[sisyphus] /var noexec => chrooted troubles

[Dmitry V. Levin]

On Wed, Aug 09, 2006 at 06:39:42PM +0400, Sergey Vlasov wrote:
> On Wed, Aug 09, 2006 at 04:56:38PM +0400, Dmitry V. Levin wrote:
> > On Wed, Aug 09, 2006 at 09:15:40AM +0300, Michael Shigorin wrote:
> > > On Wed, Aug 09, 2006 at 03:33:17AM +0400, Aleksey Avdeev wrote:
> > > > > Проверьте ещё, резолвит ли ping, запущенный рутом, а также
> > > > > параметры монтирования.
> > > > Спасибо: дело в noexec на /var было.
> > > 
> > > Наверное, это достаточно важная фича для документирования...
> > > 
> > > 2 ldv: может, в update_chrooted вделать простой тест --
> > > положить в пакет заведомо исполнябельный файлик и звать 
> > > его перед тем, как что-либо делать (не вышло -- внятно
> > > излагать проблему)?
> > 
> > Прикол в том, что внутри /var/resolv не должно быть исполняемых файлов.
> 
> noexec уже довольно давно блокирует не только собственно execve, но и
> mmap с флагом PROT_EXEC - даже в 2.4.x (>= 2.4.22-alt13, в upstream с
> 2.4.25).  Это было сделано, в частности, для блокирования обхода
> noexec через явный вызов /lib/ld-linux.so.2.

Я когда-то backport'ил это изменение на 2.2.25-alt2.

В любом случае, исполняемые файлы внутри /var/resolv вредны.


-- 
ldv
----------- следущая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: отсутствует
Url     : http://lists.altlinux.org/pipermail/sisyphus/attachments/20060809/15dc9acb/attachment.bin