[devel] BTE

[Alexander Bokovoy]

On Tue, Dec 10, 2002 at 08:04:07PM +0300, AntonFarygin wrote:
> >>б) по возможности _запущенных_ сервисных программ. Например - на данный 
> >>момент процесс N 1 обламывается на этапе установки пакета apache на 
> >>скрипте добавления chkconfig --add httpd (что естественно). Да и не 
> >Неестественно.
> Кстати, действительно. Обламывается с сообщением о том, что на операцию 
> нет прав. Если надо - вышлю логи сборки mod_ruby
Так на какую операцию нет прав? (Высылай).

> >В случае apache надо рассматривать подробнее (я не помню прямо сейчас).
> >Однако я не понимаю, почему chkconfig --add httpd должен что-то ломать --
> >ведь при выполнении этой команды ничего реально не запускается, только
> >делается symlink.
> Да, он действительно не ломает. Так это же еще один плюс в эту систему.
Это еще один показатель, что проблема с несобирающимся mod_ruby лежит в
другом месте. :)

> >Страшно -- помести "исполнителя" в UML. Это вопрос deployment
> >соответствующей службы, а не ее реализации. Вот cvs и shell не
> >предоставляют достаточных средств для защиты, а devel.altlinux.ru тем не
> >менее серьезно защищен.
> Так мы чем и занимаемся. Реализация очень тесно связана с дальнейшей 
> эксплуатацией.
Вот это -- совершенно неправильно. BTE, как она проектировалась и
реализовывалась нами, позволяет существование независимых сборочных сред
на разных машинах. В том числе и автономно. Если новая версия будет тесно
завязана на конкретную эксплуатацию, то особого смысла в ней не будет --
это будет очередной закрытый проект, увы.

> >Этот вопрос я переадресую AVN, поскольку он и вел речь про неодинаковое
> >поведение.
> Я у него уже уточнил. Как сказал мне AVN, под неодинаковым поведением он 
> имел в виду отсутствие системных сервисов, поднимаемых в чруте.
Как я уже сказал, сервисы в chroot и так не поднимаются (и никогда не
поднимались). Так что я не понимаю, откуда может взяться такое видение
ситуации и требование, чтобы они не поднимались.

> Для всех без исключения пакетов установка проходит единообразно, за 
> исключением, пожалуй, сборочных зависимостей. То, что некоторые POST 
> скрипты не могут выполняться с правами, отличными от root - недостаток 
> этих POST скриптов, а не как не системы сборки.
Антон, тебя начинает заносить. На то она и установка с правами 
администратора по жизни. В противном случае ты получаешь несоответствие
LSB в сгенерированной файловой системе.

> Правда остается еще одна проблема - возможность изменения системных 
> библиотек из пост-скриптов. Может быть стоит делать полностью весь 
> chroot read-only ?
Не стоит.

-- 
/ Alexander Bokovoy
---
The only difference between a rut and a grave is their dimensions.