[sisyphus] /var noexec => chrooted troubles
Sergey Vlasov
=?iso-8859-1?q?vsu_=CE=C1_altlinux=2Eru?=
Ср Авг 9 21:47:40 MSD 2006
On Wed, Aug 09, 2006 at 09:00:10PM +0400, Dmitry V. Levin wrote:
> On Wed, Aug 09, 2006 at 06:39:42PM +0400, Sergey Vlasov wrote:
> > On Wed, Aug 09, 2006 at 04:56:38PM +0400, Dmitry V. Levin wrote:
> > > On Wed, Aug 09, 2006 at 09:15:40AM +0300, Michael Shigorin wrote:
> > > > On Wed, Aug 09, 2006 at 03:33:17AM +0400, Aleksey Avdeev wrote:
> > > > > > Проверьте ещё, резолвит ли ping, запущенный рутом, а также
> > > > > > параметры монтирования.
> > > > > Спасибо: дело в noexec на /var было.
> > > >
> > > > Наверное, это достаточно важная фича для документирования...
> > > >
> > > > 2 ldv: может, в update_chrooted вделать простой тест --
> > > > положить в пакет заведомо исполнябельный файлик и звать
> > > > его перед тем, как что-либо делать (не вышло -- внятно
> > > > излагать проблему)?
> > >
> > > Прикол в том, что внутри /var/resolv не должно быть исполняемых файлов.
> >
> > noexec уже довольно давно блокирует не только собственно execve, но и
> > mmap с флагом PROT_EXEC - даже в 2.4.x (>= 2.4.22-alt13, в upstream с
> > 2.4.25). Это было сделано, в частности, для блокирования обхода
> > noexec через явный вызов /lib/ld-linux.so.2.
>
> Я когда-то backport'ил это изменение на 2.2.25-alt2.
>
> В любом случае, исполняемые файлы внутри /var/resolv вредны.
Да, там им делать нечего. Конечно, можно тестировать именно
работоспособность mmap с флагом PROT_EXEC, но тогда пакет chrooted
будет уже не noarch.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 191 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20060809/32e9fc16/attachment-0003.bin>
Подробная информация о списке рассылки Sisyphus