[devel] hasher (was: offtopic)

[Dmitry V. Levin]

On Wed, Mar 08, 2017 at 12:58:33PM +0300, Alexey Tourbin wrote:
> 2017-03-08 12:22 GMT+03:00 Alexey Gladkov <legion на altlinux.ru>:
> > On Wed, Mar 08, 2017 at 10:56:25AM +0300, Alexey Tourbin wrote:
> >> Я принимаю к сведению вашу просьбу. У меня есть альтернативная
> >> просьба: не могли бы вы написать что-нибудь умное по теме рассылки,
> >> связанное со сборкой пакетов, компиляцией и т.п.
> >
> > Обязательно напишу. Уж не знаю насколько это будет умным с вашей точки
> > зрения, но это точно будет технической темой.
> 
> А вот напишите прямо сейчас про hasher какой-нибудь. Знаете какая
> претензия у меня есть к хешеру?

Достаточно немного подождать, и Алексей Турбин создаст ситуацию, в которой
будет уместно поговорить с Алексеем Турбиным в стиле Алексея Турбина.

<at>

> Что в нём используется fakeroot, в
> котором создать каталоги с правами доступа 0555 root:root нельзя, а в
> федоровском basesystem, если я не запамятовал,

Очевидно, запамятовал: в федоровском basesystem нет каталогов.

> такие каталоги есть. Я съел собаку на этом деле несколько лет назад,

Во первых, чудаки из шляпы сами виноваты.
Во вторых, зачем вам hasher на федоре?  У них есть своя система сборки,
к которой они ещё и доступ бесплатный раздают
(https://fedoraproject.org/wiki/Test_Machine_Resources_For_Package_Maintainers),
так что когда она разваливается, то это у них, а не у вас.

> и понял, что
> использовать хереш как систему инициализации окружения основанную
> исключительно на chroot() нельзя.

Конечно нельзя, ещё нужен setuid() и всё такое.

> И еще, выход из окружения не должен
> автоматически приводить к убиванию всех процессов с помощью prctl().

Как это не должен?  А вдруг какой процесс отобьётся от стаи?
Тем более при выходе из окружения!
Убивать процессы, размахивая prctl, всех убивать!

> Перспективной темой разработки несколько лет назад я считал бы переход
> хешера на технологию lxc.  Сейчас не знаю, всё захрясло уже очень
> сильно.

Вы же почти ничего в user namespaces не понимаете, ну какой смысл
с вами это обсуждать.

</at>

Никого не хотел обидеть, просто осознайте, пожалуйста, как выглядят
наименее "оффтопичные" письма Алексея Турбина.

Понятно, что решение с правами доступа 0555 на системные каталоги
закрывает возможность прямой инициализации чрута в непривилегированных
userns.  Очевидно, что авторы этого решения в курсе и им всё равно,
поскольку инициализация у них привилегированная.  Они просто решали совсем
другую задачу в других условиях.  Разумеется, эту проблему можно было бы
обойти, меняя права туда-сюда во время инициализации.  Но зачем, в самом
деле, у нас же нет такой задачи.  Если появится, то будем решать.

Аналогично с убиванием процессов и переходом на lxc:
это возможно, но зачем?  Какую задачу это решает?
Точно ли это задача для hasher, или для этого уже есть другие инструменты?


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 801 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20170308/c5862816/attachment-0001.bin>