Propozycja FAQ dla PLD-devel
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Czw, 3 Wrz 1998, 23:44:21 CEST
On Thu, 3 Sep 1998, Marcin Korzonek wrote:
> Hej,
> To co proponuję poniżej to niezupełnie FAQ, ale raczej zbiór zaleceń dla
> nowych twórców PLD-devel. Lista powstała po czytaniu pld-list i
> prywatnych rozmowach z częścią developerów. Wszelkie poprawki mile
> widziane -- dokument będzie wkrótce dostępny na WWW.
> Część informacji może mieć zastosowanie także dla PLD-stable.
> #################################################################
>
> Informacje przydatne dla osób tworzących dystrybucje PLD-devel.
>
> [Atrybuty plików]
>
> Binaria powinny mieć atrybuty:
> - 711 gdy jest to możliwe,
To nie ma sensu dla każdego programu. Każdy może sobuie wywołać gdb i
ściągnąć zawartość pamięci. Co innego gdy program jest suid/sgid exec.
Wprowadzenie powyższego w życie spowoduje koniecznoćś wykonanywania
dodatkowego przebiegu operacji na każdym pakiecie, a nic tak naprawdę nie
wnosi jeśli chodzi security.
> - 700 dla programów niepotrzebnych/niezalecanych do uruchamiania przez
> użytkownika (np. chfn, chsh, demony systemowe itp.)
Też nie. W przypadku powyższych od ograniczania dostępu jest PAM.
Stosujemy to z powodzeniem na rudym.
> Atrybuty suid i sgid stosować należy WYŁĄCZNIE w ostateczności. Nawet
> wtedy należy się zastanowić, czy na pewno atrybut jest konieczny.
>
> Jeżeli programowi potrzebny jest suid, można utworzyć osobną
> grupę i nadać prawo do wykonania programu wyłącznie tej grupie
> -- tak należy postępować np. z programami ping/traceroute.
>
> Pliki i katalogi manuali powinny mieć ustawioną grupę man.
>
>
> [Budowanie pakietów]
>
> Pakiety należy budować z konta użytkownika (a nie root-a). W tym celu
> należy utworzyć w swoim katalogu plik .rpmrc (można na początek
> skopiować z /usr/lib/rpmrc) i odpowiednio ustawić pola:
> Topdir i Packager.
Może być jako pierwsza wersja.
> Każdy pakiet powinien mieć oznaczenie wersji zakończone literą ,,d'':
> np. fileutils-3.16-14d.i386.rpm
Tutaj też już mówiłem, że to trzeba wykonać inaczej i Wojtek jako
pakujący devel musi przegrzebać swojego ~/.rpmrc. Inaczej będziemy mieli
kupę niepotrzebnych podbić rewizji, które to operacje dobrze by było
ograniczać do minimum. Zaznaczam, że nadal nie mamy ściśle sprecyzowanych
powiązń między stable i devel z powodów braku praktyki w takich
operacjach. Jeżeli ktokolwiek ma pomysły (nawet głupie) w tej materii to
niech wysili palce :)
To trzeba dopracować żeby już teraz starać się ograniczać potencjalne
nieporozumienia jakie mogą wystąpić.
> [Budowa speca]
>
> W specu powinny zostać jawnie zdefiniowane atrybuty plików wchodzących
> w skład pakietu (za pomocą znacznika %attr). Trzeba też pamiętać
> o zaznaczaniu plików konfiguracyjnych i logów (%config %ghost)
> i braku konieczności weryfikacji (%verify).
> Dokładniejsze informacje można znaleźć w biuletynach Tomasza Kłoczko
> (http://????/????).
No niestety .. będę musiał coś takiego sprokurować :l
Hmm ale to nie jest takie złe gdyż przy okazji na cenzorze bedzie się
testował nowy indianin.
kloczek
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl