49266 2024-02-02 14:31:58 +0300 rpm-build: brp: Запретить systemd-юнитам запускать под nobody 2024-04-17 12:14:02 +0300 1 1 4 Development Sisyphus rpm-build unstable x86_64 Linux CLOSED FIXED P5 normal --- 46776 1 arseny arseny andy arseny glebfm imz ldv placeholder rider shaba vt qa-sisyphus oldest_to_newest 241046 0 arseny 2024-02-02 14:31:58 +0300 Вообще давно пора на этапе сборки пакета проверять эти юниты. Я собрал задание, в котором появляется новый brp-модуль, исключающий использование uid и gid 65534 и nobody в systemd-юнитах. https://git.altlinux.org/tasks/339484/ 241388 1 arseny 2024-02-10 17:21:24 +0300 * Thu Jan 11 2024 Arseny Maslennikov <arseny@altlinux.org> 4.0.4.195-alt1 - debuginfo: Changed compression format (--lzma2=dict=2MiB -> --check=crc32 --lzma2=dict=1MiB) of xz-compressed modules for compatibility with kmod >= 31 (thx asheplyakov@). - Introduced brp-verify-unit to check sanity of systemd units included in built packages. 241389 2 rider 2024-02-10 17:23:12 +0300 Запрет на использование nobody в юнитах больше похож на ошибку. Переоткрыть или открыть новую ? 241390 3 andy 2024-02-10 17:26:35 +0300 (Ответ для Anton Farygin на комментарий #2) > Запрет на использование nobody в юнитах больше похож на ошибку. Переоткрыть > или открыть новую ? Тут всё похоже на ошибку: file mode юнитов надо фиксить автоматом, сервисы под nobody запускают многие. 241391 4 arseny 2024-02-10 17:37:27 +0300 Предлагаю про права завести отдельную багу. 241428 5 andy 2024-02-11 23:15:43 +0300 Из lizardfs, файла mfsexports.cfg: # ... Local roots are mapped as # 'nobody' users (usually uid=65534). И в lizardfs-cgiserv.service: User=nobody Так что прекрасно в "других дистрибутивах" под nobody и сервисы запускают, и FS монтируют. 241468 6 arseny 2024-02-12 12:02:11 +0300 (In reply to Andrew Vasilyev from comment #3) > (Ответ для Anton Farygin на комментарий #2) > > Запрет на использование nobody в юнитах больше похож на ошибку. Переоткрыть > > или открыть новую ? > > Тут всё похоже на ошибку: file mode юнитов надо фиксить автоматом, > сервисы под nobody запускают многие. На машине с локально смонтированным репозиторием: % (export LC_ALL=C; grep /lib/systemd/system/ /ALT/Sisyphus/{noarch,x86_64}/base/contents_index | cut -d$'\t' -f2 | sort -u | grep -v '^systemd' | wc) 820 820 10283 5 сервисов из 820 — это не многие. 244864 7 arseny 2024-04-17 12:14:02 +0300 На сегодняшний день по итогам тестовой пересборки остался только bozohttpd.