2616 2003-05-26 19:48:34 +0400 [FR] [3.1] filesystem mount options could be better controlled 2007-10-23 15:17:33 +0400 1 1 4 Development Sisyphus alterator-vm unstable all Linux CLOSED FIXED P5 enhancement --- 7371 1 mike mcpain inger kirill ldv legion mcpain rider qa-sisyphus oldest_to_newest 2389 0 mike 2003-05-26 19:48:34 +0400 installer/setup could allow for centralized control over most important filesystems; particularly (citing ldv): > nodev на /usr > nosuid,nodev на /var > noexec,nosuid,nodev на /tmp > noexec,nosuid,nodev на /home NB: it is strongly discouraged to make any of these uncontrolled default. Except /usr, probably. --- --- 13733 1 inger 2004-05-14 17:54:26 +0400 to maintainer 13762 2 rider 2004-05-14 18:41:57 +0400 в TODO 15995 3 rider 2004-06-30 18:01:07 +0400 в TODO к новому мантейнеру 17133 4 mike 2004-07-16 12:03:39 +0400 не, это FR на _новый_ инсталлер... куда перевесить? :) 17148 5 sbolshakov 2004-07-16 12:27:19 +0400 повисит тут пока 18887 6 sbolshakov 2004-09-20 17:03:08 +0400 в долгий ящик 24101 7 mike 2005-04-29 23:37:37 +0400 ящик пришёл? 24928 8 sbolshakov 2005-05-24 12:56:01 +0400 reassigned to proper package 45039 9 mike 2007-02-04 19:58:00 +0300 Перевешиваю. 45048 10 sbolshakov 2007-02-04 23:19:31 +0300 Правильно ли я понимаю, что коль речь о centralized control, то следовало бы реализовать возможность назначения опций монтирования в профилях ? 45070 11 mike 2007-02-05 16:40:23 +0300 В чём-то да, только это профили, ортогональные ФСным -- что-то вроде msec, если помнишь. Возможно, опять в долгий ящик -- до появления expert-режима и централизованного гайкозажимателя. 46341 12 ldv 2007-03-08 20:50:31 +0300 ping 46397 13 sbolshakov 2007-03-09 16:23:19 +0300 в /vm ничто не препятствует назначению опций монтирования, отличных от default. Жду предложений, если нынешнего поведения недостаточно. 46479 14 mike 2007-03-11 23:41:23 +0300 Если хочешь, можешь использовать рекомендации из первого сообщения в болванке серверной разбивки, а вручную -- уже достаточно. Правда, на самом по себе /var "nosuid,nodev" несовместимо с /var/lib/vz. Может иметь смысл для серверного инсталера с ovz по умолчанию делать отдельный /var/lib/vz -- ldv, legion, что скажете? (или забыть и закрыть нафиг, поскольку good enough) А, ещё noexec на там, где $TMPDIR, несовместимо с mc было. :) 46597 15 ldv 2007-03-14 04:48:31 +0300 Предлагаю такую логику: nosuid: везде, кроме / и /usr nodev: везде кроме /, /var и /home noexec добавлять автоматически, похоже, нереально. Да, и неплохо бы добавить /var/lib/vz в список известных точек монтирования. 46608 16 mike 2007-03-14 12:58:12 +0300 Ага по всем пунктам. 46617 17 sbolshakov 2007-03-14 13:40:55 +0300 прошу пояснить, где эти соглашения предполагается предлагать/форсировать ? - в автоинсталле (--> в профиле) - в ручной разбивке 46621 18 mike 2007-03-14 14:00:33 +0300 Форсировать нигде не стоит, предлагать в server все три пункта из комментария Димы -- IMHHO стоит, в ручной разбивке было бы неплохо предлагать, но критичен внятный help. 2 kirill: см. тж. свежий тред в devel@ From: lakostis@ Subject: U: alterator-vm 46625 19 sbolshakov 2007-03-14 14:11:17 +0300 mike: в авторазбивке оно либо форсируется, либо не выполняется вовсе. 