Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Witka
Mam podmontntowane /tmp z noexec z wiadomych względów. No i teraz gdy instaluje upgrade aptitudem, to on mi próbuje tam wykonywać coś w /tmp
# aptitude upgrade W: The "upgrade" command is deprecated; use "safe-upgrade" instead. Reading package lists... Done Building dependency tree Reading state information... Done Reading extended state information Initializing package states... Done Reading task descriptions... Done The following packages will be upgraded: libssl-dev libssl0.9.8 openssl 3 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 4260kB of archives. After unpacking 0B will be used. Do you want to continue? [Y/n/?] y Writing extended state information... Done Get:1 http://security.debian.org lenny/updates/main libssl-dev 0.9.8g-15+lenny1 [2242kB] Get:2 http://security.debian.org lenny/updates/main libssl0.9.8 0.9.8g-15+lenny1 [975kB] Get:3 http://security.debian.org lenny/updates/main openssl 0.9.8g-15+lenny1 [1043kB] Fetched 4260kB in 0s (5196kB/s) Reading changelogs... Done Preconfiguring packages ... Can't exec "/tmp/libssl0.9.8.config.180661": Permission denied at /usr/share/perl/5.10/IPC/Open3.pm line 168. open2: exec of /tmp/libssl0.9.8.config.180661 configure 0.9.8g-15 failed at /usr/share/perl5/Debconf/ConfModule.pm line 59 libssl0.9.8 failed to preconfigure, with exit status 255 (Reading database ... 54262 files and directories currently installed.) Preparing to replace libssl-dev 0.9.8g-15 (using .../libssl-dev_0.9.8g-15+lenny1_amd64.deb) ... Unpacking replacement libssl-dev ... Preparing to replace libssl0.9.8 0.9.8g-15 (using .../libssl0.9.8_0.9.8g-15+lenny1_amd64.deb) ... Unpacking replacement libssl0.9.8 ... Preparing to replace openssl 0.9.8g-15 (using .../openssl_0.9.8g-15+lenny1_amd64.deb) ... Unpacking replacement openssl ... Processing triggers for man-db ... Setting up libssl0.9.8 (0.9.8g-15+lenny1) ... Setting up libssl-dev (0.9.8g-15+lenny1) ... Setting up openssl (0.9.8g-15+lenny1) ... Reading package lists... Done Building dependency tree Reading state information... Done Reading extended state information Initializing package states... Done Reading task descriptions... Done Current status: 0 updates [-3].
Nie podoba mi się to, powinna być reguła sprawdzająca czy /tmp ma noexec, i jak ma to instalować w /var/tmp. albo tworzc sobie tymczasowo /tmp-blah i tam cos wykonywac. Nie wiem jak wy sobie z tym radzicie, bo każdorazowe przemontowanie /tmp przezd upgradem raczej średnio mi się widzi.
Ostatnio edytowany przez Grzeslaw (2009-04-08 00:36:30)
Offline
Poczytaj rozdział 4.9.1 http://www.debian.org/doc/manuals/securing-debian-h … .en.html#s4.9 możesz spróbować zrobić z /tmp tak jak w rozdziale 4.9.2 tyle, że w Pre-Invoke przemontowywać z exec a Post-Invoke z noexec. Powodzenia.
Offline
Zgadza się. Dzienki!
Rozwiazanie: Jesli partycja /tmp jest noexec, nosuid. Dodajemy do /etc/apt/apt.conf
DPkg::Pre-Invoke {"mount -o remount,exec /tmp";}; DPkg::Post-Invoke {"mount -o remount /tmp";};
Offline
apt-get(w każdym razie aptitude) respektuje zmienną środowiskową TMPDIR. Wystarczy że przed uruchomieniem ustawisz:
export TMPDIR="/var/tmp"
I po bólu (przed chwilą sprawdziłem)
Ostatnio edytowany przez urug (2009-04-08 00:53:01)
Offline
Strony: 1