > On 3/18/20 7:46 PM, Alexey Shabalin wrote: > > ср, 18 мар. 2020 г. в 18:08, Dmitry V. Levin : > > > On Wed, Mar 18, 2020 at 04:05:02PM +0300, Alexey Shabalin wrote: > > > [...] > > > > Если сервис запускается в chroot, то правильно скопировать нужные > > > > файлы ему в chroot, а не делать такие хитрые симлинки. > > > Почему это? > > вопрос был не про это, но попробую описать минусы: > > - для кофигов /etc, и можно помечать как %config(noreplace) > > - в /var %config быть не должно - ваша же сборочница на это ругается > > - etckeeper не видит конфигов в /var > > - взлом сервиса в chroot может привести к порче или потере > > конфигурационного файла. Если оригинал будет в /etc, то при > > перезапуске сервиса мы просто восстанавливаем конфиг из оригинала. А > > если сервис умеет сначала читать конфиг а потом чрутиться, то и конфиг > > в chroot не нужен(имея симлинк мы связаны по рукам и ничего сделать не > > можем). > > Ух а это аргумент и против хардлинкинга в chroot-ах вообще! Но если он стал root-ом в chroot-е, то он и так может легко выбраться, разве нет? Или не легко? Поэтому с этой точки зрения нет никакой разницы (если файлы принадлежат root-у), hardlink-и это или файлы которые кто-то читает по симлинкам снаружи. (Но подчёркиваю: при условии, если они принадлежат root-у или другому пользователю, от имени которого никакие сервисы не работают.) -- Best regards, Ivan --1807885841-1348156220-1584551975=:23098--