Bug 12647 - secure packaging policy violation
Summary: secure packaging policy violation
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: nginx (show other bugs)
Version: unstable
Hardware: all Linux
: P2 blocker
Assignee: Anton Farygin
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2007-08-28 19:28 MSD by Sergey Bolshakov
Modified: 2007-10-17 17:56 MSD (History)
4 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Sergey Bolshakov 2007-08-28 19:28:06 MSD
инитскрипт содержит код, прямо нарушающий spp.
мне просмотреть _все_ твои пакеты на этот счёт и зазвесить blocker'ы ?
Comment 1 Michael Shigorin 2007-08-29 10:03:46 MSD
Если речь про mkdir/chown/chmod в start(), то это действительно разумно вытащить
в %install/%files.

2 mithraen: патчик сообразить?  Я так понимаю, что это было сделано
*действительно* на скорую руку...
Comment 2 Denis Smirnov 2007-08-29 11:29:10 MSD
Я всегда скажу только спасибо за повешеный на меня блокер, и огромное спасибо за
патчики на такой блокер.
Comment 3 Slava Semushin 2007-08-29 12:44:09 MSD
Разве это блокер? Гм... Если программа, работает, то IMHO это уже не блокер.
Comment 4 Dmitry V. Levin 2007-08-29 13:07:59 MSD
blocker -- это ситуация, когда из-за ошибки в пакете откладывается выпуск
продуктов, в которые входит этот пакет.
В тех продуктах, которые мы выпускаем, spp violation -- это blocker.
Comment 5 Slava Semushin 2007-08-29 13:12:14 MSD
(In reply to comment #4)
> В тех продуктах, которые мы выпускаем, spp violation -- это blocker.

Можно ссылку на SPP? И ещё хорошо бы узнать чем mkdir/chown/chmod в init-скрипте
могут угрожать безопасности системы?

Спасибо.
Comment 6 Slava Semushin 2007-08-29 13:15:38 MSD
(In reply to comment #5)

Посмотрел на init скрипт. Интересно каким должен быть фикс? (Правильно ли
понимаю, что все вызовы mkdir/chown/chmod нужно просто перенести в секцию %files
с соответсвующими %attr()?)

Comment 7 Dmitry V. Levin 2007-08-29 13:34:40 MSD
Sisyphus/doc/alt-packaging/spp.tex "Владельцы каталогов"
Comment 8 Michael Shigorin 2007-08-30 17:58:09 MSD
Вроде как исправлено у меня в git.
Comment 9 Denis Smirnov 2007-08-30 18:14:18 MSD
Я вспомнил зачем мне нужны были mkdir.
/var/run и /var/lock у меня на отдельных машинках это tmpfs.
/var/spool/nginx тоже.

Я считаю blocker'ами тот факт что большинство пакетов у нас не могут работать
без модификации в таких условиях :(

Как бы сделать так чтобы и волки целы, и овцы сыты?
Comment 10 Michael Shigorin 2007-08-30 18:23:57 MSD
Боюсь, до надёжного tmpfs я себе такое не пожелаю всё-таки...
Comment 11 Denis Smirnov 2007-08-30 18:28:22 MSD
А что в нем такого что /var/run и /var/lock держать нельзя?
Comment 12 Michael Shigorin 2007-08-30 18:34:36 MSD
...а если пожелаю -- то пойду вешать FR на service добавить check_paths() в
/etc/init.d/functions :)

Если ты забыл, то на tmpfs при существенной нагрузке на VM (когда он попадает в
своп) теряются файлы.  Для сборки это совсем плохо, но если пропадёт пидфайл и
monit (или apt-get dist-upgrade) накосячит навроде запуска второй пачки
процессов -- боюсь, тоже не фонтан.

Всё-таки это лучше решать на уровне дистрибутива; локально я бы влепил второй
инитскрипт а-ля nginx-dirs, который стартует чуть раньше и озадачивается такими
хаками.  Не в пакет, конечно, а вместе с tmpfs.
Comment 13 Denis Smirnov 2007-08-30 18:40:20 MSD
Знаешь, а твоя мысль мне нравится... Особенно с учетом того, что у нас теперь
работают LSB initscripts. Можно и в дистрибутив набор таких хаков отправить.
Comment 14 Denis Smirnov 2007-08-30 18:42:55 MSD
Ушло в incoming/
Спасибо!
Comment 15 Michael Shigorin 2007-08-30 21:37:50 MSD
PS: 2 sbolshakov: у тебя и поближе есть чего проверить ;-P

$ ls -ld /var/run/avahi-daemon
drwxrwx--- 2 _avahi _avahi 48 Jun 29 15:38 /var/run/avahi-daemon
$ rpm -qf --lastchange /var/run/avahi-daemon
* Fri Jun 29 2007 Sergey V Turchin <zerg at altlinux dot org> 0.6.20-alt2
- reload dbus config instead of restart
Comment 16 Dmitry V. Levin 2007-08-30 21:44:02 MSD
avahi-daemon это другой пакет, поэтому, пожалуйста, напишите новую багу,
если только в avahi-daemon-0.6.21-alt1 уже не исправлено.