[devel] beehive w/- network
Alexey Tourbin
=?iso-8859-1?q?at_=CE=C1_altlinux=2Eru?=
Вт Окт 2 15:03:38 MSD 2007
On Tue, Oct 02, 2007 at 01:50:35PM +0300, Igor Vlasenko wrote:
> > > В частности, это связано с тем, что некоторые пакеты чево-то сосут
> > > с сети. Нет ли какого-нибудь сопособа запретить пользователю
> > > типа bee_b доступ к сети за пределами 127.0.0.1?
> >
> > Такой способ есть, iptables называется.
> >
> > Запретить?
> Огульно запрещать тоже не надо.
> для начала лучше только отслеживать такие пакеты.
Их трудно отслеживать в том смысле, что iptables не может сказать,
какой rpm-пакет в данный момент собирается. Впрочем, hasher может
выдывать эту информацию в /dev/log.
Можно сделать что-то типа 'hasher-useradd --without-network'.
По сути это развитие сборочной инфраструктуры. С другой стороны,
можно делать специальные сборочные container'ы, в которых нет ничего
кроме hasher'а и доступ ко внешней сети запрещён (кроме настоящего рута,
напр. для dist-upgrade'а). Правда, я не знаю, как сейчас обстоит дело
с tmpfs у контейнеров. Без tmpfs будет плохо.
Сборка пакета должна быть самодостаточной и полагаться только
на содержимое сборочного чрута. Иногда это нарушается на стадии
'make test'. Надо делать так:
%ifdef __BTE
disable online tests
%endif
Макрос %__BTE экспортируется hasher'ом.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20071002/d12041e0/attachment-0002.bin>
Подробная информация о списке рассылки Devel