Bug 22184 - Рекомендован var с noexec
: Рекомендован var с noexec
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/docs-hd_planning)
: unstable
: all Linux
: P3 major
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2009-11-05 17:48 by
Modified: 2010-01-29 20:38 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2009-11-05 17:48:43
Среди советов по "Дополнительно выделяемым разделам" есть рекомендация
использовать noexec для /var. Если последовать этому совету, то в резолвер в
/var/resolv окажется неработоспособным и, например, ping не сможет разрешать
доменные имена в IP-адреса (см. напр.
http://lists.altlinux.org/pipermail/sisyphus/2006-August/304489.html и
продолжение обсуждения под названием "/var noexec => chrooted troubles").

NB: ошибка попала в различные комплекты документации, в том числе в руководство
по ПСПО ( http://docs.altlinux.org/current/school_book/block.pdf ); похожий
текст на a.o wiki я поправил.
------- Comment #1 From 2010-01-28 11:50:22 -------
Из обсуждения я так и не понял:
noexec на /var -- это хорошо/плохо, неработоспобосдность ping -- это его
проблема или проблема /var.

Прошу помощи зала, таки действительно убирать рекомендацию noexec на /var ?
------- Comment #2 From 2010-01-28 12:29:10 -------
noexec на /var лучше не ставить - в /var/www могут быть cgi скрипты, которым
требуется exec.

Помимо этого, как сказал Сергей Власов - noexec блокирует заодно и mmap с
флагом PROT_EXEC, поэтому и не работают резолверы в чрутах.

Вообще, можно посмотреть что есть в /var executable bit в локальной системе:
find /var -type f -executable

Вердикт, по моему, понятный - из документации убрать, пока не изменится
система.
------- Comment #3 From 2010-01-29 10:52:15 -------
docs-hd_planning-0.1.5-alt1 -> sisyphus:

* Fri Jan 29 2010 Artem Zolochevskiy <azol@altlinux> 0.1.5-alt1

- remove noexec recommendation for /var (Closes #22184)