[sisyphus] Последнее обновление.

[sisyphus] Последнее обновление.

[Aleksandr Blokhin]

Приветствую!
Со вчерашним обновлением по dist-upgrade нарвался на неприятные сюрпризы:

1) самопроизвольно были установлены kernel24-adv-smp-0:2.4.20-alt0.1, 
kernel22-up-0:2.2.23-alt2 и alsa22-up-0:2.2.23_0.5.12a-alt2, хотя в системе уже 
год как небыло kernel22, а kernel-smp и подавно.

2) независимо от версии загруженного ядра, update-alternatives, в режиме auto, постоянно 
указывает на хидеры от установленного в системе ядра с наименьшим номером версии.

3) недокументированное изменение названия модуля с NVidia на nvidia, что препятствует его 
загрузке.

--
Best regards
AB
--
				... In nomine Altli, et Ctrli, et Spititus Deli, Reset!

[sisyphus] Re: Последнее обновление.

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 685 bytes --]

On Sat, Dec 28, 2002 at 03:10:06PM +0200, Aleksandr Blokhin wrote:
> Со вчерашним обновлением по dist-upgrade нарвался на неприятные сюрпризы:

Я именно поэтому дождался сегодняшнего.

> 3) недокументированное изменение названия модуля с NVidia на
> nvidia, что препятствует его загрузке.

У меня на каком-то этапе в /etc/modules.conf попало 
alias char-major-195 nvidia
-- правда, "этапов" было довольно много, т.к. собиралось все на
localhost и не раз.

PS: кстати, это нормально?

-rw-------    1 root     root          371 Dec 23 12:17 /etc/modules.conf
    ^  ^ 
-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 187 bytes --]

Re: [sisyphus] Re: Последнее обновление.

[Dmitry E. Oboukhov]

>
>
>PS: кстати, это нормально?
>
>-rw-------    1 root     root          371 Dec 23 12:17 /etc/modules.conf
>    ^  ^ 
>  
>
нормально

параноидально немного, но нормально ;)

[sisyphus] Re: Последнее обновление.

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 317 bytes --]

On Sat, Dec 28, 2002 at 04:32:24PM +0300, Dmitry E. Oboukhov wrote:
> параноидально немного, но нормально ;)

А по-моему, и не немного.  Как и это:
drwx------    4 root     root         1024 Dec 27 22:26 /boot

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 187 bytes --]

Re: [sisyphus] Re: Последнее обновление.

[Dmitry E. Oboukhov]

Michael Shigorin wrote:

>On Sat, Dec 28, 2002 at 04:32:24PM +0300, Dmitry E. Oboukhov wrote:
>  
>
>>параноидально немного, но нормально ;)
>>    
>>
>
>А по-моему, и не немного.  Как и это:
>drwx------    4 root     root         1024 Dec 27 22:26 /boot
>
>  
>
это из серии: если юзер (хакер) будет знать как у нас система сконфигурена,
то он её легче сломать сможет,
но это высказывание можно развить:

- если хакер будет иметь доступ к исходным текстам сервера,
он его легче сломает...

следующий шаг совсем интересный:

