38788 2020-08-06 11:43:08 +0300 Цепочка зависимостей, ведущая от freeipa-client к selinux-policy-alt 2021-04-26 04:49:08 +0300 1 1 3 Distributions Branch p9 policycoreutils не указана all Linux CLOSED FIXED P5 blocker --- 38992 1 boyarsh slev aen boyarsh cas darktemplar darktemplaralt iv lav mike rider sem sin qa-p9 oldest_to_newest 191706 0 boyarsh 2020-08-06 11:43:08 +0300 freeipa-client зависит от policycoreutils policycoreutils зависит от /etc/selinux/config /etc/selinux/config предоставляется selinux-policy-alt selinux-policy-alt вытягивет policycoreutils-newrole и ещё кучу всего, что не должно присутствовать в нормальной системе и нормально не работает без дополнительной настройки. Каждая из этих зависимостей логична и не страшна сама по себе, но вместе они дают неприемлемый эффект. Мне кажется наиболее простым и разумным оторвать зависимость policycoreutils от /etc/selinux/config, но надо тестировать -- не сломается ли freeipa-client даже при работе без selinux. 191707 1 iv 2020-08-06 11:55:40 +0300 Есть впечатление, что freeipa-client не нуждается в policycoreutils, если selinux не включен. Это впечатление появилось потому что из всех policycoreutils в freeipa можно нагрепать только restorecon и setsebool, и они не используются если selinux выключен. 191708 2 darktemplaralt 2020-08-06 11:57:54 +0300 Повторю то, что написал в рассылку, но пока что туда не дошло: > Я покопал глубже и мне открылась бездна > > policycoreutils зависит от /etc/selinux/config В Sisyphus уже несколько месяцев как эта зависимость оторвана. Добавлю: для этого достаточно отправить policycoreutils-3.0-alt2 в p9. 191709 3 boyarsh 2020-08-06 12:02:59 +0300 > > policycoreutils зависит от /etc/selinux/config > > В Sisyphus уже несколько месяцев как эта зависимость оторвана. > > Добавлю: для этого достаточно отправить policycoreutils-3.0-alt2 в p9. А.. А.. А почему это полезное изменение не попало в p9? 191710 4 rider 2020-08-06 12:05:37 +0300 надо у freeipa загасить зависимость на policycoreutils (сделать её неявной). После этого проблема будет решена. А в Sisyphus policycoreutils уже не зависит от политики. 191711 5 rider 2020-08-06 12:06:13 +0300 (Ответ для Anton V. Boyarshinov на комментарий #3) > > > policycoreutils зависит от /etc/selinux/config > > > > В Sisyphus уже несколько месяцев как эта зависимость оторвана. > > > > Добавлю: для этого достаточно отправить policycoreutils-3.0-alt2 в p9. > > А.. А.. А почему это полезное изменение не попало в p9? Потому что p9 ещё не готов для приёма нового selinux. Не надо с этим спешить. 191712 6 boyarsh 2020-08-06 12:08:10 +0300 > > > Добавлю: для этого достаточно отправить policycoreutils-3.0-alt2 в p9. > > > > А.. А.. А почему это полезное изменение не попало в p9? > > Потому что p9 ещё не готов для приёма нового selinux. Не надо с этим спешить. Обновление с 3.0-alt1 на 3.0-alt2 не выглядит особенно революционным 191713 7 rider 2020-08-06 12:10:46 +0300 (Ответ для Anton V. Boyarshinov на комментарий #6) > > > > Добавлю: для этого достаточно отправить policycoreutils-3.0-alt2 в p9. > > > > > > А.. А.. А почему это полезное изменение не попало в p9? > > > > Потому что p9 ещё не готов для приёма нового selinux. Не надо с этим спешить. > > Обновление с 3.0-alt1 на 3.0-alt2 не выглядит особенно революционным Да, это выглядит нормальным, но всё равно на мой взгляд зависимость лучше отрывать у freeipa. 