* [sisyphus] поясните за политику партии и правительства (раздельное монтирование)
@ 2020-08-06 5:44 glebus
2020-08-06 8:24 ` Anton V. Boyarshinov
0 siblings, 1 reply; 6+ messages in thread
From: glebus @ 2020-08-06 5:44 UTC (permalink / raw)
To: sisyphus
Комрадс,
поясните, я правильно понимаю, что в П9+ штатно должно быть множественное
монтирование /tmp, /var/tmp и проч?
Это теперь так и должно быть?
Я правильно понял, что за это отвечает пакет policycoreutils-newrole и файл /
etc/pam.d/newrole?
А в /etc/security/namespace.conf, соотв. строки по-прежнему закомментированы?
Это можно выключить напрочь?
1. Ломается posix ipc.
Легко насладиться: из графики ИНОГДА (если смотреть средствами программ,
запускаемых непосредственно klauncher) пользователю доступен /dev/shm, но
недоступен /dev/shm/(user)-inst. при этом из konsole всё в точности наоборот.
И из консольных сессий, наоборот!!!!
А ИНОГДА, доступен только /dev/shm/(user)-inst
2. Не работает проброс графики средствами ssh (-C -Y), так как недоступен /
tmp/.X11-unix/X0
Нестабильно работают xpra и x2go. Или вообще не работают, в зависимости от фаз
Луны.
3. Та же петрушка с /var/tmp
причём, если корень и/или /var на btrfs, оно самостоятельно на лету создаёт
подпространство и кудряво его монтирует, не спрашивая, надо ли это:
/dev/sda5 on /var/tmp/tmp-inst type btrfs
(rw,noatime,compress=lzo,ssd,space_cache,commit=120,subvolid=387,subvol=/@/
var/tmp/tmp-inst)
/dev/sda5 on /var/tmp type btrfs
(rw,noatime,compress=lzo,ssd,space_cache,commit=120,subvolid=387,subvol=/@/
var/tmp/tmp-inst/gleb)
PS: SELinux на машине нет и в ближайшее время, точно не планируется.
Спасибо!
--
С уважением, /GL
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [sisyphus] поясните за политику партии и правительства (раздельное монтирование)
2020-08-06 5:44 [sisyphus] поясните за политику партии и правительства (раздельное монтирование) glebus
@ 2020-08-06 8:24 ` Anton V. Boyarshinov
0 siblings, 1 reply; 6+ messages in thread
From: Anton V. Boyarshinov @ 2020-08-06 8:24 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions, sem
В Thu, 06 Aug 2020 12:44:16 +0700
glebus@asd.iao.ru пишет:
> поясните, я правильно понимаю, что в П9+ штатно должно быть множественное
> монтирование /tmp, /var/tmp и проч?
>
> Это теперь так и должно быть?
>
> Я правильно понял, что за это отвечает пакет policycoreutils-newrole и файл /
> etc/pam.d/newrole?
Хмм.. Вообще, этого пакета не должно быть в "нормальной" системе и как
он вообще просочился в образ Альт Рабочая Станция -- вопрос
заслуживающий серьёзного рассмотрения.
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [sisyphus] поясните за политику партии и правительства (раздельное монтирование)
@ 2020-08-06 8:40 ` Anton V. Boyarshinov
2020-08-06 9:18 ` glebus
2020-08-06 9:08 ` glebus
1 sibling, 1 reply; 6+ messages in thread
From: Anton V. Boyarshinov @ 2020-08-06 8:40 UTC (permalink / raw)
To: Aleksey Novodvorsky; +Cc: ALT Linux Sisyphus discussions
> > > Я правильно понял, что за это отвечает пакет policycoreutils-newrole и
> > файл /
> > > etc/pam.d/newrole?
> >
> > Хмм.. Вообще, этого пакета не должно быть в "нормальной" системе и как
> > он вообще просочился в образ Альт Рабочая Станция -- вопрос
> > заслуживающий серьёзного рассмотрения.
> >
>
> Глеб пишет про p9+, то есть нечто на p9, обновленное им до Сизифа.
Перед тем как писать письмо я провёл первичное исследование, так что
проблема актуальна для ALT WKS 9.1.
Я покопал глубже и мне открылась бездна :(
freeipa-client зависит от policycoreutils
policycoreutils зависит от /etc/selinux/config
/etc/selinux/config предоставляется selinux-policy-alt
selinux-policy-alt вытягивет policycoreutils-newrole и ещё кучу всего, что не должно присутствовать в нормальной системе и нормально не работает без дополнительной настройки.
Каждая из этих зависимостей логична и не страшна сама по себе, но
вместе они дают неприемлемый эффект.
Мне кажется наиболее простым и разумным оторвать зависимость
policycoreutils от
/etc/selinux/config, но надо тестировать -- не сломается ли freeipa-client даже при работе без selinux.