- закрытое ПО лучше открытого (в плане безопасности)

~~~~~~~~~~~~~~
короче - бред получается
;)

параноидально - это самое то определение для указанного случая...

[sisyphus] Re: [sisyphus] Re: Последнее обновление.

[Aleksandr Blokhin]

On Sat, 28 Dec 2002 15:27:13 +0200
Michael Shigorin <mike@osdn.org.ua> wrote:

MS> On Sat, Dec 28, 2002 at 03:10:06PM +0200, Aleksandr Blokhin wrote:
>> Со вчерашним обновлением по dist-upgrade нарвался на неприятные
>>сюрпризы:

MS> Я именно поэтому дождался сегодняшнего.

Я и имел в виду то, которое было последним.
Просто у меня дома канальчик (500Kbps) допускает всё это быстренько вытягивать, 
поэтому то, что для кого-то сегодня, для меня уже вчера :)

>> 3) недокументированное изменение названия модуля с NVidia на
>> nvidia, что препятствует его загрузке.

MS> У меня на каком-то этапе в /etc/modules.conf попало 
MS> alias char-major-195 nvidia
MS> -- правда, "этапов" было довольно много, т.к. собиралось все на
MS> localhost и не раз.

У меня на всех версиях работало, а с изменением я столкнулся только на этот раз.

MS> PS: кстати, это нормально?

MS> -rw-------    1 root     root          371 Dec 23 12:17
MS> /etc/modules.conf
MS> ^  ^ 

По-моему да.

--
Best regards
AB
--
				... In nomine Altli, et Ctrli, et Spititus Deli, Reset!

Re: [sisyphus] Последнее обновление.

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 836 bytes --]

On Sat, Dec 28, 2002 at 03:10:06PM +0200, Aleksandr Blokhin wrote:
> Приветствую!
> Со вчерашним обновлением по dist-upgrade нарвался на неприятные сюрпризы:
> 
> 1) самопроизвольно были установлены kernel24-adv-smp-0:2.4.20-alt0.1, 

С этим все понятно: apt не считает kernel24-adv-* ядром.

> kernel22-up-0:2.2.23-alt2 и alsa22-up-0:2.2.23_0.5.12a-alt2, хотя в системе уже 
> год как небыло kernel22, а kernel-smp и подавно.

У вас в системе нет пакетов, использующих libalsa?
Удалите их все вместе с libalsa, после чего можно убрать из системы и
неиспользуемые ядра.

> 2) независимо от версии загруженного ядра, update-alternatives, в режиме auto, постоянно 
> указывает на хидеры от установленного в системе ядра с наименьшим номером версии.

На данный момент kernel24-headers может быть только в единственном
экземпляре.


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Re: Последнее обновление.

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 547 bytes --]

On Sat, Dec 28, 2002 at 03:46:02PM +0200, Michael Shigorin wrote:
> > параноидально немного, но нормально ;)
> 
> А по-моему, и не немного.  Как и это:
> drwx------    4 root     root         1024 Dec 27 22:26 /boot

См. changelog пакета filesystem-2.1.6-alt7:
- Changed permissions:
    /boot: 755 -> 700;
    /lib/modules: 755 -> 700;
    /root: 750 ->700.

Что здесь не нравится? По-моему, хорошее умолчание.
Rationale: эти файлы реально представляют интерес только для root'а.
Или предлагаете на control поставить? Это у меня в TODO.


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[sisyphus] Re: [sisyphus] Последнее обновление.

[Aleksandr Blokhin]

On Sat, 28 Dec 2002 18:08:45 +0300
"Dmitry V. Levin" <ldv@altlinux.org> wrote:

DVL> У вас в системе нет пакетов, использующих libalsa?

После обновления rpm -qa |grep alsa показывает следующее:
libalsa2-0.9.0rc6-alt1
alsa24-smp-2.4.20_0.9.0rc6-alt0.8
alsa2-utils-0.9.0rc6-alt1
alsa-driver-headers-0.9.0rc6-alt0.8
alsa2-tools-0.9.0rc6-alt1
alsa24-up-2.4.20_0.9.0rc6-alt0.8
libalsa2-devel-0.9.0rc6-alt1

DVL> На данный момент kernel24-headers может быть только в единственном
DVL> экземпляре.

Объясняю ситуацию ещё раз. 
В системе на момент начала обновления установлены: 
kernel24-up-2.4.19-alt0.8
kernel24-up-2.4.20-alt0.1
kernel24-headers-2.4.19-alt0.8

Произвожу обновление и получаю: 
kernel22-up-2.2.23-alt2
