[devel] rpm: symlink to dir
Denis Medvedev
nbr на altlinux.org
Ср Мар 18 21:35:19 MSK 2020
On 3/18/20 9:32 PM, Alexey V. Vissarionov wrote:
> On 2020-03-18 19:51:39 +0300, Denis Medvedev wrote:
> >>>> Если сервис запускается в chroot, то правильно скопировать
> >>>> нужные файлы ему в chroot, а не делать такие хитрые симлинки.
> >>> Почему это?
> >> - взлом сервиса в chroot может привести к порче или потере
> >> конфигурационного файла. Если оригинал будет в /etc, то при
> >> перезапуске сервиса мы просто восстанавливаем конфиг из
> >> оригинала. А если сервис умеет сначала читать конфиг а потом
> >> чрутиться, то и конфиг в chroot не нужен(имея симлинк мы
> >> связаны по рукам и ничего сделать не можем).
> > Ух а это аргумент и против хардлинкинга в chroot-ах вообще!
> > Может уберем?
>
> Очень боюсь сболтнуть Страшную Админскую Тайну, но все же: /var
> можно разместить на отдельной файловой системе - заодно ее можно
> будет монтировать с noexec,nodev,noatime
>
> А держать в /var что-то важное - то самое кроилово, которое рано
> или поздно приводит к попадалову. Общее правило: /var не подлежит
> регулярному резервному копированию.
>
И поэтому тоже - я бы хотел иметь опцию работать вообще без chrootеd
iservices.
Поддержка их довольно сложна, модель безопасности они запутывают и усложняют
администрирование, вводя еще одно место где могут разъехаться данные.
Подробная информация о списке рассылки Devel