46647 20 mike 2007-03-14 18:57:44 +0300 Торможу, поскольку без ручного подтверждения автомат пока не пользовал. Вообще изначальный смысл был скорее в том, чтобы начинающий администратор при использовании ALT Linux сразу получил интересные хинты (не в виде грабель), а потом уже сам про них читал и думал, где/что ещё можно применить. Вот комплект "умеренно закрутить гайки" с повышенной возможностью их заметить и пониженной -- наступить на побочные эффекты: * server nosuid: везде, кроме /, /usr и /home nodev: везде, кроме /, /var и /home noatime: /usr * workstation nodev,noatime: /usr * custom nosuid: /home nodev: /home noatime: /usr 46676 21 vaa 2007-03-15 09:00:11 +0300 (In reply to comment #20) > Вот комплект "умеренно закрутить гайки" с повышенной возможностью их заметить и > пониженной -- наступить на побочные эффекты: > > * server > nosuid: везде, кроме /, /usr и /home > nodev: везде, кроме /, /var и /home > noatime: /usr > > * workstation > nodev,noatime: /usr > > * custom > nosuid: /home > nodev: /home > noatime: /usr Поддерживаю, хотя таки ставлю noatime ещё и на /var с /home 46677 22 mithraen 2007-03-15 10:22:36 +0300 http://www.freesource.info/wiki/RazbienieDiska немного устарело, но мое мнение по поводу флагов более-менее аргументировано там есть. 46717 23 ldv 2007-03-16 02:57:00 +0300 > ------- Additional Comment #17 From Sergey Bolshakov 2007-03-14 13:40 ------- > прошу пояснить, где эти соглашения предполагается предлагать/форсировать ? > - в автоинсталле (--> в профиле) > - в ручной разбивке Во всех профилях предполагается форсировать. В диалоге выбора точки монтирования предполагается предлагать. Например, при изменении точки монтирования, когда фокус ввода покидает виджет выбора точки монтирования, устанавливать параметры монтирования сообразно выбранной точке монтирования; ну а пользователь сможет поменять их прежде чем нажмёт OK. Ну и noatime для /usr не повредит, наверное. 2mike: не вижу смысла делать разные правила назначения nosuid и nodev в зависимости от профиля. 46746 24 dottedmag 2007-03-16 16:49:35 +0300 В списке уже есть /var/www и /var/ftp с особыми настройками. Есть ещё один популярный сервис, для кэша которого неплохо бы сделать отдельный mountpoint, из-за специфичности работы с диском: squid. ("/var/cache/squid" . "nodev,nosuid,noexec,noatime") 46768 25 mike 2007-03-17 01:34:19 +0300 (In reply to comment #21) > Поддерживаю, хотя таки ставлю noatime ещё и на /var с /home Нельзя по умолчанию -- там есть приличные шансы, что на него полагаются (как минимум MUA). А руками уж каждый пусть сам думает. 2 ldv: я вижу -- отчасти как замену отсутствующему регулятору, который подразумевался в самом начале бага (помнишь expert mode и msec?). Если хочешь, то возможность в рассылке или по телефону выдать краткую рекомендацию по снятию проблемы, а не рассказывать на пальцах всю историю. 46772 26 mike 2007-03-17 01:44:22 +0300 (In reply to comment #24) > ("/var/cache/squid" . "nodev,nosuid,noexec,noatime") BTW, хороший пример целесообразности reiserfs (и RAID0). squid -z дешёвый ;) (это не совсем пуленепробиваемое решение -- reiserfs3 иногда действительно рассыпается вдребезги, хотя к тому количеству сбоев по питанию ext* обычно тоже уже давно дурно) 47191 27 sbolshakov 2007-03-26 13:43:29 +0400 done in 0.3-alt8 49738 28 mike 2007-05-01 19:16:51 +0400 Ура :-) Долгий ящик сделал своё дело :-)