[devel] minimal system

Dmitry V. Levin =?iso-8859-1?q?ldv_=CE=C1_alt-linux=2Eorg?=
Вт Ноя 27 11:19:54 MSK 2001


On Tue, Nov 27, 2001 at 09:04:58AM +0300, Andrey Astafiev wrote:
> Большое спасибо, за пояснения. еще немного вопросов.
> 
> > mingetty - должен быть в зависимостях initscripts.
> 
> его там нет.
> 
> > > passwd
> >
> > а если не надо?
> 
> возможно, в BTS и не надо, а для минимальной
> многопользовательской рабочей системы - надо :)

Тогда это пакет interactivesystem.

> насколько я помню, я ни словом не упомянул,
> что basesystem должен зависеть от passwd.
> я так понял, basesystem является тем ограничивающим
> пакетом в системе, наличие которого при сохраненных
> зависимостях гарантирует присутствие всех
> жизненно-необходимых компонентов?

Да, так было задумано.
Вопрос только в том, что считать жизненно необходимым?

> > Как уже было сказано, setup сейчас необходимо
> > ставить до basesystem.
> 
> кстати, в описании basesystem сказано, что этот
> пакет должен быть установлен первым, а Александр
> написал, что сначала нужно установить setup с
> зависящими от него пакетами, хотя таковых нет.
> это временное явление?

На данный момент нет другого способа гарантировать, что setup будет
установлен первым.

> > > это навело на мысль о том, что возможно скрипты,
> > > связанные с установкой и удалением пакетов тоже
> > > проверять на предмет зависимостей. бред? усложнение?
> >
> > Это уже запланировано. Однако придется исправлять
> > довольно много скриптов.
> 
> т.е. удалять из скриптов неоправданно используемые
> команды? зависимости ведь будут проставляться...

Не только. Например, макрос %update_menus надо будет изменить с нынешнего
[ -x /usr/bin/update-menus ] && /usr/bin/update-menus ||:
на более корректное
UPDATE_MENUS=/usr/bin/update-menus
[ -x "$UPDATE_MENUS" ] && "$UPDATE_MENUS" ||:

Аналогично следует поступить во всех случаях условного запуска.

> > Сейчас в findutils есть поддержка некоторых особых
> > возможностей ext2. Если они оттуда исчезнут,
> > то и зависимость пропадет.
> 
> похоже эта зависимость будет жить в веках :)

Не факт, см.
http://bugs.altlinux.ru/view_bug_advanced_page.php?f_id=0000074

> > > установить util-linux без нарушения завивисимостей
> > >нельзя, так как agetty зависит от login,
> >
> > Эти "вытаскивающие за волосы" зависимости (glibc,
> > util-linux,shadow-utils) были сделаны с тем, чтобы
> > в уже работающей системе не потерять необходимые
> > компоненты.
> 
> но ведь теперь для этого существует basesystem?

Кто сказал, что, напр., fdisk - это basesystem?

> > > еще немного об авторизации. при установке shadow-utils
> > > не создаются файлы shadow и gshadow, хотя могли бы при
> > > помощи скрипта на основе информации из passwd и group.
> >
> > Не думаю, что это актуально в связи с tcb...
> 
> что такое tcb?

TCB(5)                                                     TCB(5)

NAME
       tcb - alternative password shadowing scheme

PROBLEM
       With  the  traditional password shadowing scheme, password
       hashes and password aging  information  of  all  users  is
       stored  in one file, /etc/shadow.  Therefore, if a process
       requires access to information on a  single  user,  it  is
       forced  to  possess  privileges  which  are  sufficient to
       access data on all users.  This is a design flaw, which is
       most  clearly  visible  in  the case of passwd(1) utility.
       Let's assume that unprivileged users are to be allowed  to
       change  their  own  passwords.   Whatever  permissions are
       assigned to /etc/shadow, passwd(1),  invoked  by  unprivi-
       leged  user U, must be able to modify the contents of this
       file.  If malicious user U finds  a  way  to  control  the
       passwd(1)  process  (with the help of a buffer overflow or
       another bug in the passwd(1) code,  in  the  libraries  it
       uses,  or  in the kernel), the user will be able to change
       passwords of all users and thus obtain full  control  over
       the system.

SOLUTION
       The  solution  is  straightforward - each user is assigned
       its own, separate shadow-style file.  User U's shadow file
       is  owned by U, so passwd(1) invoked by U does not require
       superuser privileges.

Надеюсь скоро перевести Sisyphus на tcb (если на этой неделе не успею, то
на следующей).


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 232 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20011127/79d97af2/attachment-0001.bin>


Подробная информация о списке рассылки Devel