191714 8 boyarsh 2020-08-06 12:15:42 +0300 > > Обновление с 3.0-alt1 на 3.0-alt2 не выглядит особенно революционным > > Да, это выглядит нормальным, но всё равно на мой взгляд зависимость лучше > отрывать у freeipa. На мой взгляд, надо сделать и то и другое. Сборка 3.0-alt2 -- быстрое решение (я уже отправил #255935), но в freeipa надо бы тоже оторвать. 191715 9 rider 2020-08-06 12:16:38 +0300 Согласен. Стас, оторви пожалуйста в freeipa. 191716 10 cas 2020-08-06 12:25:52 +0300 255939 BUILDING #1 [locked] p9 policycoreutils.git=3.1-alt1 191717 11 boyarsh 2020-08-06 12:27:27 +0300 (Ответ для Andrey Cherepanov на комментарий #10) > 255939 BUILDING #1 [locked] p9 policycoreutils.git=3.1-alt1 Нет, только не это! См обсуждение выше. 191718 12 cas 2020-08-06 12:30:27 +0300 (Ответ для Anton V. Boyarshinov на комментарий #11) > (Ответ для Andrey Cherepanov на комментарий #10) > > 255939 BUILDING #1 [locked] p9 policycoreutils.git=3.1-alt1 > > Нет, только не это! См обсуждение выше. Мне наша багзилла далеко не все письма присылает. Поэтому обсуждение не видел, прощу прощения. Задание удалил. 191720 13 boyarsh 2020-08-06 14:46:45 +0300 (Ответ для Anton Farygin на комментарий #9) > Согласен. > > Стас, оторви пожалуйста в freeipa. В том числе и в freeipa-server. Он прямо зависит от selinux-policy-alt, что недопустимо. 191721 14 slev 2020-08-06 14:50:11 +0300 Если это так, то покажите, пожалуйста, policy. Мне нужна хорошая аргументация, чтобы это, может быть, рассмотрели/приняли в апстриме. Есть ли какие-то документы, на которые можно ссылаться? 191726 15 rider 2020-08-06 14:57:20 +0300 (Ответ для Anton V. Boyarshinov на комментарий #13) > (Ответ для Anton Farygin на комментарий #9) > > Согласен. > > > > Стас, оторви пожалуйста в freeipa. > > В том числе и в freeipa-server. > > Он прямо зависит от selinux-policy-alt, что недопустимо. А вот тут я, кстати, считаю что установка selinux-policy-alt (и всех его зависимостей) в обычную систему не должна превращать её или какие-то её компоненты в тыкву. Поке не включено selinux в ядре. Это вне контекста freeipa-server. 191727 16 aen 2020-08-06 15:26:12 +0300 Это требования ФСТЭК, не знаю формализованы ли они. Можете уточнить у Игоря Корчагина. Не думаю, что даже имея бумажку от этого регулятора, удастся убедить апстрим, потому что это не технические по сути требования. Но без их выполнения мы не получим сертификат. 191728 17 aen 2020-08-06 15:27:39 +0300 (Ответ для Anton Farygin на комментарий #15) > (Ответ для Anton V. Boyarshinov на комментарий #13) > > (Ответ для Anton Farygin на комментарий #9) > > > Согласен. > > > > > > Стас, оторви пожалуйста в freeipa. > > > > В том числе и в freeipa-server. > > > > Он прямо зависит от selinux-policy-alt, что недопустимо. > > А вот тут я, кстати, считаю что установка selinux-policy-alt (и всех его > зависимостей) в обычную систему не должна превращать её или какие-то её > компоненты в тыкву. > Поке не включено selinux в ядре. > > Это вне контекста freeipa-server. Да, конечно. Но это для несертифицировнных систем. 191729 18 rider 2020-08-06 15:53:14 +0300 (Ответ для AEN на комментарий #17) > (Ответ для Anton Farygin на комментарий #15) > > (Ответ для Anton V. Boyarshinov на комментарий #13) > > > (Ответ для Anton Farygin на комментарий #9) > > > > Согласен. > > > > > > > > Стас, оторви пожалуйста в freeipa. > > > > > > В том числе и в freeipa-server. > > > > > > Он прямо зависит от selinux-policy-alt, что недопустимо. > > > > А вот тут я, кстати, считаю что установка selinux-policy-alt (и всех его > > зависимостей) в обычную систему не должна превращать её или какие-то её > > компоненты в тыкву. > > Поке не включено selinux в ядре. > > > > Это вне контекста freeipa-server. > > Да, конечно. > Но это для несертифицировнных систем. Вообще для любых, т.