Re: ZFS, философское
On 08/07/17 18:16, Artem Chuprina wrote: > - Выделяет из rpool/var rpool/var/tmp, rpool/var/log, rpool/var/spool, > rpool/var/cache. Последнему отключает автоматические снапшоты, что > логично. Не вполне понятно, забыл он отключить их спулу, или намеренно не > отключил. К спулу в гораздо большей степени, чем к кэшу, относится "это из > бэкапа/снапшота не восстанавливают". Если восстановление кэша хотя бы > безвредно, то спула — вредно. С занудной кочки зрения, снапшоты могут > оказаться полезны для разбирательства, фиг ли письмо доставлено через две > недели, но этого проще превентивно добиться тупо анализом возраста файлов в > спуле. Я у себя спулу автоснапшоты тоже выключил. Для rpool/var/tmp включает Для меня важно то, что в спуле находятся юзерские кронтабы и at-jobs.
ZFS, философское
Я тут в процессе установки stretch в позу root on ZFS произвел некоторое переосмысление привычек управления файловой системой, и хочу поделиться. Если кто-нибудь напишет что-нибудь умное в ответ, как концептуальное, так и практическое, я как минимум с благодарностью прочитаю, а если будет что обсудить, то и обсужу. Извините, многабукф. В качестве материала были скрипт Hajo Noerenberg https://github.com/hn/debian-stretch-zfs-root и вики-статья Richard Laager https://github.com/zfsonlinux/zfs/wiki/Debian-Jessie-Root-on-ZFS Я так понимаю, статья первична, она с тех пор правилась неоднократно. Работа Нёренберга ценна в первую очередь тем, что некоторые технические, но важные моменты из вики-статьи там доведены до работающего кода. Или не работающего, если автору не свезло его протестировать :), я ему push request отправил. Некоторые из них действительно надо скриптовать, потому что шансов ошибиться там немало. Однако, в плане выделения файловых систем он, на мой взгляд, пошел по пути простому, но неправильному. Лаагер, создавая файловые системы в пуле, явно говорит: "я стараюсь отделить систему от пользовательских данных, чтобы, если потребовалось после неудачного апгрейда откатывать /, не откатился заодно /var/log, где могут быть логи неудач". Да, /var/log он рассматривает как пользовательские данные. И вот тут я словил осознание. В ZFS комбинация дешевых снапшотов и отсутствия неизбежно зарезервированного места для FS (недоступного другим FS) дала больше, чем каждое из них по отдельности. По отдельности второе тривиально (вообще не делить FS), а первое есть, например, в LVM. Но вместе они дают возможность плодить много файловых подсистем каждая со своей политикой резервирования и восстановления. И сразу начинаешь иначе оценивать, что с чем стоит объединять, а что нет. Добавляя к философии практику, он - При создании пула dataset'у пула прописывает canmount=off mountpoint=/. Штатное употребление canmount=off, очень удобно для наследования точек монтирования у подсистем. Нёренберг в скрипте не использует этого, а зря. Отмечу как важный момент. - Делает по образцу и для возможной будущей совместимости с утилитами исходного соляриса контейнер rpool/ROOT (mountpoint=none, кажется) для корневых FS и внутри него уже создает rpool/ROOT/debian с mountpoint=/ и canmount=noauto — типа, монтирует его initrd. Мне canmount=noauto в