From: Sergey Vlasov <vsu@altlinux.ru> To: devel@lists.altlinux.org Subject: Re: [devel] Policy по назначению gid для системных групп Date: Sat, 3 Nov 2012 12:37:14 +0400 Message-ID: <20121103083714.GA6783@atlas.home> (raw) In-Reply-To: <20121102225310.GA23700@altlinux.org> [-- Attachment #1: Type: text/plain, Size: 3274 bytes --] On Sat, Nov 03, 2012 at 02:53:11AM +0400, Dmitry V. Levin wrote: > > http://www.altlinux.org/Pseudo_User_Policy > > Там написано, что "идея создавать служебные аккаунты динамически при > установке пакета сама по себе чревата несовместимостью uid/gid различных > инсталляций, что создаёт вполне реальные проблемы с резервным копированием > (восстановлением данных в контексте другого сервера)". > > К сожалению, там не расшифровано, каким образом из несовпадения uid/gid в > разных системах вытекают "вполне реальные проблемы", поскольку совершенно > не очевидно, какие именно типовые сценарии резервного копирования имел в > виду автор. > > С другой стороны, там в конце есть ссылки на разные интересные обсуждения, > которые имеет смысл посмотреть. Можно ещё посмотреть, что в этой области делают в других дистрибутивах. Например, в Fedora официальная текущая политика пока что не предусматривает статическое назначение uid/gid: http://fedoraproject.org/wiki/Packaging:UsersAndGroups Однако у них ещё есть пакет fedora-usermgmt, с помощью которого можно обеспечить одинаковые uid/gid на разных машинах, но только после предварительной настройки со стороны администратора (что в случае, если пакеты, использующие fedora-usermgmt, устанавливаются в процессе установки системы, приводит к необходимости подсовывать инсталятору собственный репозиторий с пакетом, содержащим нужные настройки). http://fedoraproject.org/wiki/PackageUserCreation (там внизу несколько ссылок на обсуждения этого вопроса). Без дополнительных настроек идентификаторы остаются динамическими. На самом деле проблема выросла из того, что LSB предусматривает для статически назначаемых идентификаторов пользователей лишь диапазон 0-99, а диапазон 100-499 предназначается для динамического назначения: http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-generic/LSB-Core-generic/uidrange.html Однако диапазона 0-99 уже давно не хватает. В RHEL 6 решили проигнорировать написанное в LSB "should" и расширили диапазон статических идентификаторов до 0-199, при этом динамические идентификаторы назначаются в диапазоне 200-499, но сверху вниз, а статические идентификаторы, назначаемые локальным администратором, предлагается назначать начиная с 300. https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Migration_Planning_Guide/ch07s06.html > В сухом остатке, реализовать враппер с логикой > useradd "user with specified uid if that uid is available, or with any > other available uid if that uid is already taken" и соответствующий > макрос к нему выглядит делом несложным, а вот как эффективно реализовать > единый реестр всех этих uid'ов, никто не предложил. Может, завести > для этого страницу на wiki? :) Собственно, в Fedora так и сделано: http://fedoraproject.org/wiki/PackageUserRegistry Но там это относительные идентификаторы для fedora-usermgmt; выделением диапазона для статических идентификаторов должен заниматься администратор, либо может быть использован пакет fedora-usermgmt-default-fedora-setup, в котором по умолчанию в качестве баового идентификатора устанавливается 300 (однако без переключения альтернатив идентификаторы всё равно останутся динамическими). [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 198 bytes --]
next prev parent reply other threads:[~2012-11-03 8:37 UTC|newest] Thread overview: 12+ messages / expand[flat|nested] mbox.gz Atom feed top 2012-11-02 13:10 Андрей Черепанов 2012-11-02 22:53 ` Dmitry V. Levin 2012-11-03 5:31 ` Денис Смирнов 2012-11-03 15:16 ` Dmitry V. Levin 2012-11-03 8:37 ` Sergey Vlasov [this message] 2012-11-03 18:50 ` Андрей Черепанов 2012-11-03 21:30 ` Sergey Vlasov 2012-11-23 23:20 ` Vitaly Lipatov 2012-11-29 15:12 ` Андрей Черепанов 2012-11-29 15:14 ` Dmitriy Kruglikov 2012-11-30 7:44 ` Андрей Черепанов 2012-11-30 7:50 ` Dmitriy Kruglikov
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20121103083714.GA6783@atlas.home \ --to=vsu@altlinux.ru \ --cc=devel@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git