[devel] I: access to repository

[devel] I: access to repository

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 2178 bytes --]

Greetings!

Предлагаю Вашему вниманию проект организации доступа к CVS package
repository.

Рассматриваемая схема отличается некоторой несвойственной для подобных
задач сложностью; это обусловлено особенностями security policy на том
сервере, где предполагается размещение CVS repository, и, надеюсь,
Алексей Бережнев расскажет нам об этом несколько подробнее.

Итак, все хранимые файлы расположены в CVS.
Доступ к CVS осуществляется с использованием SSH в качестве транспорта.
Работа с CVS осуществляется 2-мя способами:
+ Основной: удаленный cvs-клиент запускает через ssh "cvs server", и они
обмениваются информацией согласно протоколу cvs.
+ Файловый: разработчик запускает некий shell на сервере с тем, чтобы
закачивать туда данные с других серверов для последующего commit'a.

Для каждого разработчика создается персональный account на сервере со
следующими свойствами:
+ без возможности использования пароля, в качестве авторизации через ssh
используется RSA/DSA;
+ в качестве login shell используется специальный wrapper, который, будучи
запущен ssh-сервером после успешной авторизации, далее запускает либо "cvs
server", либо shell, предварительно сделав chroot в специальный cvs
environment (CE).
В последнем, помимо самого package repository, находятся программы,
необходимые для работы cvs и закачки данных (около 20 штук), их
конфигурационные файлы, разделяемые библиотеки и home directories
разработчиков. Никаких приложений, исполняемых внутри CE с рутовыми
правами, не планируется. Никаких устройств, помимо /dev/null, внутри CE не
требуется.

В заключение добавлю, что для простоты изложения несущественные детали
опущены; ну а сама схема мной уже реализована.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@fandra.org
Software Engineer   PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html
IPLabs Linux Team   http://linux.iplabs.ru
Fandra Project      http://www.fandra.org
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who it's friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [devel] I: access to repository

[Peter Novodvorsky]

[-- Attachment #1: Type: text/plain, Size: 641 bytes --]

++ 19/11/00 03:13 +0300 - Dmitry V. Levin:
> Greetings!
> 
> В последнем, помимо самого package repository, находятся программы,
> необходимые для работы cvs и закачки данных (около 20 штук), их
> конфигурационные файлы, разделяемые библиотеки и home directories
> разработчиков. Никаких приложений, исполняемых внутри CE с рутовыми
> правами, не планируется. Никаких устройств, помимо /dev/null, внутри CE не
> требуется.

Может еще /dev/zero добавишь, а то какая-то программа (gdb AFAIK) при
конфигьюр на него смотрела.



--
Peter Novodvorsky,
IPLabs Linux Team member: petya@logic.ru
Debian developer: nidd@debian.org

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

[devel] Re: I: access to repository

[Alexey Berejnev]

__
Alexei Berejnev / http://starboy.radio-msu.net/ 
Mobile: +7 _902_ 6851981

On Sun, 19 Nov 2000, Dmitry V. Levin wrote:

> Greetings!
Hi all! 
> Предлагаю Вашему вниманию проект организации доступа к CVS package
> repository.
> 
> Рассматриваемая схема отличается некоторой несвойственной для подобных
> задач сложностью; это обусловлено особенностями security policy на том
> сервере, где предполагается размещение CVS repository, и, надеюсь,
> Алексей Бережнев расскажет нам об этом несколько подробнее.
Политика сервера крайне проста - запрещено все, кроме того чтьо жизненно
необходимо. Кроме того запрещено все что может породить большой трафик
(В данном случае для CVS делается исключение). Кроме того, запрещено все 
что заведомо несет коммерческие цели.
> Итак, все хранимые файлы расположены в CVS.
> Доступ к CVS осуществляется с использованием SSH в качестве транспорта.
> Работа с CVS осуществляется 2-мя способами:
> + Основной: удаленный cvs-клиент запускает через ssh "cvs server", и они
> обмениваются информацией согласно протоколу cvs.
> + Файловый: разработчик запускает некий shell на сервере с тем, чтобы
> закачивать туда данные с других серверов для последующего commit'a.
Хотелось бы посмотреть на скрипты.
> Для каждого разработчика создается персональный account на сервере со
> следующими свойствами:
> + без возможности использования пароля, в качестве авторизации через ssh
> используется RSA/DSA;
> + в качестве login shell используется специальный wrapper, который, будучи
> запущен ssh-сервером после успешной авторизации, далее запускает либо "cvs
> server", либо shell, предварительно сделав chroot в специальный cvs
> В последнем, помимо самого package repository, находятся программы,
> необходимые для работы cvs и закачки данных (около 20 штук), их
> конфигурационные файлы, разделяемые библиотеки и home directories
> разработчиков. Никаких приложений, исполняемых внутри CE с рутовыми
> правами, не планируется. Никаких устройств, помимо /dev/null, внутри CE не
> требуется.
А можно ли все-таки обойтись без shell, даже и в restricted режиме? 
> В заключение добавлю, что для простоты изложения несущественные детали
> опущены; ну а сама схема мной уже реализована.

