Bug 22184

Summary: Рекомендован var с noexec
Product: Sisyphus Reporter: Dmitry Chistikov <dd1email>
Component: docs-hd_planningAssignee: Artem Zolochevskiy <azol>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: major    
Priority: P3 CC: rider
Version: unstable   
Hardware: all   
OS: Linux   

Description Dmitry Chistikov 2009-11-05 17:48:43 MSK 
Среди советов по "Дополнительно выделяемым разделам" есть рекомендация использовать noexec для /var. Если последовать этому совету, то в резолвер в /var/resolv окажется неработоспособным и, например, ping не сможет разрешать доменные имена в IP-адреса (см. напр. http://lists.altlinux.org/pipermail/sisyphus/2006-August/304489.html и продолжение обсуждения под названием "/var noexec => chrooted troubles").

NB: ошибка попала в различные комплекты документации, в том числе в руководство по ПСПО ( http://docs.altlinux.org/current/school_book/block.pdf ); похожий текст на a.o wiki я поправил.
Comment 1 Artem Zolochevskiy 2010-01-28 11:50:22 MSK 
Из обсуждения я так и не понял:
noexec на /var -- это хорошо/плохо, неработоспобосдность ping -- это его проблема или проблема /var.

Прошу помощи зала, таки действительно убирать рекомендацию noexec на /var ?
Comment 2 Anton Farygin 2010-01-28 12:29:10 MSK 
noexec на /var лучше не ставить - в /var/www могут быть cgi скрипты, которым требуется exec.

Помимо этого, как сказал Сергей Власов - noexec блокирует заодно и mmap с флагом PROT_EXEC, поэтому и не работают резолверы в чрутах.

Вообще, можно посмотреть что есть в /var executable bit в локальной системе:
find /var -type f -executable

Вердикт, по моему, понятный - из документации убрать, пока не изменится система.
Comment 3 Repository Robot 2010-01-29 10:52:15 MSK 
docs-hd_planning-0.1.5-alt1 -> sisyphus:

* Fri Jan 29 2010 Artem Zolochevskiy <azol@altlinux> 0.1.5-alt1

- remove noexec recommendation for /var (Closes #22184)