[sisyphus] поясните за политику партии и правительства (раздельное монтирование)

ALT Linux Sisyphus discussions
 help / color / mirror / Atom feed

* [sisyphus] поясните за политику партии и правительства (раздельное монтирование)
@ 2020-08-06  5:44 glebus
  2020-08-06  8:24 ` Anton V. Boyarshinov
  0 siblings, 1 reply; 6+ messages in thread
From: glebus @ 2020-08-06  5:44 UTC (permalink / raw)
  To: sisyphus

Комрадс,

поясните, я правильно понимаю, что в П9+ штатно должно быть множественное 
монтирование /tmp, /var/tmp и проч?

Это теперь так и должно быть?

Я правильно понял, что за это отвечает пакет policycoreutils-newrole и файл /
etc/pam.d/newrole?

А в /etc/security/namespace.conf, соотв. строки по-прежнему закомментированы?

Это можно выключить напрочь?

1. Ломается posix ipc.

Легко насладиться: из графики ИНОГДА (если смотреть средствами программ, 
запускаемых непосредственно klauncher) пользователю доступен /dev/shm, но 
недоступен /dev/shm/(user)-inst. при этом из konsole всё в точности наоборот.

И из консольных сессий, наоборот!!!!

А ИНОГДА, доступен только /dev/shm/(user)-inst

2. Не работает проброс графики средствами ssh (-C -Y), так как недоступен /
tmp/.X11-unix/X0

Нестабильно работают xpra и x2go. Или вообще не работают, в зависимости от фаз 
Луны.

3. Та же петрушка с /var/tmp

причём, если корень и/или /var на btrfs, оно самостоятельно на лету создаёт 
подпространство и кудряво его монтирует, не спрашивая, надо ли это:

/dev/sda5 on /var/tmp/tmp-inst type btrfs 
(rw,noatime,compress=lzo,ssd,space_cache,commit=120,subvolid=387,subvol=/@/
var/tmp/tmp-inst)

/dev/sda5 on /var/tmp type btrfs 
(rw,noatime,compress=lzo,ssd,space_cache,commit=120,subvolid=387,subvol=/@/
var/tmp/tmp-inst/gleb)

PS: SELinux на машине нет и в ближайшее время, точно не планируется.

Спасибо!

--

С уважением, /GL

^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [sisyphus] поясните за политику партии и правительства (раздельное монтирование)
  2020-08-06  5:44 [sisyphus] поясните за политику партии и правительства (раздельное монтирование) glebus
@ 2020-08-06  8:24 ` Anton V. Boyarshinov
    0 siblings, 1 reply; 6+ messages in thread
From: Anton V. Boyarshinov @ 2020-08-06  8:24 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions, sem

В Thu, 06 Aug 2020 12:44:16 +0700
glebus@asd.iao.ru пишет:

> поясните, я правильно понимаю, что в П9+ штатно должно быть множественное 
> монтирование /tmp, /var/tmp и проч?
> 
> Это теперь так и должно быть?
> 
> Я правильно понял, что за это отвечает пакет policycoreutils-newrole и файл /
> etc/pam.d/newrole?

Хмм.. Вообще, этого пакета не должно быть в "нормальной" системе и как
он вообще просочился в образ Альт Рабочая Станция -- вопрос
заслуживающий серьёзного рассмотрения.


^ permalink raw reply	[flat|nested] 6+ messages in thread

[parent not found: <CAGvFrt1XC4BScJPJLNAtJ2femK0XKW8tin=6MpVavP2rfRtSng@mail.gmail.com>]

* Re: [sisyphus] поясните за политику партии и правительства (раздельное монтирование)
  @ 2020-08-06  8:40     ` Anton V. Boyarshinov
  2020-08-06  9:18       ` glebus
  2020-08-06  9:08     ` glebus
  1 sibling, 1 reply; 6+ messages in thread
From: Anton V. Boyarshinov @ 2020-08-06  8:40 UTC (permalink / raw)
  To: Aleksey Novodvorsky; +Cc: ALT Linux Sisyphus discussions

> > > Я правильно понял, что за это отвечает пакет policycoreutils-newrole и  
> > файл /  
> > > etc/pam.d/newrole?  
> >
> > Хмм.. Вообще, этого пакета не должно быть в "нормальной" системе и как
> > он вообще просочился в образ Альт Рабочая Станция -- вопрос
> > заслуживающий серьёзного рассмотрения.
> >  
> 
> Глеб пишет про p9+, то есть нечто на p9, обновленное им до Сизифа.

Перед тем как писать письмо я провёл первичное исследование, так что
проблема актуальна для ALT WKS 9.1.

Я покопал глубже и мне открылась бездна :(

freeipa-client зависит от policycoreutils
policycoreutils зависит от /etc/selinux/config
/etc/selinux/config предоставляется selinux-policy-alt
selinux-policy-alt вытягивет policycoreutils-newrole и ещё кучу всего, что не должно присутствовать в нормальной системе и нормально не работает без дополнительной настройки.

Каждая из этих зависимостей логична и не страшна сама по себе, но
вместе они дают неприемлемый эффект.

Мне кажется наиболее простым и разумным оторвать зависимость
policycoreutils от 
/etc/selinux/config, но надо тестировать -- не сломается ли freeipa-client даже при работе без selinux.