Поскоку я не подписан на рассылку, то ваши коментарии и предложения
буду рад прочесть по адресу с которого написано это письмо.

Успехов!

_______________________________________________
Devel mailing list
Devel@linux.iplabs.ru
http://www.logic.ru/mailman/listinfo/devel

Re: [devel] Re: I: access to repository

[Peter Novodvorsky]

[-- Attachment #1: Type: text/plain, Size: 592 bytes --]

++ 20/11/00 02:44 +0300 - Dmitry V. Levin:
> Вопрос для всех: какую программу лучше всего использовать для
> закачки исходников на сервер (по ftp/http)?

Для ftp хорошо использовать ftp. ;-) Закачка по http, дело стремное.

> 
> Вопрос для будущих пользователей repository: придумайте себе login name,
> состоящее не более чем из 4-ех букв (для кого это актуально).

Я так понимаю, ни у кого проблем  с этим возникнуть не должно. ;-)
Почти все ники <= 4 chars, для удобства.


--
Peter Novodvorsky,
IPLabs Linux Team member: petya@logic.ru
Debian developer: nidd@debian.org

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [devel] Re: I: access to repository

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 3542 bytes --]

On Sun, Nov 19, 2000 at 10:10:31PM +0300, Alexey Berejnev wrote:
> > Рассматриваемая схема отличается некоторой несвойственной для подобных
> > задач сложностью; это обусловлено особенностями security policy на том
> > сервере, где предполагается размещение CVS repository, и, надеюсь,
> > Алексей Бережнев расскажет нам об этом несколько подробнее.
> Политика сервера крайне проста - запрещено все, кроме того чтьо жизненно
> необходимо. Кроме того запрещено все что может породить большой трафик
> (В данном случае для CVS делается исключение). Кроме того, запрещено все 
> что заведомо несет коммерческие цели.

Не вполне конкретно, но пока противоречий нет.

> > Итак, все хранимые файлы расположены в CVS.
> > Доступ к CVS осуществляется с использованием SSH в качестве транспорта.
> > Работа с CVS осуществляется 2-мя способами:
> > + Основной: удаленный cvs-клиент запускает через ssh "cvs server", и они
> > обмениваются информацией согласно протоколу cvs.
> > + Файловый: разработчик запускает некий shell на сервере с тем, чтобы
> > закачивать туда данные с других серверов для последующего commit'a.
> Хотелось бы посмотреть на скрипты.

В качестве shell планируется "bash -r".
Скриптов практически нет (если не считать bashrc, profile, ...) - в основном
это скомпилированные программы.

> > Для каждого разработчика создается персональный account на сервере со
> > следующими свойствами:
> > + без возможности использования пароля, в качестве авторизации через ssh
> > используется RSA/DSA;
> > + в качестве login shell используется специальный wrapper, который, будучи
> > запущен ssh-сервером после успешной авторизации, далее запускает либо "cvs
> > server", либо shell, предварительно сделав chroot в специальный cvs
> > В последнем, помимо самого package repository, находятся программы,
> > необходимые для работы cvs и закачки данных (около 20 штук), их
> > конфигурационные файлы, разделяемые библиотеки и home directories
> > разработчиков. Никаких приложений, исполняемых внутри CE с рутовыми
> > правами, не планируется. Никаких устройств, помимо /dev/null, внутри CE не
> > требуется.
> А можно ли все-таки обойтись без shell, даже и в restricted режиме? 

В отдаленной перспективе, наверное, возможно.
Чтобы этого достичь, придется разработать протокол, описывающий способ
передачи тех действий, для которых сейчас нужен rbash, а также реализовать
клиентскую и серверную часть этого протокола. Список действий на данный
момент: закачка "pristine sources" в хранилище с других серверов,
управление сборкой на сборочном сервере, быстрый просмотр CVS. Второе
также предполагает наличие небольшого демона, находящегося на связи со
сборочным сервером и запускаемого оттуда через SSH, который, собственно,
и будет принимать запросы от разработчиков на сборку.

Вопрос для всех: какую программу лучше всего использовать для
закачки исходников на сервер (по ftp/http)?

Вопрос для будущих пользователей repository: придумайте себе login name,
состоящее не более чем из 4-ех букв (для кого это актуально).


