Re: ZFS, философское

2017-08-07 Пенетрантность Alex Kicelew 
On 08/07/17 18:16, Artem Chuprina wrote:
> - Выделяет из rpool/var rpool/var/tmp, rpool/var/log, rpool/var/spool,
>   rpool/var/cache. Последнему отключает автоматические снапшоты, что
>   логично. Не вполне понятно, забыл он отключить их спулу, или намеренно не
>   отключил. К спулу в гораздо большей степени, чем к кэшу, относится "это из
>   бэкапа/снапшота не восстанавливают". Если восстановление кэша хотя бы
>   безвредно, то спула — вредно. С занудной кочки зрения, снапшоты могут
>   оказаться полезны для разбирательства, фиг ли письмо доставлено через две
>   недели, но этого проще превентивно добиться тупо анализом возраста файлов в
>   спуле. Я у себя спулу автоснапшоты тоже выключил. Для rpool/var/tmp включает

Для меня важно то, что в спуле находятся юзерские кронтабы и at-jobs.

ZFS, философское

2017-08-07 Пенетрантность Artem Chuprina 
Я тут в процессе установки stretch в позу root on ZFS произвел некоторое 
переосмысление привычек управления файловой системой, и хочу поделиться. Если 
кто-нибудь напишет что-нибудь умное в ответ, как концептуальное, так и 
практическое, я как минимум с благодарностью прочитаю, а если будет что 
обсудить, то и обсужу. Извините, многабукф.

В качестве материала были скрипт Hajo Noerenberg 
https://github.com/hn/debian-stretch-zfs-root и вики-статья Richard Laager 
https://github.com/zfsonlinux/zfs/wiki/Debian-Jessie-Root-on-ZFS

Я так понимаю, статья первична, она с тех пор правилась неоднократно. Работа 
Нёренберга ценна в первую очередь тем, что некоторые технические, но важные 
моменты из вики-статьи там доведены до работающего кода. Или не работающего, 
если автору не свезло его протестировать :), я ему push request отправил. 
Некоторые из них действительно надо скриптовать, потому что шансов ошибиться 
там немало. Однако, в плане выделения файловых систем он, на мой взгляд, пошел 
по пути простому, но неправильному.

Лаагер, создавая файловые системы в пуле, явно говорит: "я стараюсь отделить 
систему от пользовательских данных, чтобы, если потребовалось после неудачного 
апгрейда откатывать /, не откатился заодно /var/log, где могут быть логи 
неудач". Да, /var/log он рассматривает как пользовательские данные.

И вот тут я словил осознание. В ZFS комбинация дешевых снапшотов и отсутствия 
неизбежно зарезервированного места для FS (недоступного другим FS) дала больше, 
чем каждое из них по отдельности. По отдельности второе тривиально (вообще не 
делить FS), а первое есть, например, в LVM. Но вместе они дают возможность 
плодить много файловых подсистем каждая со своей политикой резервирования и 
восстановления. И сразу начинаешь иначе оценивать, что с чем стоит объединять, 
а что нет.

Добавляя к философии практику, он

- При создании пула dataset'у пула прописывает canmount=off
  mountpoint=/. Штатное употребление canmount=off, очень удобно для
  наследования точек монтирования у подсистем. Нёренберг в скрипте не
  использует этого, а зря. Отмечу как важный момент.

- Делает по образцу и для возможной будущей совместимости с утилитами
  исходного соляриса контейнер rpool/ROOT (mountpoint=none, кажется) для
  корневых FS и внутри него уже создает rpool/ROOT/debian с mountpoint=/ и
  canmount=noauto — типа, монтирует его initrd. Мне canmount=noauto в этом
  месте не понравилось — если придется пул импортировать со стороны, придется
  цеплять его в три команды, а не в одну, и это если не забыть сразу
  импортировать с -N. С другой стороны, это пока у нас там один рут, а
  остальные — снапшоты. Как я подозреваю, в исходном солярисе их реально может
  быть несколько. У нас потенциально тоже ничто не мешает, и даже иметь их от
  разных дистрибутивов, а при некоторой аккуратности и разных ОС. Тогда noauto
  станет нужным.

- Делает rpool/var немонтируемым (canmount=off) dataset'ом с
  exec=off. Т.е. поддиректории /var сами по себе расположены в
  rpool/ROOT/debian, кроме явно созданных датасетов. Тут с точки зрения
  администрирования интересно exec=off, которое потом отдельно оверрайдится
  для rpool/var/tmp, а остальные датасеты наследуют. Хотелось бы понять, есть
  ли в этом смысл с учетом того, что изрядная часть /var расположена в
  корневом датасете, где exec вполне себе yes. И для /var/lib/dpkg/info,
  например, он нужен. А если идти дальше, то, например, LXC формирует образы
  систем тоже под /var/lib. Понятно, что для них отдельные датасеты, но в них,
  опять, exec надо. Тут вот нужен бы некий практический опыт на тему того, что
  еще у нас живет под /var, и нужно ли ему exec.

