Bug 3909 - [FR][5.0] профили безопасности
: [FR][5.0] профили безопасности
Status: CLOSED WONTFIX
: Sisyphus
(All bugs in Sisyphus/control)
: unstable
: all Linux
: P2 enhancement
Assigned To:
:
:
:
: 7240
: 3459 5087 7371
  Show dependency tree
 
Reported: 2004-03-30 20:22 by
Modified: 2015-05-23 15:52 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2004-03-30 20:22:49
Было бы неплохо, что бы control'у можно было сказать для всех вновь добавляемых
на контроль программ по умолчанию ставить определенный уровень доступности
(например самый суровый). Это позволило бы меньше беспокоится о том, какие
уровни доступа установлены в пакетах по умолчанию.
------- Comment #1 From 2004-05-14 19:41:41 -------
IMHO нужно сделать к следующему дистрибутиву.
Сегодня опять столкнулся с отсуствием уровня control у одного из пакетов.
------- Comment #2 From 2004-06-08 13:24:13 -------
override'ить default'ы, прописанные в пакетах, опасно.

Уровни безопасности лучше реализовать отдельно.
------- Comment #3 From 2004-06-09 10:47:56 -------
Речь не о том, что уровни безопасности есть в пакетах.

Я говорю про те пакеты, после становки которых уровни безопасности отсуствуют.

При чем я не понимаю чья это ошибка: пакета или control.
Например:
# control|grep unknown
cifsmount       unknown         (public wheelonly restricted)
------- Comment #4 From 2004-06-09 13:39:27 -------
Баг с cifsmount - это грубая ошибка в пакете samba-client.
------- Comment #5 From 2004-06-09 14:35:52 -------
перевешиваю на samba-client.
Все вопросы к control сняты.
------- Comment #6 From 2004-06-09 14:46:55 -------
Я имел в виду т.н. профили безопасности.

Ну да ладно, с профилями как-нибудь потом.
------- Comment #7 From 2005-06-14 12:09:37 -------
перевешиваю на control
------- Comment #8 From 2005-06-14 14:51:25 -------
Да, к Master 3 было бы неплохо большой краник для дефолтов control иметь...
------- Comment #9 From 2005-06-15 13:29:41 -------
Может, лучше реализовать это отдельным пакетом?
------- Comment #10 From 2005-06-15 13:36:39 -------
Я вчера не придумал сходу, как это вообще реализовать %)

То ли control надо перечитать, то ли -- "да уж как тебе удобней" сказать. :)
------- Comment #11 From 2005-06-29 15:08:43 -------
depends несколько условный, но чтоб не забыть...
------- Comment #12 From 2005-06-29 20:47:52 -------
Дело в том, что control охватывает не только безопасность, но и что-угодно. 
Т.е. пока нельзя сделать вместе 
сontrol something secure 
и 
сontrol something workstation 
Надо, чтоб его архитектура требовала реализации в конкретном facilyty понятий 
о безопасности и функциональности по некому стандарту. 
Т.к. мы отказались от таких понятий, то пока нифига не будет. 
------- Comment #13 From 2005-06-29 22:08:39 -------
(In reply to comment #12)
> Т.к. мы отказались от таких понятий, то пока нифига не будет. 
Отказались -- "пока"?  Тогда см. "[3.1]".

Если не пока, то дистрибутиву крышка. :) (ну или подумать и сделать как надо, и
как раз _здесь_ мало где сделано хорошо, но практически везде -- хоть как-то)
------- Comment #14 From 2008-09-17 23:33:53 -------
Ну крышка не крышка, а эта бага -- последняя открытая на собиралку по M24. :)

Хорошо бы к Server 5.0 всё-таки придумать метарубильник.
------- Comment #15 From 2013-08-15 16:02:44 -------
Предлагаю этот баг закрыть для ясности, если с тех пор появились более
конкретные пожелания -- оформить их в качестве более похожего на ТЗ бага.

Со своей стороны сделал поддержку в mkimage-profiles:
http://git.altlinux.org/people/mike/packages/?p=mkimage-profiles.git;a=blob;f=features.in/control/config.mk;hb=HEAD
и готов участвовать в выработке требований к инструменту поверх control(8).
------- Comment #16 From 2015-05-23 15:52:34 -------
1) по факту WONTFIX;
2) к ТЗ: может иметь смысл прошерстить имеющиеся control facilities,
классифицировать имеющиеся варианты и для некоторых из них предложить разумные
подборки значений по умолчанию с точки зрения дистрибутивов/контейнеров и
прочих вариантов применения, когда изменение пакетных умолчаний неоправданно;
на localhost:

# control 2>/dev/null | cut -f2- -d'(' | tr -d ')' | tr ' ' '\n' | sort | uniq
-c | sort -rn
     37 restricted
     35 public
     10 wheelonly
      7 netadmin
      5 server
      5 local
      5 legacy
      5 enabled
      5 disabled
      3 traditional
      2 tcb
      2 default
      1 xgrp
      1 winbind
      1 wheel
      1 vmusers
      1 vboxusers
      1 uucp
      1 users
      1 unprivileged
      1 strict
      1 shared
      1 relaxed
      1 pkcs11
      1 multi
      1 mailadm
      1 ldap
      1 krb5_ccreds
      1 krb5
      1 fuseonly
      1 filter
      1 everyone
      1 client
      1 atdaemon

Из них первые четыре в достаточной мере распространены и характеристичны, чтобы
была техническая возможность сделать что-то вроде описания "wheelonly,
netadmin: что первое найдётся в списке, то и поставь".