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@fandra.org
Software Engineer   PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html
IPLabs Linux Team   http://linux.iplabs.ru
Fandra Project      http://www.fandra.org
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who it's friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [devel] Re: I: access to repository

[Alexander Bokovoy]

On Mon, 20 Nov 2000, Peter Novodvorsky wrote:
> ++ 20/11/00 02:44 +0300 - Dmitry V. Levin:
> > Вопрос для всех: какую программу лучше всего использовать для
> > закачки исходников на сервер (по ftp/http)?
> 
> Для ftp хорошо использовать ftp. ;-) Закачка по http, дело стремное.
Имелось в виду чем "тянуть" pristine sources на сервер, по всей видимости.
Вот как раз по http закачивать удобнее, кроме того, иногда исходники
могут лежать только на HTTP (простейший пример -- Мидгард, у которого
все исходные тексты релиза на http).

--
Sincerely yours, Alexander Bokovoy 
  The Midgard Project   | www.midgard-project.org |    Aurora R&D team 
Minsk Linux Users Group |    www.minsk-lug.net    |  www.aurora-linux.com  
   IPLabs Linux Team    |     linux.iplabs.ru     | Architecte Open Source
-- Whatever you want to do, you have to do something else first.

_______________________________________________
Devel mailing list
Devel@linux.iplabs.ru
http://www.logic.ru/mailman/listinfo/devel

Re: [devel] Re: I: access to repository

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1108 bytes --]

On Mon, Nov 20, 2000 at 10:50:19AM +0200, Alexander Bokovoy wrote:
> > > Вопрос для всех: какую программу лучше всего использовать для
> > > закачки исходников на сервер (по ftp/http)?
> > 
> > Для ftp хорошо использовать ftp. ;-) Закачка по http, дело стремное.
> Имелось в виду чем "тянуть" pristine sources на сервер, по всей видимости.
> Вот как раз по http закачивать удобнее, кроме того, иногда исходники
> могут лежать только на HTTP (простейший пример -- Мидгард, у которого
> все исходные тексты релиза на http).

Да, бывают исходники только на ftp, бывают - только на http, и все это
надо уметь тянуть. Чем будем тянуть?


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@fandra.org
Software Engineer   PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html
IPLabs Linux Team   http://linux.iplabs.ru
Fandra Project      http://www.fandra.org
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who it's friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [devel] Re: I: access to repository

[Alexander Bokovoy]

"Dmitry V. Levin" wrote:
> 
> On Mon, Nov 20, 2000 at 10:50:19AM +0200, Alexander Bokovoy wrote:
> > > > ÷ÏÐÒÏÓ ÄÌÑ ×ÓÅÈ: ËÁËÕÀ ÐÒÏÇÒÁÍÍÕ ÌÕÞÛÅ ×ÓÅÇÏ ÉÓÐÏÌØÚÏ×ÁÔØ ÄÌÑ
> > > > ÚÁËÁÞËÉ ÉÓÈÏÄÎÉËÏ× ÎÁ ÓÅÒ×ÅÒ (ÐÏ ftp/http)?
> > >
> > > äÌÑ ftp ÈÏÒÏÛÏ ÉÓÐÏÌØÚÏ×ÁÔØ ftp. ;-) úÁËÁÞËÁ ÐÏ http, ÄÅÌÏ ÓÔÒÅÍÎÏÅ.
> > éÍÅÌÏÓØ × ×ÉÄÕ ÞÅÍ "ÔÑÎÕÔØ" pristine sources ÎÁ ÓÅÒ×ÅÒ, ÐÏ ×ÓÅÊ ×ÉÄÉÍÏÓÔÉ.
> > ÷ÏÔ ËÁË ÒÁÚ ÐÏ http ÚÁËÁÞÉ×ÁÔØ ÕÄÏÂÎÅÅ, ËÒÏÍÅ ÔÏÇÏ, ÉÎÏÇÄÁ ÉÓÈÏÄÎÉËÉ
> > ÍÏÇÕÔ ÌÅÖÁÔØ ÔÏÌØËÏ ÎÁ HTTP (ÐÒÏÓÔÅÊÛÉÊ ÐÒÉÍÅÒ -- íÉÄÇÁÒÄ, Õ ËÏÔÏÒÏÇÏ
> > ×ÓÅ ÉÓÈÏÄÎÙÅ ÔÅËÓÔÙ ÒÅÌÉÚÁ ÎÁ http).
> 
> äÁ, ÂÙ×ÁÀÔ ÉÓÈÏÄÎÉËÉ ÔÏÌØËÏ ÎÁ ftp, ÂÙ×ÁÀÔ - ÔÏÌØËÏ ÎÁ http, É ×ÓÅ ÜÔÏ
> ÎÁÄÏ ÕÍÅÔØ ÔÑÎÕÔØ. þÅÍ ÂÕÄÅÍ ÔÑÎÕÔØ?
wget, mirror, pavuk, nt?
÷ ÐÒÉÎÃÉÐÅ, ÐÅÒ×ÙÊ ÎÏÒÍÁÌØÎÏ ÐÏËÒÙ×ÁÅÔ ÎÁÛÉ ÎÕÖÄÙ.
_______________________________________________
Devel mailing list
Devel@linux.iplabs.ru
http://www.logic.ru/mailman/listinfo/devel