- Выделяет из rpool/var rpool/var/tmp, rpool/var/log, rpool/var/spool,
  rpool/var/cache. Последнему отключает автоматические снапшоты, что
  логично. Не вполне понятно, забыл он отключить их спулу, или намеренно не
  отключил. К спулу в гораздо большей степени, чем к кэшу, относится "это из
  бэкапа/снапшота не восстанавливают". Если восстановление кэша хотя бы
  безвредно, то спула — вредно. С занудной кочки зрения, снапшоты могут
  оказаться полезны для разбирательства, фиг ли письмо доставлено через две
  недели, но этого проще превентивно добиться тупо анализом возраста файлов в
  спуле. Я у себя спулу автоснапшоты тоже выключил. Для rpool/var/tmp включает
  exec=yes, оно без этого не живет. /tmp, к сожалению, тоже. Лаагер /tmp не
  выделяет, Нёренберг выделяет, и я у себя тоже выделил. setuid у Лаагера,
  кажется, не отключается. Нёренберг отключает для rpool/var/tmp, но почему-то
  не для tmp, если я правильно помню. Я для обеих tmp отключил — там exec
  включен и world-writable.

- Говорит о выделении таких мест, как /var/lib/postgresql, если он у кого есть
  (а где-то мне попадалось выделение еще и отдельного датасета под его xlog,
  там типа другие настройки), /var/games, если у кого стоят игры,
  /var/lib/nfs, у кого используется NFS, для локов, и т.п. Короче, о
  художественном выпиливании лобзиком по /var и

[DONE] wml://{security/2017/dsa-3927.wml}

2017-08-07 Пенетрантность Lev Lamberov 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

- --- english/security/2017/dsa-3927.wml2017-08-07 10:31:48.0 
+0500
+++ russian/security/2017/dsa-3927.wml  2017-08-07 17:55:56.444971068 +0500
@@ -1,86 +1,87 @@
- -security update
+#use wml::debian::translation-check translation="1.1" maintainer="Lev Lamberov"
+обновление 
безопасности
 
- -Several vulnerabilities have been discovered in the Linux kernel that
- -may lead to a privilege escalation, denial of service or information
- -leaks.
+В ядре Linux было обнаружено несколько 
уязвимостей, которые
+могут приводить к повышению привилегий, 
отказу в обслуживании или утечкам
+информации.
 
 
 
 https://security-tracker.debian.org/tracker/CVE-2017-7346;>CVE-2017-7346
 
- -Li Qiang discovered that the DRM driver for VMware virtual GPUs does
- -not properly check user-controlled values in the
- -vmw_surface_define_ioctl() functions for upper limits. A local user
- -can take advantage of this flaw to cause a denial of service.
+Ли Цян обнаружил, что драйвер DRM для 
виртуального видеочипа VMware
+неправильно выполняет проверку 
пользовательских значений в фунциях
+vmw_surface_define_ioctl() на предмет превышения 
ограничений. Локальный пользователь
+может использовать эту уязвимость для 
вызова отказа в обслуживании.
 
 https://security-tracker.debian.org/tracker/CVE-2017-7482;>CVE-2017-7482
 
- -Shi Lei discovered that RxRPC Kerberos 5 ticket handling code does
- -not properly verify metadata, leading to information disclosure,
- -denial of service or potentially execution of arbitrary code.
+Ши Лэй обнаружил, что код работы с 
билетами RxRPC Kerberos 5 неправильно
+выполняет проверку метаданных, что 
приводит к раскрытию информации,
+отказу в обслуживании или 
потенциальному выполнению произвольного 
кода.
 
 https://security-tracker.debian.org/tracker/CVE-2017-7533;>CVE-2017-7533
 
- -Fan Wu and Shixiong Zhao discovered a race condition between inotify
- -events and VFS rename operations allowing an unprivileged local
- -attacker to cause a denial of service or escalate privileges.
+Фан Ву и Шисюн Чжао обнаружили 
состояние гонки между событиями inotify
+и операциями переименования VFS, которое 
позволяет непривилегированному
+локальному злоумышленнику вызывать 
отказ в обслуживании или повышение 
привилегий.
 
 https://security-tracker.debian.org/tracker/CVE-2017-7541;>CVE-2017-7541
 
- -A buffer overflow flaw in the Broadcom IEEE802.11n PCIe SoftMAC WLAN
- -driver could allow a local user to cause kernel memory corruption,
- -leading to a denial of service or potentially privilege 
escalation.
+В драйвере Broadcom IEEE802.11n PCIe SoftMAC WLAN было 
обнаружено переполнение
+буфера, позволяющее локальному 
пользователю вызывать повреждение 
содержимого памяти
+ядра, что приводит к отказу в 
обслуживании или потенциальному повышению 
привилегий.
 
 https://security-tracker.debian.org/tracker/CVE-2017-7542;>CVE-2017-7542
 
- -An integer overflow vulnerability in the ip6_find_1stfragopt()
- -function was found allowing a local attacker with privileges to open
- -raw sockets to cause a denial of service.
+В функции ip6_find_1stfragopt() было обнаружено 
переполнение целых чисел,
+позволяющее локальному злоумышленнику, 
имеющему привилегии на открытие сырых
+сокетов, вызывать отказ в 
обслуживании.
 
 https://security-tracker.debian.org/tracker/CVE-2017-9605;>CVE-2017-9605
 
- -Murray McAllister discovered that the DRM driver for VMware virtual
- -GPUs does not properly initialize memory, potentially allowing a
- -local attacker to obtain sensitive information from uninitialized
- -kernel memory via a crafted ioctl call.
+Мюррей Макалиствер обнаружил, что 
драйвер DRM для виртуального видеочипа VMware
+