(Ушёл в bugzilla)

^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [sisyphus] поясните за политику партии и правительства (раздельное монтирование)
  2020-08-06  8:40     ` Anton V. Boyarshinov
@ 2020-08-06  9:18       ` glebus
  2020-08-06  9:24         ` Anton V. Boyarshinov
  0 siblings, 1 reply; 6+ messages in thread
From: glebus @ 2020-08-06  9:18 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

В письме от четверг, 6 августа 2020 г. 15:40:06 +07 пользователь Anton V. 
Boyarshinov написал:

> Каждая из этих зависимостей логична и не страшна сама по себе, но
> вместе они дают неприемлемый эффект.
> 
> Мне кажется наиболее простым и разумным оторвать зависимость
> policycoreutils от
> /etc/selinux/config, но надо тестировать -- не сломается ли freeipa-client
> даже при работе без selinux.

Если вдруг поможет.

Вот реальная система (сын сидит :)

NAME="Sisyphus"
VERSION="20191026/unstable"
ID=altlinux
VERSION_ID=20191026
PRETTY_NAME="ALT Regular"
ANSI_COLOR="1;33"
CPE_NAME="cpe:/o:alt:sisyphus:20191026"
HOME_URL="http://en.altlinux.org"
BUG_REPORT_URL="https://bugs.altlinux.org/"

обновлённая до Сизифа.

Используется ipa. Работает нормально. policycoreutils в системе ПРИСУТСВУЕТ!
Никаких закидонов с полимонтированием нет. 
/etc/pam.d/newrole ОТСУТСТВУЕТ.

--

С уважением, /GL







^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [sisyphus] поясните за политику партии и правительства (раздельное монтирование)
  2020-08-06  9:18       ` glebus
@ 2020-08-06  9:24         ` Anton V. Boyarshinov
  0 siblings, 0 replies; 6+ messages in thread
From: Anton V. Boyarshinov @ 2020-08-06  9:24 UTC (permalink / raw)
  To: glebus; +Cc: ALT Linux Sisyphus discussions

В Thu, 06 Aug 2020 16:18:45 +0700
glebus@asd.iao.ru пишет:

> обновлённая до Сизифа.

Да, в Сизифе это оказалось исправленным уже несколько месяцев, но не
попало в релизы p9.

см https://bugzilla.altlinux.org/show_bug.cgi?id=38788

Спасибо за сообщение о серьёзной проблеме, которую никто кроме Вас не
заметил!

^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [sisyphus] поясните за политику партии и правительства (раздельное монтирование)
    2020-08-06  8:40     ` Anton V. Boyarshinov
@ 2020-08-06  9:08     ` glebus
  1 sibling, 0 replies; 6+ messages in thread
From: glebus @ 2020-08-06  9:08 UTC (permalink / raw)
  To: ALT Linux Sisyphus discussions

В письме от четверг, 6 августа 2020 г. 15:27:26 +07 пользователь Aleksey 
Novodvorsky написал:

> > > поясните, я правильно понимаю, что в П9+ штатно должно быть
> > множественное
> > > монтирование /tmp, /var/tmp и проч?
> > > Это теперь так и должно быть?
> > > Я правильно понял, что за это отвечает пакет policycoreutils-newrole и
> >
> > Хмм.. Вообще, этого пакета не должно быть в "нормальной" системе и как
> > он вообще просочился в образ Альт Рабочая Станция -- вопрос
> > заслуживающий серьёзного рассмотрения.
> >
> Глеб пишет про p9+, то есть нечто на p9, обновленное им до Сизифа.

И да и нет.

Тестовые системы ставились из К рабочей станции 9.
Только что проверил на сохранившемся снэпшоте, ДО обновления до Сизифа (чистая 
установка, даже до обновления и установки софта).

Поведение в точности такое-же и пакет там присутствует.

ipa на этой конкретной машине НЕ используется (но используется на аналогичных 
установках). Сохраняется в точности то-же поведение.

 /.snapshot/9@20200610.origin/etc/os-release

NAME="ALT"
VERSION="9.0 "
ID=altlinux
VERSION_ID=9.0
PRETTY_NAME="ALT Workstation K 9.0  (Centaurea Pineticola)"
ANSI_COLOR="1;33"
CPE_NAME="cpe:/o:alt:kworkstation:9.0"
HOME_URL="https://www.basealt.ru/"
BUG_REPORT_URL="https://bugs.altlinux.org/"
DOCUMENTATION_URL="https://docs.altlinux.org/"
SUPPORT_URL="https://support.basealt.ru/"

--

С уважением, /GL

^ permalink raw reply	[flat|nested] 6+ messages in thread

end of thread, other threads:[~2020-08-06  9:24 UTC | newest]

Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2020-08-06  5:44 [sisyphus] поясните за политику партии и правительства (раздельное монтирование) glebus
2020-08-06  8:24 ` Anton V. Boyarshinov
2020-08-06  8:40     ` Anton V. Boyarshinov
2020-08-06  9:18       ` glebus
2020-08-06  9:24         ` Anton V. Boyarshinov
2020-08-06  9:08     ` glebus

ALT Linux Sisyphus discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
		sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
	public-inbox-index sisyphus

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sisyphus


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git