kernel24-up-2.4.19-alt0.8 
kernel24-up-2.4.20-alt0.1
kernel24-smp-2.4.20-alt0.1
kernel24-headers-2.4.19-alt0.8
kernel24-headers-2.4.20-alt0.8

После этого удаляю:
kernel22-up-2.2.23-alt2
kernel24-up-2.4.20-alt0.1
kernel24-smp-2.4.20-alt0.1

и устанавливаю:
kernel24-up-2.4.20-alt0.8
kernel24-smp-2.4.20-alt0.8

итого в системе установлены:
kernel24-up-2.4.19-alt0.8 
kernel24-up-2.4.20-alt0.8
kernel24-smp-2.4.20-alt0.8
kernel24-headers-2.4.19-alt0.8
kernel24-headers-2.4.20-alt0.8

Перезагружаемся, затем смотрим:
uname -a 
Linux sass.home 2.4.20-alt0.8-smp #1 SMP Thu Dec 26 18:12:21 MSK 2002 i686 unknown unknown GNU/Linux

[root@sass alternatives]# update-alternatives --display kernel_include
kernel_include - status is auto.
 link currently points to /usr/lib/kernel/2.4.19-alt0.8/include
/usr/lib/kernel/2.4.19-alt0.8/include - priority 24
/usr/lib/kernel/2.4.20-alt0.8/include - priority 24
Current `best' version is /usr/lib/kernel/2.4.19-alt0.8/include.

Вот об этом я и пишу.

--
Best regards
AB
--
				... In nomine Altli, et Ctrli, et Spititus Deli, Reset!

[sisyphus] степени свободы (was: Последнее обновление)

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 1484 bytes --]

On Sat, Dec 28, 2002 at 06:13:17PM +0300, Dmitry V. Levin wrote:
> См. changelog пакета filesystem-2.1.6-alt7:

Знаю.

> - Changed permissions:
>     /boot: 755 -> 700;
>     /lib/modules: 755 -> 700;
>     /root: 750 ->700.
> 
> Что здесь не нравится? По-моему, хорошее умолчание.

Для /root -- не спорю; для /boot и /lib/modules drawback (на моем
примере) таков:

/boot регулярно требуется для цитаты из lilo.conf или menu.lst;
/lib/modules -- для ответа на вопросы вида "какой модуль
подгрузить для ...".

Это несколько утрированно, но в данный момент _увеличивает_
время, которое забирает ответ на некоторые банальные вопросы.
Соответственно снижает мотивацию отвечать.

Еще хуже, на мой взгляд -- то, что изучение системы -- ровно то,
что во всех наших мануалах рекомендуется делать _обычным_
пользователем -- требует рута, причем неоправданно.

В данном случае дистрибутив _теряет_ достаточно сильно
необходимую степень свободы (которую было унаследовал от Mdk в
виде msec) -- регулировку "затяжки гаек".  Троцкий не катит.

Другой вопрос, как привести этот пункт в управляемое и
контролируемое, но не живущее своей жизнью состояние.

> Rationale: эти файлы реально представляют интерес только для root'а.

Нет.(tm)

> Или предлагаете на control поставить? Это у меня в TODO.

А оно и каталоги умеет? (вопрос под впечатлением $BINARY)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 187 bytes --]

Re: [sisyphus] control

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1615 bytes --]

On Sat, Dec 28, 2002 at 07:10:08PM +0200, Michael Shigorin wrote:
> > - Changed permissions:
> >     /boot: 755 -> 700;
> >     /lib/modules: 755 -> 700;
> >     /root: 750 ->700.
> > 
> > Что здесь не нравится? По-моему, хорошее умолчание.
> 
> Для /root -- не спорю; для /boot и /lib/modules drawback (на моем
> примере) таков:
> 
> /boot регулярно требуется для цитаты из lilo.conf или menu.lst;

/etc/lilo.conf должен быть 600, особенно если там boot password.
То же самое с grub'ом.

> /lib/modules -- для ответа на вопросы вида "какой модуль
> подгрузить для ...".
> 
> Это несколько утрированно, но в данный момент _увеличивает_
> время, которое забирает ответ на некоторые банальные вопросы.
> Соответственно снижает мотивацию отвечать.
> 
> Еще хуже, на мой взгляд -- то, что изучение системы -- ровно то,
> что во всех наших мануалах рекомендуется делать _обычным_
> пользователем -- требует рута, причем неоправданно.

Просто настройки по-умолчанию больше подходят для сервера, нежели для
junior'а, и ссылки на документацию (которую к тому же и не я писал) здесь
