From: Sergey Vlasov <vsu@altlinux.ru>
To: devel@lists.altlinux.org
Subject: Re: [devel] Policy по назначению gid для системных групп
Date: Sat, 3 Nov 2012 12:37:14 +0400
Message-ID: <20121103083714.GA6783@atlas.home> (raw)
In-Reply-To: <20121102225310.GA23700@altlinux.org>
[-- Attachment #1: Type: text/plain, Size: 3274 bytes --]
On Sat, Nov 03, 2012 at 02:53:11AM +0400, Dmitry V. Levin wrote:
> > http://www.altlinux.org/Pseudo_User_Policy
>
> Там написано, что "идея создавать служебные аккаунты динамически при
> установке пакета сама по себе чревата несовместимостью uid/gid различных
> инсталляций, что создаёт вполне реальные проблемы с резервным копированием
> (восстановлением данных в контексте другого сервера)".
>
> К сожалению, там не расшифровано, каким образом из несовпадения uid/gid в
> разных системах вытекают "вполне реальные проблемы", поскольку совершенно
> не очевидно, какие именно типовые сценарии резервного копирования имел в
> виду автор.
>
> С другой стороны, там в конце есть ссылки на разные интересные обсуждения,
> которые имеет смысл посмотреть.
Можно ещё посмотреть, что в этой области делают в других
дистрибутивах.
Например, в Fedora официальная текущая политика пока что не
предусматривает статическое назначение uid/gid:
http://fedoraproject.org/wiki/Packaging:UsersAndGroups
Однако у них ещё есть пакет fedora-usermgmt, с помощью которого можно
обеспечить одинаковые uid/gid на разных машинах, но только после
предварительной настройки со стороны администратора (что в случае,
если пакеты, использующие fedora-usermgmt, устанавливаются в процессе
установки системы, приводит к необходимости подсовывать инсталятору
собственный репозиторий с пакетом, содержащим нужные настройки).
http://fedoraproject.org/wiki/PackageUserCreation
(там внизу несколько ссылок на обсуждения этого вопроса). Без
дополнительных настроек идентификаторы остаются динамическими.
На самом деле проблема выросла из того, что LSB предусматривает для
статически назначаемых идентификаторов пользователей лишь диапазон
0-99, а диапазон 100-499 предназначается для динамического назначения:
http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-generic/LSB-Core-generic/uidrange.html
Однако диапазона 0-99 уже давно не хватает. В RHEL 6 решили
проигнорировать написанное в LSB "should" и расширили диапазон
статических идентификаторов до 0-199, при этом динамические
идентификаторы назначаются в диапазоне 200-499, но сверху вниз, а
статические идентификаторы, назначаемые локальным администратором,
предлагается назначать начиная с 300.
https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Migration_Planning_Guide/ch07s06.html
> В сухом остатке, реализовать враппер с логикой
> useradd "user with specified uid if that uid is available, or with any
> other available uid if that uid is already taken" и соответствующий
> макрос к нему выглядит делом несложным, а вот как эффективно реализовать
> единый реестр всех этих uid'ов, никто не предложил. Может, завести
> для этого страницу на wiki? :)
Собственно, в Fedora так и сделано:
http://fedoraproject.org/wiki/PackageUserRegistry
Но там это относительные идентификаторы для fedora-usermgmt;
выделением диапазона для статических идентификаторов должен заниматься
администратор, либо может быть использован пакет
fedora-usermgmt-default-fedora-setup, в котором по умолчанию в
качестве баового идентификатора устанавливается 300 (однако без
переключения альтернатив идентификаторы всё равно останутся
динамическими).
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
next prev parent reply other threads:[~2012-11-03 8:37 UTC|newest]
Thread overview: 12+ messages / expand[flat|nested] mbox.gz Atom feed top
2012-11-02 13:10 Андрей Черепанов
2012-11-02 22:53 ` Dmitry V. Levin
2012-11-03 5:31 ` Денис Смирнов
2012-11-03 15:16 ` Dmitry V. Levin
2012-11-03 8:37 ` Sergey Vlasov [this message]
2012-11-03 18:50 ` Андрей Черепанов
2012-11-03 21:30 ` Sergey Vlasov
2012-11-23 23:20 ` Vitaly Lipatov
2012-11-29 15:12 ` Андрей Черепанов
2012-11-29 15:14 ` Dmitriy Kruglikov
2012-11-30 7:44 ` Андрей Черепанов
2012-11-30 7:50 ` Dmitriy Kruglikov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20121103083714.GA6783@atlas.home \
--to=vsu@altlinux.ru \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git