Bug 12647

Summary: secure packaging policy violation
Product: Sisyphus Reporter: Sergey Bolshakov <sbolshakov>
Component: nginxAssignee: Anton Farygin <rider>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: blocker    
Priority: P2 CC: icesik, php-coder, rider, vvk
Version: unstable   
Hardware: all   
OS: Linux   

Description Sergey Bolshakov 2007-08-28 19:28:06 MSD 
инитскрипт содержит код, прямо нарушающий spp.
мне просмотреть _все_ твои пакеты на этот счёт и зазвесить blocker'ы ?
Comment 1 Michael Shigorin 2007-08-29 10:03:46 MSD 
Если речь про mkdir/chown/chmod в start(), то это действительно разумно вытащить
в %install/%files.

2 mithraen: патчик сообразить?  Я так понимаю, что это было сделано
*действительно* на скорую руку...
Comment 2 Denis Smirnov 2007-08-29 11:29:10 MSD 
Я всегда скажу только спасибо за повешеный на меня блокер, и огромное спасибо за
патчики на такой блокер.
Comment 3 Slava Semushin 2007-08-29 12:44:09 MSD 
Разве это блокер? Гм... Если программа, работает, то IMHO это уже не блокер.
Comment 4 Dmitry V. Levin 2007-08-29 13:07:59 MSD 
blocker -- это ситуация, когда из-за ошибки в пакете откладывается выпуск
продуктов, в которые входит этот пакет.
В тех продуктах, которые мы выпускаем, spp violation -- это blocker.
Comment 5 Slava Semushin 2007-08-29 13:12:14 MSD 
(In reply to comment #4)
> В тех продуктах, которые мы выпускаем, spp violation -- это blocker.

Можно ссылку на SPP? И ещё хорошо бы узнать чем mkdir/chown/chmod в init-скрипте
могут угрожать безопасности системы?

Спасибо.
Comment 6 Slava Semushin 2007-08-29 13:15:38 MSD 
(In reply to comment #5)

Посмотрел на init скрипт. Интересно каким должен быть фикс? (Правильно ли
понимаю, что все вызовы mkdir/chown/chmod нужно просто перенести в секцию %files
с соответсвующими %attr()?)
Comment 7 Dmitry V. Levin 2007-08-29 13:34:40 MSD 
Sisyphus/doc/alt-packaging/spp.tex "Владельцы каталогов"
Comment 8 Michael Shigorin 2007-08-30 17:58:09 MSD 
Вроде как исправлено у меня в git.
Comment 9 Denis Smirnov 2007-08-30 18:14:18 MSD 
Я вспомнил зачем мне нужны были mkdir.
/var/run и /var/lock у меня на отдельных машинках это tmpfs.
/var/spool/nginx тоже.

Я считаю blocker'ами тот факт что большинство пакетов у нас не могут работать
без модификации в таких условиях :(

Как бы сделать так чтобы и волки целы, и овцы сыты?
Comment 10 Michael Shigorin 2007-08-30 18:23:57 MSD 
Боюсь, до надёжного tmpfs я себе такое не пожелаю всё-таки...
Comment 11 Denis Smirnov 2007-08-30 18:28:22 MSD 
А что в нем такого что /var/run и /var/lock держать нельзя?
Comment 12 Michael Shigorin 2007-08-30 18:34:36 MSD 
...а если пожелаю -- то пойду вешать FR на service добавить check_paths() в
/etc/init.d/functions :)

Если ты забыл, то на tmpfs при существенной нагрузке на VM (когда он попадает в
своп) теряются файлы.  Для сборки это совсем плохо, но если пропадёт пидфайл и
monit (или apt-get dist-upgrade) накосячит навроде запуска второй пачки
процессов -- боюсь, тоже не фонтан.

Всё-таки это лучше решать на уровне дистрибутива; локально я бы влепил второй
инитскрипт а-ля nginx-dirs, который стартует чуть раньше и озадачивается такими
хаками.  Не в пакет, конечно, а вместе с tmpfs.
Comment 13 Denis Smirnov 2007-08-30 18:40:20 MSD 
Знаешь, а твоя мысль мне нравится... Особенно с учетом того, что у нас теперь
работают LSB initscripts. Можно и в дистрибутив набор таких хаков отправить.
Comment 14 Denis Smirnov 2007-08-30 18:42:55 MSD 
Ушло в incoming/
Спасибо!
Comment 15 Michael Shigorin 2007-08-30 21:37:50 MSD 
PS: 2 sbolshakov: у тебя и поближе есть чего проверить ;-P

$ ls -ld /var/run/avahi-daemon
drwxrwx--- 2 _avahi _avahi 48 Jun 29 15:38 /var/run/avahi-daemon
$ rpm -qf --lastchange /var/run/avahi-daemon
* Fri Jun 29 2007 Sergey V Turchin <zerg at altlinux dot org> 0.6.20-alt2
- reload dbus config instead of restart
Comment 16 Dmitry V. Levin 2007-08-30 21:44:02 MSD 
avahi-daemon это другой пакет, поэтому, пожалуйста, напишите новую багу,
если только в avahi-daemon-0.6.21-alt1 уже не исправлено.