не при чем.

> В данном случае дистрибутив _теряет_ достаточно сильно
> необходимую степень свободы (которую было унаследовал от Mdk в
> виде msec) -- регулировку "затяжки гаек".  Троцкий не катит.
> 
> Другой вопрос, как привести этот пункт в управляемое и
> контролируемое, но не живущее своей жизнью состояние.

control

Готов выслушать предложения того, что нужно брать под control.

> > Или предлагаете на control поставить? Это у меня в TODO.
> 
> А оно и каталоги умеет? (вопрос под впечатлением $BINARY)

Не может - научим.


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Последнее обновление.

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1051 bytes --]

On Sat, Dec 28, 2002 at 06:06:37PM +0200, Aleksandr Blokhin wrote:
> DVL> У вас в системе нет пакетов, использующих libalsa?
> 
> После обновления rpm -qa |grep alsa показывает следующее:
> libalsa2-0.9.0rc6-alt1
> alsa24-smp-2.4.20_0.9.0rc6-alt0.8
> alsa2-utils-0.9.0rc6-alt1
> alsa-driver-headers-0.9.0rc6-alt0.8
> alsa2-tools-0.9.0rc6-alt1
> alsa24-up-2.4.20_0.9.0rc6-alt0.8
> libalsa2-devel-0.9.0rc6-alt1

То есть их нет? Попробуйте удалить alsa22-up, и они проявятся.

> DVL> На данный момент kernel24-headers может быть только в единственном
> DVL> экземпляре.
> 
> Объясняю ситуацию ещё раз. 
> В системе на момент начала обновления установлены: 
> kernel24-up-2.4.19-alt0.8
> kernel24-up-2.4.20-alt0.1
> kernel24-headers-2.4.19-alt0.8
> 
> Произвожу обновление и получаю: 
> kernel22-up-2.2.23-alt2
> kernel24-up-2.4.19-alt0.8 
> kernel24-up-2.4.20-alt0.1
> kernel24-smp-2.4.20-alt0.1
> kernel24-headers-2.4.19-alt0.8
> kernel24-headers-2.4.20-alt0.8

В /etc/apt/apt.conf что-то не так.
kernel24-headers должен быть _один_ в системе.


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[sisyphus] Re: control

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 1761 bytes --]

On Sat, Dec 28, 2002 at 08:59:38PM +0300, Dmitry V. Levin wrote:
> > /boot регулярно требуется для цитаты из lilo.conf или menu.lst;
> /etc/lilo.conf должен быть 600, особенно если там boot password.

Т.е. "может".

> > Еще хуже, на мой взгляд -- то, что изучение системы -- ровно то,
> > что во всех наших мануалах рекомендуется делать _обычным_
> > пользователем -- требует рута, причем неоправданно.
> Просто настройки по-умолчанию больше подходят для сервера,
> нежели для junior'а

...или, например, меня (который пытается баловаться ответами на
вопросы).

> и ссылки на документацию (которую к тому же и не я писал) здесь
> не при чем.

1) это не оправдание.  Надо консистировать.  Несоответствующая
   реальности дока -- еще хуже, чем отсутствующая.

2) ср. "принцип минимальных привилегий".  Если минимальной
   привилегией для достаточно _обыденных_ в ряде случаев
   действий, которые не несут опасности с точки зрения
   администратора системы, является euid 0 -- это неправильно.

> > Другой вопрос, как привести этот пункт в управляемое и
> > контролируемое, но не живущее своей жизнью состояние.
> control

Где-то возможно посмотреть обсуждение развития?  Или тугугл
owl-control?

> Готов выслушать предложения того, что нужно брать под control.

В частности, /home.  В ряде случаев более оправданными на его
подкаталоги могут быть права 755 (при том, что мое обычное мнение
здесь совпадает с ныне принятым в Sisyphus).

Возможно, /var/spool/*.  По крайней мере в спеке leafnode мои
сомнения по этому поводу чуть-чуть отражены :-)

Возможно, /etc/postfix.  Опять же -- цитаты из .cf.

[to be cont'd]

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 187 bytes --]

Re: [sisyphus] Re: control

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 932 bytes --]

On Sat, Dec 28, 2002 at 08:23:10PM +0200, Michael Shigorin wrote:
