3909 2004-03-30 20:22:49 +0400 [FR][5.0] профили безопасности 2015-05-23 15:52:34 +0300 1 1 4 Development Sisyphus control unstable all Linux CLOSED WONTFIX P2 enhancement --- 7240 3459 5087 7371 1 rider ldv eostapets inger ldv mike placeholder sr vvk qa-sisyphus oldest_to_newest 12604 0 rider 2004-03-30 20:22:49 +0400 Было бы неплохо, что бы control'у можно было сказать для всех вновь добавляемых на контроль программ по умолчанию ставить определенный уровень доступности (например самый суровый). Это позволило бы меньше беспокоится о том, какие уровни доступа установлены в пакетах по умолчанию. 13814 1 rider 2004-05-14 19:41:41 +0400 IMHO нужно сделать к следующему дистрибутиву. Сегодня опять столкнулся с отсуствием уровня control у одного из пакетов. 14878 2 ldv 2004-06-08 13:24:13 +0400 override'ить default'ы, прописанные в пакетах, опасно. Уровни безопасности лучше реализовать отдельно. 14908 3 rider 2004-06-09 10:47:56 +0400 Речь не о том, что уровни безопасности есть в пакетах. Я говорю про те пакеты, после становки которых уровни безопасности отсуствуют. При чем я не понимаю чья это ошибка: пакета или control. Например: # control|grep unknown cifsmount unknown (public wheelonly restricted) 14918 4 ldv 2004-06-09 13:39:27 +0400 Баг с cifsmount - это грубая ошибка в пакете samba-client. 14923 5 rider 2004-06-09 14:35:52 +0400 перевешиваю на samba-client. Все вопросы к control сняты. 14925 6 ldv 2004-06-09 14:46:55 +0400 Я имел в виду т.н. профили безопасности. Ну да ладно, с профилями как-нибудь потом. 25649 7 rider 2005-06-14 12:09:37 +0400 перевешиваю на control 25698 8 mike 2005-06-14 14:51:25 +0400 Да, к Master 3 было бы неплохо большой краник для дефолтов control иметь... 25798 9 ldv 2005-06-15 13:29:41 +0400 Может, лучше реализовать это отдельным пакетом? 25800 10 mike 2005-06-15 13:36:39 +0400 Я вчера не придумал сходу, как это вообще реализовать %) То ли control надо перечитать, то ли -- "да уж как тебе удобней" сказать. :) 26610 11 mike 2005-06-29 15:08:43 +0400 depends несколько условный, но чтоб не забыть... 26640 12 zerg 2005-06-29 20:47:52 +0400 Дело в том, что control охватывает не только безопасность, но и что-угодно. Т.е. пока нельзя сделать вместе сontrol something secure и сontrol something workstation Надо, чтоб его архитектура требовала реализации в конкретном facilyty понятий о безопасности и функциональности по некому стандарту. Т.к. мы отказались от таких понятий, то пока нифига не будет. 26645 13 mike 2005-06-29 22:08:39 +0400 (In reply to comment #12) > Т.к. мы отказались от таких понятий, то пока нифига не будет. Отказались -- "пока"? Тогда см. "[3.1]". Если не пока, то дистрибутиву крышка. :) (ну или подумать и сделать как надо, и как раз _здесь_ мало где сделано хорошо, но практически везде -- хоть как-то) 78025 14 mike 2008-09-17 23:33:53 +0400 Ну крышка не крышка, а эта бага -- последняя открытая на собиралку по M24. :) Хорошо бы к Server 5.0 всё-таки придумать метарубильник. 142120 15 mike 2013-08-15 16:02:44 +0400 Предлагаю этот баг закрыть для ясности, если с тех пор появились более конкретные пожелания -- оформить их в качестве более похожего на ТЗ бага. Со своей стороны сделал поддержку в mkimage-profiles: http://git.altlinux.org/people/mike/packages/?p=mkimage-profiles.git;a=blob;f=features.in/control/config.mk;hb=HEAD и готов участвовать в выработке требований к инструменту поверх control(8). 151542 16 mike 2015-05-23 15:52:34 +0300 1) по факту WONTFIX; 2) к ТЗ: может иметь смысл прошерстить имеющиеся control facilities, классифицировать имеющиеся варианты и для некоторых из них предложить разумные подборки значений по умолчанию с точки зрения дистрибутивов/контейнеров и прочих вариантов применения, когда изменение пакетных умолчаний неоправданно; на localhost: # control 2>/dev/null | cut -f2- -d'(' | tr -d ')' | tr ' ' '\n' | sort | uniq -c | sort -rn 37 restricted 35 public 10 wheelonly 7 netadmin 5 server 5 local 5 legacy 5 enabled 5 disabled 3 traditional 2 tcb 2 default 1 xgrp 1 winbind 1 wheel 1 vmusers 1 vboxusers 1 uucp 1 users 1 unprivileged 1 strict 1 shared 1 relaxed 1 pkcs11 1 multi 1 mailadm 1 ldap 1 krb5_ccreds 1 krb5 1 fuseonly 1 filter 1 everyone 1 client 1 atdaemon Из них первые четыре в достаточной мере распространены и характеристичны, чтобы была техническая возможность сделать что-то вроде описания "wheelonly, netadmin: что первое найдётся в списке, то и поставь".