ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | [FR][5.0] профили безопасности | ||
|---|---|---|---|
| Product: | Sisyphus | Reporter: | Anton Farygin <rider> |
| Component: | control | Assignee: | Dmitry V. Levin <ldv> |
| Status: | CLOSED WONTFIX | QA Contact: | qa-sisyphus |
| Severity: | enhancement | ||
| Priority: | P2 | CC: | eostapets, inger, ldv, mike, placeholder, sr, vvk |
| Version: | unstable | ||
| Hardware: | all | ||
| OS: | Linux | ||
| Bug Depends on: | 7240 | ||
| Bug Blocks: | 3459, 5087, 7371 | ||
|
Description
Anton Farygin
2004-03-30 20:22:49 MSD
IMHO нужно сделать к следующему дистрибутиву. Сегодня опять столкнулся с отсуствием уровня control у одного из пакетов. override'ить default'ы, прописанные в пакетах, опасно. Уровни безопасности лучше реализовать отдельно. Речь не о том, что уровни безопасности есть в пакетах. Я говорю про те пакеты, после становки которых уровни безопасности отсуствуют. При чем я не понимаю чья это ошибка: пакета или control. Например: # control|grep unknown cifsmount unknown (public wheelonly restricted) Баг с cifsmount - это грубая ошибка в пакете samba-client. перевешиваю на samba-client. Все вопросы к control сняты. Я имел в виду т.н. профили безопасности. Ну да ладно, с профилями как-нибудь потом. перевешиваю на control Да, к Master 3 было бы неплохо большой краник для дефолтов control иметь... Может, лучше реализовать это отдельным пакетом? Я вчера не придумал сходу, как это вообще реализовать %) То ли control надо перечитать, то ли -- "да уж как тебе удобней" сказать. :) depends несколько условный, но чтоб не забыть... Дело в том, что control охватывает не только безопасность, но и что-угодно. Т.е. пока нельзя сделать вместе сontrol something secure и сontrol something workstation Надо, чтоб его архитектура требовала реализации в конкретном facilyty понятий о безопасности и функциональности по некому стандарту. Т.к. мы отказались от таких понятий, то пока нифига не будет. (In reply to comment #12) > Т.к. мы отказались от таких понятий, то пока нифига не будет. Отказались -- "пока"? Тогда см. "[3.1]". Если не пока, то дистрибутиву крышка. :) (ну или подумать и сделать как надо, и как раз _здесь_ мало где сделано хорошо, но практически везде -- хоть как-то) Ну крышка не крышка, а эта бага -- последняя открытая на собиралку по M24. :) Хорошо бы к Server 5.0 всё-таки придумать метарубильник. Предлагаю этот баг закрыть для ясности, если с тех пор появились более конкретные пожелания -- оформить их в качестве более похожего на ТЗ бага. Со своей стороны сделал поддержку в mkimage-profiles: http://git.altlinux.org/people/mike/packages/?p=mkimage-profiles.git;a=blob;f=features.in/control/config.mk;hb=HEAD и готов участвовать в выработке требований к инструменту поверх control(8). 1) по факту WONTFIX;
2) к ТЗ: может иметь смысл прошерстить имеющиеся control facilities, классифицировать имеющиеся варианты и для некоторых из них предложить разумные подборки значений по умолчанию с точки зрения дистрибутивов/контейнеров и прочих вариантов применения, когда изменение пакетных умолчаний неоправданно; на localhost:
# control 2>/dev/null | cut -f2- -d'(' | tr -d ')' | tr ' ' '\n' | sort | uniq -c | sort -rn
37 restricted
35 public
10 wheelonly
7 netadmin
5 server
5 local
5 legacy
5 enabled
5 disabled
3 traditional
2 tcb
2 default
1 xgrp
1 winbind
1 wheel
1 vmusers
1 vboxusers
1 uucp
1 users
1 unprivileged
1 strict
1 shared
1 relaxed
1 pkcs11
1 multi
1 mailadm
1 ldap
1 krb5_ccreds
1 krb5
1 fuseonly
1 filter
1 everyone
1 client
1 atdaemon
Из них первые четыре в достаточной мере распространены и характеристичны, чтобы была техническая возможность сделать что-то вроде описания "wheelonly, netadmin: что первое найдётся в списке, то и поставь".
|
