Bug 12647 - secure packaging policy violation
: secure packaging policy violation
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/nginx)
: unstable
: all Linux
: P2 blocker
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2007-08-28 19:28 by
Modified: 2007-10-17 17:56 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2007-08-28 19:28:06
инитскрипт содержит код, прямо нарушающий spp.
мне просмотреть _все_ твои пакеты на этот счёт и зазвесить blocker'ы ?
------- Comment #1 From 2007-08-29 10:03:46 -------
Если речь про mkdir/chown/chmod в start(), то это действительно разумно
вытащить
в %install/%files.

2 mithraen: патчик сообразить?  Я так понимаю, что это было сделано
*действительно* на скорую руку...
------- Comment #2 From 2007-08-29 11:29:10 -------
Я всегда скажу только спасибо за повешеный на меня блокер, и огромное спасибо
за
патчики на такой блокер.
------- Comment #3 From 2007-08-29 12:44:09 -------
Разве это блокер? Гм... Если программа, работает, то IMHO это уже не блокер.
------- Comment #4 From 2007-08-29 13:07:59 -------
blocker -- это ситуация, когда из-за ошибки в пакете откладывается выпуск
продуктов, в которые входит этот пакет.
В тех продуктах, которые мы выпускаем, spp violation -- это blocker.
------- Comment #5 From 2007-08-29 13:12:14 -------
(In reply to comment #4)
> В тех продуктах, которые мы выпускаем, spp violation -- это blocker.

Можно ссылку на SPP? И ещё хорошо бы узнать чем mkdir/chown/chmod в init-скрипте
могут угрожать безопасности системы?

Спасибо.
------- Comment #6 From 2007-08-29 13:15:38 -------
(In reply to comment #5)

Посмотрел на init скрипт. Интересно каким должен быть фикс? (Правильно ли
понимаю, что все вызовы mkdir/chown/chmod нужно просто перенести в секцию %files
с соответсвующими %attr()?)

------- Comment #7 From 2007-08-29 13:34:40 -------
Sisyphus/doc/alt-packaging/spp.tex "Владельцы каталогов"
------- Comment #8 From 2007-08-30 17:58:09 -------
Вроде как исправлено у меня в git.
------- Comment #9 From 2007-08-30 18:14:18 -------
Я вспомнил зачем мне нужны были mkdir.
/var/run и /var/lock у меня на отдельных машинках это tmpfs.
/var/spool/nginx тоже.

Я считаю blocker'ами тот факт что большинство пакетов у нас не могут работать
без модификации в таких условиях :(

Как бы сделать так чтобы и волки целы, и овцы сыты?
------- Comment #10 From 2007-08-30 18:23:57 -------
Боюсь, до надёжного tmpfs я себе такое не пожелаю всё-таки...
------- Comment #11 From 2007-08-30 18:28:22 -------
А что в нем такого что /var/run и /var/lock держать нельзя?
------- Comment #12 From 2007-08-30 18:34:36 -------
...а если пожелаю -- то пойду вешать FR на service добавить check_paths() в
/etc/init.d/functions :)

Если ты забыл, то на tmpfs при существенной нагрузке на VM (когда он попадает в
своп) теряются файлы.  Для сборки это совсем плохо, но если пропадёт пидфайл и
monit (или apt-get dist-upgrade) накосячит навроде запуска второй пачки
процессов -- боюсь, тоже не фонтан.

Всё-таки это лучше решать на уровне дистрибутива; локально я бы влепил второй
инитскрипт а-ля nginx-dirs, который стартует чуть раньше и озадачивается такими
хаками.  Не в пакет, конечно, а вместе с tmpfs.
------- Comment #13 From 2007-08-30 18:40:20 -------
Знаешь, а твоя мысль мне нравится... Особенно с учетом того, что у нас теперь
работают LSB initscripts. Можно и в дистрибутив набор таких хаков отправить.
------- Comment #14 From 2007-08-30 18:42:55 -------
Ушло в incoming/
Спасибо!
------- Comment #15 From 2007-08-30 21:37:50 -------
PS: 2 sbolshakov: у тебя и поближе есть чего проверить ;-P

$ ls -ld /var/run/avahi-daemon
drwxrwx--- 2 _avahi _avahi 48 Jun 29 15:38 /var/run/avahi-daemon
$ rpm -qf --lastchange /var/run/avahi-daemon
* Fri Jun 29 2007 Sergey V Turchin <zerg at altlinux dot org> 0.6.20-alt2
- reload dbus config instead of restart
------- Comment #16 From 2007-08-30 21:44:02 -------
avahi-daemon это другой пакет, поэтому, пожалуйста, напишите новую багу,
если только в avahi-daemon-0.6.21-alt1 уже не исправлено.