Среди советов по "Дополнительно выделяемым разделам" есть рекомендация использовать noexec для /var. Если последовать этому совету, то в резолвер в /var/resolv окажется неработоспособным и, например, ping не сможет разрешать доменные имена в IP-адреса (см. напр. http://lists.altlinux.org/pipermail/sisyphus/2006-August/304489.html и продолжение обсуждения под названием "/var noexec => chrooted troubles"). NB: ошибка попала в различные комплекты документации, в том числе в руководство по ПСПО ( http://docs.altlinux.org/current/school_book/block.pdf ); похожий текст на a.o wiki я поправил.
Из обсуждения я так и не понял: noexec на /var -- это хорошо/плохо, неработоспобосдность ping -- это его проблема или проблема /var. Прошу помощи зала, таки действительно убирать рекомендацию noexec на /var ?
noexec на /var лучше не ставить - в /var/www могут быть cgi скрипты, которым требуется exec. Помимо этого, как сказал Сергей Власов - noexec блокирует заодно и mmap с флагом PROT_EXEC, поэтому и не работают резолверы в чрутах. Вообще, можно посмотреть что есть в /var executable bit в локальной системе: find /var -type f -executable Вердикт, по моему, понятный - из документации убрать, пока не изменится система.
docs-hd_planning-0.1.5-alt1 -> sisyphus: * Fri Jan 29 2010 Artem Zolochevskiy <azol@altlinux> 0.1.5-alt1 - remove noexec recommendation for /var (Closes #22184)