From: Michael Shigorin <mike@osdn.org.ua>
To: sisyphus@altlinux.ru
Cc: devel@altlinux.ru
Subject: [devel] Re: [POLICY] uid/gid creation (was: [sisyphus] tftp...)
Date: Fri, 16 Jan 2004 14:36:04 +0200
Message-ID: <20040116123604.GV7231@osdn.org.ua> (raw)
In-Reply-To: <200401161503.52162.a_s_y@sama.ru>
[-- Attachment #1: Type: text/plain, Size: 3290 bytes --]
2 devel: кажется, набросалась альфа политики по добавлению
псевдопользователей.
Требуются комментарии ldv@, в первую очередь.
On Fri, Jan 16, 2004 at 03:03:51PM +0400, Sergey wrote:
> Вообще, в спеке, который я за основу взял (PLD Linux), использован
> такой вот вариант (недоработан по поводу GID почему-то...):
Да, у меня в sympa.spec в итоге тоже так сделано (вспомнил!).
Он происходит, кажется, от Mdk'шного с mixin'ами других.
> %pre -n utftpd
> if [ -n "`id -u tftp 2>/dev/null`" ]; then
> if [ "`id -u tftp`" != "114" ]; then
> echo "Error: user tftp doesn't have uid=114. Correct this before installing utftpd." 1>&2
> exit 1
> fi
> else
> echo "Adding user tftp UID=114."
> /usr/sbin/useradd -u 114 -r -d /dev/null -s /dev/null -c "TFTP User" -g tftp tftp 1>&2
> fi
>
> В таком случае оно тоже не цепляется за другие пакеты особо...
...но, с другой стороны, при этом повышается скрытая
чувствительность к беспределу в виде просто useradd -r (в т.ч. из
уже установленных альтовских пакетов, которые так делают).
> Что касается локального системного администратора... Это, как
> раз, наоборот хорошо, как мне кажется, когда есть возможность
> переставить систему и вернуть только пользовательские
> настройки, рассчитывая, что ID не поменяются, вне зависимости
> от порядка доустановки пакетов.
Так о чем и речь.
> > Сергей, эта тема уже обсуждалась -- если возьметесь написать
> > предложение по пресловутой политике, ура.
> Да я тут наобещал уже список Intel Etherexpress PRO, которые с
> e100 работают, да ifup по поводу VLAN посмотреть. Пока опасаюсь
> еще что-то обещать... :-)
Ну так TODO и вычеркивать :-) Помогает.
Можете на http://www.linux-os.ru/forums/arrangements/ забросить
для себя и других на напоминание и выявление общих интересов.
(2 avl: кстати про общие интересы: не хочешь сделать
cards.atmsk.ru или cards.linux-os.ru на базе cards.sf.net?)
> Могу только предложить вести публично (или в пакете
> соответствующем) некий список UID/GID
Да, в таком случае это понадобится, но будет скорее таким себе
RFC, а не жесткой технологической зависимостью.
Причем _проверять_ получится: списки в /usr/lib/rpm/ и завернуть
процедуру добавления в компактный макрос -- тогда значения,
которые ему передаются (имя/номер пользователя/группы) можно
будет проверять на уникальность по референсному списку.
Честно говоря, хотелось бы при этом минимизировать namespace
clash с обычными пользовательскими аккаунтами каким-то
префиксом/суффиксом: ведь пользовательские аккаунты вида "lp@"
или "rpc@" (по инициалам) вполне можно себе представить, а
проблема будет потихоньку заостряться с углублением privilege
separation, особенно если майнтейнеры будут занимать короткие
имена/акронимы.
(если копнуть -- то здесь проблема с тем, что и люди, и проекты
обычно стремятся иметь id в разумно краткой, уникальной и
запоминающейся форме; а в /etc/passwd пользователи,
представляющие людей, и псевдопользователи, представляющие
проекты, как раз и пересекаются)
> и, возможно, в useradd/groupadd проверку с предупреждением
> вставить по поводу использования значений в предопределенной
> области.
Так -r?
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
next parent reply other threads:[~2004-01-16 12:36 UTC|newest]
Thread overview: 9+ messages / expand[flat|nested] mbox.gz Atom feed top
2004-01-16 12:36 ` Michael Shigorin [this message]
2004-01-16 12:47 ` Dmitry V. Levin
2004-01-16 13:01 ` Michael Shigorin
2004-01-16 13:05 ` [devel] Re: [POLICY] uid/gid creation Dmitry V. Levin
2004-01-16 13:40 ` Michael Shigorin
2004-01-16 14:02 ` Michael Shigorin
2004-01-16 23:00 ` Dmitry V. Levin
2004-01-17 15:23 ` Michael Shigorin
2004-01-17 19:33 ` Dmitry V. Levin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20040116123604.GV7231@osdn.org.ua \
--to=mike@osdn.org.ua \
--cc=devel@altlinux.ru \
--cc=sisyphus@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git