этом месте не понравилось — если придется пул импортировать со стороны, придется цеплять его в три команды, а не в одну, и это если не забыть сразу импортировать с -N. С другой стороны, это пока у нас там один рут, а остальные — снапшоты. Как я подозреваю, в исходном солярисе их реально может быть несколько. У нас потенциально тоже ничто не мешает, и даже иметь их от разных дистрибутивов, а при некоторой аккуратности и разных ОС. Тогда noauto станет нужным. - Делает rpool/var немонтируемым (canmount=off) dataset'ом с exec=off. Т.е. поддиректории /var сами по себе расположены в rpool/ROOT/debian, кроме явно созданных датасетов. Тут с точки зрения администрирования интересно exec=off, которое потом отдельно оверрайдится для rpool/var/tmp, а остальные датасеты наследуют. Хотелось бы понять, есть ли в этом смысл с учетом того, что изрядная часть /var расположена в корневом датасете, где exec вполне себе yes. И для /var/lib/dpkg/info, например, он нужен. А если идти дальше, то, например, LXC формирует образы систем тоже под /var/lib. Понятно, что для них отдельные датасеты, но в них, опять, exec надо. Тут вот нужен бы некий практический опыт на тему того, что еще у нас живет под /var, и нужно ли ему exec. - Выделяет из rpool/var rpool/var/tmp, rpool/var/log, rpool/var/spool, rpool/var/cache. Последнему отключает автоматические снапшоты, что логично. Не вполне понятно, забыл он отключить их спулу, или намеренно не отключил. К спулу в гораздо большей степени, чем к кэшу, относится "это из бэкапа/снапшота не восстанавливают". Если восстановление кэша хотя бы безвредно, то спула — вредно. С занудной кочки зрения, снапшоты могут оказаться полезны для разбирательства, фиг ли письмо доставлено через две недели, но этого проще превентивно добиться тупо анализом возраста файлов в спуле. Я у себя спулу автоснапшоты тоже выключил. Для rpool/var/tmp включает exec=yes, оно без этого не живет. /tmp, к сожалению, тоже. Лаагер /tmp не выделяет, Нёренберг выделяет, и я у себя тоже выделил. setuid у Лаагера, кажется, не отключается. Нёренберг отключает для rpool/var/tmp, но почему-то не для tmp, если я правильно помню. Я для обеих tmp отключил — там exec включен и world-writable. - Говорит о выделении таких мест, как /var/lib/postgresql, если он у кого есть (а где-то мне попадалось выделение еще и отдельного датасета под его xlog, там типа другие настройки), /var/games, если у кого стоят игры, /var/lib/nfs, у кого используется NFS, для локов, и т.п. Короче, о художественном выпиливании лобзиком по /var и
[DONE] wml://{security/2017/dsa-3927.wml}
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2017/dsa-3927.wml2017-08-07 10:31:48.0 +0500 +++ russian/security/2017/dsa-3927.wml 2017-08-07 17:55:56.444971068 +0500 @@ -1,86 +1,87 @@ - -security update +#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov" +обновление безопаÑноÑÑи - -Several vulnerabilities have been discovered in the Linux kernel that - -may lead to a privilege escalation, denial of service or information - -leaks. +Ð ÑдÑе Linux бÑло обнаÑÑжено неÑколÑко ÑÑзвимоÑÑей, коÑоÑÑе +могÑÑ Ð¿ÑиводиÑÑ Ðº повÑÑÐµÐ½Ð¸Ñ Ð¿Ñивилегий, оÑÐºÐ°Ð·Ñ Ð² обÑлÑживании или ÑÑеÑкам +инÑоÑмаÑии. https://security-tracker.debian.org/tracker/CVE-2017-7346;>CVE-2017-7346 - -Li Qiang discovered that the DRM driver for VMware virtual GPUs does - -not properly check user-controlled values in the - -vmw_surface_define_ioctl() functions for upper limits. A local user - -can take advantage of this flaw to cause a denial of service. +Ðи ЦÑн обнаÑÑжил, ÑÑо дÑÐ°Ð¹Ð²ÐµÑ DRM Ð´Ð»Ñ Ð²Ð¸ÑÑÑалÑного видеоÑипа VMware +непÑавилÑно вÑполнÑÐµÑ Ð¿ÑовеÑÐºÑ Ð¿Ð¾Ð»ÑзоваÑелÑÑÐºÐ¸Ñ Ð·Ð½Ð°Ñений в ÑÑнÑиÑÑ +vmw_surface_define_ioctl() на пÑÐµÐ´Ð¼ÐµÑ Ð¿ÑевÑÑÐµÐ½Ð¸Ñ Ð¾Ð³ÑаниÑений. ÐокалÑнÑй полÑзоваÑÐµÐ»Ñ +Ð¼Ð¾Ð¶ÐµÑ Ð¸ÑполÑзоваÑÑ ÑÑÑ ÑÑзвимоÑÑÑ Ð´Ð»Ñ Ð²Ñзова оÑказа в обÑлÑживании. https://security-tracker.debian.org/tracker/CVE-2017-7482;>CVE-2017-7482 - -Shi Lei discovered that RxRPC Kerberos 5 ticket handling code does - -not properly verify metadata, leading to information disclosure, - -denial of service or potentially execution of arbitrary code. +Ши ÐÑй обнаÑÑжил, ÑÑо код ÑабоÑÑ Ñ Ð±Ð¸Ð»ÐµÑами RxRPC Kerberos 5 непÑавилÑно +вÑполнÑÐµÑ Ð¿ÑовеÑÐºÑ Ð¼ÐµÑаданнÑÑ , ÑÑо пÑÐ¸Ð²Ð¾Ð´Ð¸Ñ Ðº ÑаÑкÑÑÑÐ¸Ñ Ð¸Ð½ÑоÑмаÑии, +оÑÐºÐ°Ð·Ñ Ð² обÑлÑживании или поÑенÑиалÑÐ½Ð¾Ð¼Ñ Ð²ÑÐ¿Ð¾Ð»Ð½ÐµÐ½Ð¸Ñ Ð¿ÑоизволÑного кода. https://security-tracker.debian.org/tracker/CVE-2017-7533;>CVE-2017-7533 - -Fan Wu and Shixiong Zhao discovered a race condition between inotify - -events and VFS rename operations allowing an unprivileged local - -attacker to cause a denial of service or escalate privileges. +Фан ÐÑ Ð¸ ШиÑÑн Чжао обнаÑÑжили ÑоÑÑоÑние гонки Ð¼ÐµÐ¶Ð´Ñ ÑобÑÑиÑми inotify +и опеÑаÑиÑми пеÑÐµÐ¸Ð¼ÐµÐ½Ð¾Ð²Ð°Ð½Ð¸Ñ VFS, коÑоÑое позволÑÐµÑ Ð½ÐµÐ¿ÑивилегиÑÐ¾Ð²Ð°Ð½Ð½Ð¾Ð¼Ñ +локалÑÐ½Ð¾Ð¼Ñ Ð·Ð»Ð¾ÑмÑÑÐ»ÐµÐ½Ð½Ð¸ÐºÑ Ð²ÑзÑваÑÑ Ð¾Ñказ в обÑлÑживании или повÑÑение пÑивилегий. https://security-tracker.debian.org/tracker/CVE-2017-7541;>CVE-2017-7541 - -A buffer overflow flaw in the Broadcom IEEE802.11n PCIe SoftMAC WLAN - -driver could allow a local user to cause kernel memory corruption, - -leading to a denial of service or potentially privilege escalation. +РдÑайвеÑе Broadcom IEEE802.11n PCIe SoftMAC WLAN бÑло обнаÑÑжено пеÑеполнение +бÑÑеÑа, позволÑÑÑее локалÑÐ½Ð¾Ð¼Ñ Ð¿Ð¾Ð»ÑзоваÑÐµÐ»Ñ Ð²ÑзÑваÑÑ Ð¿Ð¾Ð²Ñеждение ÑодеÑжимого памÑÑи +ÑдÑа, ÑÑо пÑÐ¸Ð²Ð¾Ð´Ð¸Ñ Ðº оÑÐºÐ°Ð·Ñ Ð² обÑлÑживании или поÑенÑиалÑÐ½Ð¾Ð¼Ñ Ð¿Ð¾Ð²ÑÑÐµÐ½Ð¸Ñ Ð¿Ñивилегий. https://security-tracker.debian.org/tracker/CVE-2017-7542;>CVE-2017-7542 - -An integer overflow vulnerability in the ip6_find_1stfragopt() - -function was found allowing a local attacker with privileges to open - -raw sockets to cause a denial of service. +Ð ÑÑнкÑии ip6_find_1stfragopt() бÑло обнаÑÑжено пеÑеполнение ÑелÑÑ ÑиÑел, +позволÑÑÑее локалÑÐ½Ð¾Ð¼Ñ Ð·Ð»Ð¾ÑмÑÑленникÑ, имеÑÑÐµÐ¼Ñ Ð¿Ñивилегии на оÑкÑÑÑие ÑÑÑÑÑ +ÑокеÑов, вÑзÑваÑÑ Ð¾Ñказ в обÑлÑживании. https://security-tracker.debian.org/tracker/CVE-2017-9605;>CVE-2017-9605 - -Murray McAllister discovered that the DRM driver for VMware virtual - -GPUs does not properly initialize memory, potentially allowing a - -local attacker to obtain sensitive information from uninitialized - -kernel memory via a crafted ioctl call. +ÐÑÑÑей ÐакалиÑÑÐ²ÐµÑ Ð¾Ð±Ð½Ð°ÑÑжил, ÑÑо дÑÐ°Ð¹Ð²ÐµÑ DRM Ð´Ð»Ñ Ð²Ð¸ÑÑÑалÑного видеоÑипа VMware +