[devel] network filtering during build

[Alexey Tourbin]

On Mon, Mar 15, 2010 at 08:01:44AM +0100, Vitaly Kuznetsov wrote:
> Alexey Tourbin <at на altlinux.ru> writes:
> 
> >> Всякий раз, когда я вижу подобное, вспоминается давнее желание повысить
> >> воспроизводимость сборки путём отрезания сборочного контейнера от внешней
> >> сети.
> >
> > Надо бы отключить.  Точнее, надо бы попробовать.  Потому что
> > с другой стороны какой-нибудь 'make test' может отваливаться.
> 
> А если закрывать сеть на этапах %prep, %build, %install и открывать на
> %check ?

Стадии сборки существуют в пределах одного непривилегированного процесса
rpmbuild.  Если rpmbuild сможет открывать/закрывать сеть, то в принципе
кто угодно (в том числе сами пакеты в процессе сборки) смогут открывать/
закрывать сеть.

Но открытие/закрытие сети требует больших привилегий.  Скорее всего,
это можно сделать только где-то на уровне hasher-priv - заранее и
окончательно.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 198 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20100315/571a5378/attachment.bin>