к. сертификаты тоже бывают разными. В общем есть что чинить, отличный case. 191730 19 boyarsh 2020-08-06 16:18:20 +0300 (Ответ для AEN на комментарий #16) > Это требования ФСТЭК, не знаю формализованы ли они. Можете уточнить у Игоря > Корчагина. > Не думаю, что даже имея бумажку от этого регулятора, удастся убедить > апстрим, потому что это не технические по сути требования. > Но без их выполнения мы не получим сертификат. Я не уверен, в том, что необходимо что-то менять на уровне кода(Ответ для Stanislav Levin на комментарий #14) > Если это так, то покажите, пожалуйста, policy. > > Мне нужна хорошая аргументация, чтобы это, может быть, рассмотрели/приняли в > апстриме. А тут действительно техническая проблема такого уровня, что её нельзя решить, не вмешивая upstream? Требование установленного selinux-policy настолько неопционально, что без него развалится работа freeipa-server на системе без selinux? Вообще говоря, selinux не является обязательной частью linux дистрибутива, не говоря уже о том, что существуют альтернативные реализации мандатного доступа. Понятно, что они могут не поддерживаться freeipa, но неужели freeipa сервер действительно не может жить без установленной policy? 191731 20 boyarsh 2020-08-06 16:21:51 +0300 > А вот тут я, кстати, считаю что установка selinux-policy-alt (и всех его > зависимостей) в обычную систему не должна превращать её или какие-то её > компоненты в тыкву. > Поке не включено selinux в ядре. С этим я в целом согласен. Но, поскольку до этого всё это дело разрабатывалось без оглядки на "обычные системы" по принципу "это странные пакеты для странных систем" это, увы, нет так. И исправить это быстро может оказаться непросто. Хотя исправлять надо, да. Но и тащит совершенно ненужные в данных применениях пакеты -- тоже не надо. 191736 21 mike 2020-08-07 06:24:03 +0300 (Ответ для Anton V. Boyarshinov на комментарий #20) > И исправить это быстро может оказаться непросто. Может, пустой пакет selinux-policy-none Provides: selinux-policy? (но такое резко снизит мотивацию исправить наскоро заткнутое, конечно) 191739 22 boyarsh 2020-08-07 10:43:59 +0300 (Ответ для Michael Shigorin на комментарий #21) > (Ответ для Anton V. Boyarshinov на комментарий #20) > > И исправить это быстро может оказаться непросто. > Может, пустой пакет selinux-policy-none Provides: selinux-policy? > (но такое резко снизит мотивацию исправить наскоро заткнутое, конечно) Вопрос в том, сломается ли freeipa-server, если никакой policy установлено не будет. Если не сломается -- достаточно просто убрать эту зависимость из пакета. А если сломается -- пустой пакет не поможет. 192557 23 iv 2020-09-16 17:07:17 +0300 А всё-таки, нельзя ли оторвать зависимость на policycoreutils от freeipa-client? Если нет, давайте закроем этот баг наверное. 192577 24 slev 2020-09-17 08:41:42 +0300 Посмотрю в начале след недели. Спасибо за напоминание. 192788 25 slev 2020-09-23 17:29:00 +0300 Анализ кода показал, что зависимость как на policycoreutils, так и на selinux-policy-alt _опциональна_. Тесты рапортуют, что при их отрывании ломаются только сами тесты (неверные ожидания, поправлено). В случае успеха CI новая версия FreeIPA + ALT-специфичные изменения будут отправлены в sisyphus. 192914 26 repository-robot 2020-09-30 12:26:21 +0300 freeipa-4.8.9-alt1 -> sisyphus: Fri Aug 21 2020 Stanislav Levin <slev@altlinux> 4.8.9-alt1 - 4.8.8 -> 4.8.9. - Made SELinux optional (closes: #38788). 192915 27 aen 2020-09-30 12:39:53 +0300 Спасибо!