> 2) ср. "принцип минимальных привилегий".  Если минимальной
>    привилегией для достаточно _обыденных_ в ряде случаев
>    действий, которые не несут опасности с точки зрения
>    администратора системы, является euid 0 -- это неправильно.

Кто будет решать? Администратор?

> Где-то возможно посмотреть обсуждение развития?  Или тугугл
> owl-control?

Пишите мне и автору.

> > Готов выслушать предложения того, что нужно брать под control.
> 
> В частности, /home.  В ряде случаев более оправданными на его
> подкаталоги могут быть права 755 (при том, что мое обычное мнение
> здесь совпадает с ныне принятым в Sisyphus).

принято

> Возможно, /var/spool/*.  По крайней мере в спеке leafnode мои
> сомнения по этому поводу чуть-чуть отражены :-)

подробнее про *

> Возможно, /etc/postfix.  Опять же -- цитаты из .cf.

принято

> [to be cont'd]

ждемс.


--
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[sisyphus] Re: [sisyphus] Последнее обновление.

[Aleksandr Blokhin]

On Sat, 28 Dec 2002 21:03:30 +0300
"Dmitry V. Levin" <ldv@altlinux.org> wrote:

DVL> То есть их нет? Попробуйте удалить alsa22-up, и они проявятся.

Да удалял уже, однако не появились.


DVL> В /etc/apt/apt.conf что-то не так.

Дефолтный.

DVL> kernel24-headers должен быть _один_ в системе.

Я об этом знал, однако после возникновения данной ситуации подумал, что это 
ограничение удалось преодолеть. 

--
Best regards
AB
--
				... In nomine Altli, et Ctrli, et Spititus Deli, Reset!

[sisyphus] file/directory perms, security levels (was: control)

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 2243 bytes --]

On Sat, Dec 28, 2002 at 10:00:25PM +0300, Dmitry V. Levin wrote:
> > 2) ср. "принцип минимальных привилегий".  Если минимальной
> >    привилегией для достаточно _обыденных_ в ряде случаев
> >    действий, которые не несут опасности с точки зрения
> >    администратора системы, является euid 0 -- это неправильно.
> Кто будет решать? Администратор?

Да.

Причем желательно в два этапа -- при установке "зажим" по
умолчанию определяется метаклассом ("сервер/стол"), плюс
изменяемо там же (в verbose install) и после установки (насколько
я понимаю, так и задумывается).

> > > Готов выслушать предложения того, что нужно брать под control.
> > В частности, /home.  В ряде случаев более оправданными на его
> > подкаталоги могут быть права 755 (при том, что мое обычное
> принято

(подумал про 711 для доступа к ~/public_html, но это делается per
user и с правами пользователя => spam)

> > Возможно, /var/spool/*.  По крайней мере в спеке leafnode мои
> > сомнения по этому поводу чуть-чуть отражены :-)
> подробнее про *

/var/spool/news:
- public: 775 root news
- restricted: 770 root news

Мотивация: *в принципе*, могут существовать per-host или
password-based ограничения на доступ к спулу посредством NNTP;
при текущей схеме (в leafnode, по крайней мере) вполне получится
читать из спула при наличии доступа к соотв. fs.

Пишу применительно к leafnode; хотелось бы услышать мнение
майнтейнера INN.  Костя, ау! :-)

По части g+w в случае leafnode: здесь надо иметь права создавать
каталоги в %_spooldir/news/ -- соотв. кто-то из user/group news
должен быть способен писать туда.

> > [to be cont'd]
> ждемс.

Возможно, осмысленно добавить вариант "o+r" для /var/spool/mail.
Мотивация: по site policy может быть несколько аккаунтов без прав
root, владельцы которых могут (...обязаны, заинтересованы...)
осуществлять общий мониторинг системы (пример -- osdn.org.ua).

Я постараюсь обойти местный знакомый хостмастерский люд, а тем
временем предложу всем майнтейнерам вспомнить, не было ли где
колебаний по части того, какие права уместны для заданного
файла/каталога -- и писать сюда.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 187 bytes --]