(Ушёл в bugzilla)
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [sisyphus] поясните за политику партии и правительства (раздельное монтирование)
2020-08-06 8:40 ` Anton V. Boyarshinov
@ 2020-08-06 9:08 ` glebus
1 sibling, 0 replies; 6+ messages in thread
From: glebus @ 2020-08-06 9:08 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
В письме от четверг, 6 августа 2020 г. 15:27:26 +07 пользователь Aleksey
Novodvorsky написал:
> > > поясните, я правильно понимаю, что в П9+ штатно должно быть
> > множественное
> > > монтирование /tmp, /var/tmp и проч?
> > > Это теперь так и должно быть?
> > > Я правильно понял, что за это отвечает пакет policycoreutils-newrole и
> >
> > Хмм.. Вообще, этого пакета не должно быть в "нормальной" системе и как
> > он вообще просочился в образ Альт Рабочая Станция -- вопрос
> > заслуживающий серьёзного рассмотрения.
> >
> Глеб пишет про p9+, то есть нечто на p9, обновленное им до Сизифа.
И да и нет.
Тестовые системы ставились из К рабочей станции 9.
Только что проверил на сохранившемся снэпшоте, ДО обновления до Сизифа (чистая
установка, даже до обновления и установки софта).
Поведение в точности такое-же и пакет там присутствует.
ipa на этой конкретной машине НЕ используется (но используется на аналогичных
установках). Сохраняется в точности то-же поведение.
/.snapshot/9@20200610.origin/etc/os-release
NAME="ALT"
VERSION="9.0 "
ID=altlinux
VERSION_ID=9.0
PRETTY_NAME="ALT Workstation K 9.0 (Centaurea Pineticola)"
ANSI_COLOR="1;33"
CPE_NAME="cpe:/o:alt:kworkstation:9.0"
HOME_URL="https://www.basealt.ru/"
BUG_REPORT_URL="https://bugs.altlinux.org/"
DOCUMENTATION_URL="https://docs.altlinux.org/"
SUPPORT_URL="https://support.basealt.ru/"
--
С уважением, /GL
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [sisyphus] поясните за политику партии и правительства (раздельное монтирование)
2020-08-06 8:40 ` Anton V. Boyarshinov
@ 2020-08-06 9:18 ` glebus
2020-08-06 9:24 ` Anton V. Boyarshinov
0 siblings, 1 reply; 6+ messages in thread
From: glebus @ 2020-08-06 9:18 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
В письме от четверг, 6 августа 2020 г. 15:40:06 +07 пользователь Anton V.
Boyarshinov написал:
> Каждая из этих зависимостей логична и не страшна сама по себе, но
> вместе они дают неприемлемый эффект.
>
> Мне кажется наиболее простым и разумным оторвать зависимость
> policycoreutils от
> /etc/selinux/config, но надо тестировать -- не сломается ли freeipa-client
> даже при работе без selinux.
Если вдруг поможет.
Вот реальная система (сын сидит :)
NAME="Sisyphus"
VERSION="20191026/unstable"
ID=altlinux
VERSION_ID=20191026
PRETTY_NAME="ALT Regular"
ANSI_COLOR="1;33"
CPE_NAME="cpe:/o:alt:sisyphus:20191026"
HOME_URL="http://en.altlinux.org"
BUG_REPORT_URL="https://bugs.altlinux.org/"
обновлённая до Сизифа.
Используется ipa. Работает нормально. policycoreutils в системе ПРИСУТСВУЕТ!
Никаких закидонов с полимонтированием нет.
/etc/pam.d/newrole ОТСУТСТВУЕТ.
--
С уважением, /GL
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [sisyphus] поясните за политику партии и правительства (раздельное монтирование)
2020-08-06 9:18 ` glebus
@ 2020-08-06 9:24 ` Anton V. Boyarshinov
0 siblings, 0 replies; 6+ messages in thread
From: Anton V. Boyarshinov @ 2020-08-06 9:24 UTC (permalink / raw)
To: glebus; +Cc: ALT Linux Sisyphus discussions
В Thu, 06 Aug 2020 16:18:45 +0700
glebus@asd.iao.ru пишет:
> обновлённая до Сизифа.
Да, в Сизифе это оказалось исправленным уже несколько месяцев, но не
попало в релизы p9.
см https://bugzilla.altlinux.org/show_bug.cgi?id=38788
Спасибо за сообщение о серьёзной проблеме, которую никто кроме Вас не
заметил!
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2020-08-06 9:24 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2020-08-06 5:44 [sisyphus] поясните за политику партии и правительства (раздельное монтирование) glebus
2020-08-06 8:24 ` Anton V. Boyarshinov
2020-08-06 8:40 ` Anton V. Boyarshinov
2020-08-06 9:18 ` glebus
2020-08-06 9:24 ` Anton V. Boyarshinov
2020-08-06 9:08 ` glebus
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git