installer/setup could allow for centralized control over most important filesystems; particularly (citing ldv): > nodev на /usr > nosuid,nodev на /var > noexec,nosuid,nodev на /tmp > noexec,nosuid,nodev на /home NB: it is strongly discouraged to make any of these uncontrolled default. Except /usr, probably. --- ---
to maintainer
в TODO
в TODO к новому мантейнеру
не, это FR на _новый_ инсталлер... куда перевесить? :)
повисит тут пока
в долгий ящик
ящик пришёл?
reassigned to proper package
Перевешиваю.
Правильно ли я понимаю, что коль речь о centralized control, то следовало бы реализовать возможность назначения опций монтирования в профилях ?
В чём-то да, только это профили, ортогональные ФСным -- что-то вроде msec, если помнишь. Возможно, опять в долгий ящик -- до появления expert-режима и централизованного гайкозажимателя.
ping
в /vm ничто не препятствует назначению опций монтирования, отличных от default. Жду предложений, если нынешнего поведения недостаточно.
Если хочешь, можешь использовать рекомендации из первого сообщения в болванке серверной разбивки, а вручную -- уже достаточно. Правда, на самом по себе /var "nosuid,nodev" несовместимо с /var/lib/vz. Может иметь смысл для серверного инсталера с ovz по умолчанию делать отдельный /var/lib/vz -- ldv, legion, что скажете? (или забыть и закрыть нафиг, поскольку good enough) А, ещё noexec на там, где $TMPDIR, несовместимо с mc было. :)
Предлагаю такую логику: nosuid: везде, кроме / и /usr nodev: везде кроме /, /var и /home noexec добавлять автоматически, похоже, нереально. Да, и неплохо бы добавить /var/lib/vz в список известных точек монтирования.
Ага по всем пунктам.
прошу пояснить, где эти соглашения предполагается предлагать/форсировать ? - в автоинсталле (--> в профиле) - в ручной разбивке
Форсировать нигде не стоит, предлагать в server все три пункта из комментария Димы -- IMHHO стоит, в ручной разбивке было бы неплохо предлагать, но критичен внятный help. 2 kirill: см. тж. свежий тред в devel@ From: lakostis@ Subject: U: alterator-vm
mike: в авторазбивке оно либо форсируется, либо не выполняется вовсе.
Торможу, поскольку без ручного подтверждения автомат пока не пользовал. Вообще изначальный смысл был скорее в том, чтобы начинающий администратор при использовании ALT Linux сразу получил интересные хинты (не в виде грабель), а потом уже сам про них читал и думал, где/что ещё можно применить. Вот комплект "умеренно закрутить гайки" с повышенной возможностью их заметить и пониженной -- наступить на побочные эффекты: * server nosuid: везде, кроме /, /usr и /home nodev: везде, кроме /, /var и /home noatime: /usr * workstation nodev,noatime: /usr * custom nosuid: /home nodev: /home noatime: /usr
(In reply to comment #20) > Вот комплект "умеренно закрутить гайки" с повышенной возможностью их заметить и > пониженной -- наступить на побочные эффекты: > > * server > nosuid: везде, кроме /, /usr и /home > nodev: везде, кроме /, /var и /home > noatime: /usr > > * workstation > nodev,noatime: /usr > > * custom > nosuid: /home > nodev: /home > noatime: /usr Поддерживаю, хотя таки ставлю noatime ещё и на /var с /home
http://www.freesource.info/wiki/RazbienieDiska немного устарело, но мое мнение по поводу флагов более-менее аргументировано там есть.
> ------- Additional Comment #17 From Sergey Bolshakov 2007-03-14 13:40 ------- > прошу пояснить, где эти соглашения предполагается предлагать/форсировать ? > - в автоинсталле (--> в профиле) > - в ручной разбивке Во всех профилях предполагается форсировать. В диалоге выбора точки монтирования предполагается предлагать. Например, при изменении точки монтирования, когда фокус ввода покидает виджет выбора точки монтирования, устанавливать параметры монтирования сообразно выбранной точке монтирования; ну а пользователь сможет поменять их прежде чем нажмёт OK. Ну и noatime для /usr не повредит, наверное. 2mike: не вижу смысла делать разные правила назначения nosuid и nodev в зависимости от профиля.
В списке уже есть /var/www и /var/ftp с особыми настройками. Есть ещё один популярный сервис, для кэша которого неплохо бы сделать отдельный mountpoint, из-за специфичности работы с диском: squid. ("/var/cache/squid" . "nodev,nosuid,noexec,noatime")
(In reply to comment #21) > Поддерживаю, хотя таки ставлю noatime ещё и на /var с /home Нельзя по умолчанию -- там есть приличные шансы, что на него полагаются (как минимум MUA). А руками уж каждый пусть сам думает. 2 ldv: я вижу -- отчасти как замену отсутствующему регулятору, который подразумевался в самом начале бага (помнишь expert mode и msec?). Если хочешь, то возможность в рассылке или по телефону выдать краткую рекомендацию по снятию проблемы, а не рассказывать на пальцах всю историю.
(In reply to comment #24) > ("/var/cache/squid" . "nodev,nosuid,noexec,noatime") BTW, хороший пример целесообразности reiserfs (и RAID0). squid -z дешёвый ;) (это не совсем пуленепробиваемое решение -- reiserfs3 иногда действительно рассыпается вдребезги, хотя к тому количеству сбоев по питанию ext* обычно тоже уже давно дурно)
done in 0.3-alt8
Ура :-) Долгий ящик сделал своё дело :-)
