[devel] группа для backup

[devel] группа для backup

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 731 bytes --]

У нас есть два замечательных пакета -- etckeeper и syskeeper. Первый
хранит в git конфиги, второй разнообразную системную информацию.

Есть желание организовать инфраструктуру для удобного backup этого всего,
да и, возможно, чего-либо еще.

Для этого я собираюсь сделать пакет с юзером/группой типа backup:_backup.
И добиться того, чтобы git repo etckeeper и syskeeper предоставлял группе
_backup доступ на чтение.

Соответственно сисадмин сможет прикрутить также для группы _backup
sudoers, для доступа к каким-либо другим скриптам backup.

Насколько разумно такое общесистемное решение?

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] группа для backup

[Nikolay A. Fetisov]

[-- Attachment #1: Type: text/plain, Size: 2401 bytes --]

Здравствуйте,

В Пт, 16/11/2012 в 07:57 +0400, Денис Смирнов пишет:
> У нас есть два замечательных пакета -- etckeeper и syskeeper. Первый
> хранит в git конфиги, второй разнообразную системную информацию.
> 
> Есть желание организовать инфраструктуру для удобного backup этого всего,
> да и, возможно, чего-либо еще.
> 
> Для этого я собираюсь сделать пакет с юзером/группой типа backup:_backup.
> И добиться того, чтобы git repo etckeeper и syskeeper предоставлял группе
> _backup доступ на чтение.
> 
> Соответственно сисадмин сможет прикрутить также для группы _backup
> sudoers, для доступа к каким-либо другим скриптам backup.
> 
> Насколько разумно такое общесистемное решение?

Что имеется в виду? Опциональный пакет, при установке которого:
- вытягиваются по зависимостям etckeeper и syskeeper, если их уже нет;
- создаётся пользователь, группа;
- инициализируется репозиторий etckeeper'а, если его нет;
- разрешается чтение репозиториев etckeeper'а и syskeeper'а для группы,
  по-видимому, с ручкой в control?


В /etc/.git сейчас имеет доступ только root - что, по-умолчанию, наверно
правильно. Учитывая, что доступ к этому репозиторию равнозначен доступу
к любому из файлов в /etc/.

/var/lib/syskeeper сейчас ограничен для чтения @wheel - что тоже
логично, члены @wheel и так имеют доступ к информации о конфигурации
системы.

Добавление к правам на них/изменение доступа для какой-либо группы -
наверное, возможно. Если будет опциональным и отключаемым.

Вот имя пользователя 'backup', на мой взгляд, может встречаться в живых
системах с приличной вероятностью.



P.S. У меня вопросы архивации репозиториев {etc,sys}keeper решаются
скриптом, который периодически:
- вытягивает в отдельный общий репозиторий содержимое master
{etc,sys}keeper в ветки `hostname`/{etc,sys}keeper ;
- проходится по виртуальным машинам OpenVZ и добавляет в отдельные
ветки `hostname`/$VEID репозитории etckeeper из этих машин;
- дополнительно ругается на почту о незакоммиченных изменениях;
- сворачивает общий репозиторий в архив, прогоняет через gpg и 
выкладывает результат с правами, разрешающими скачивать его 
обычному пользователю.
Дальше архив вытягивается через SSH непривилегированным пользователем
туда, где есть закрытый ключ GnuPG.
Каких-либо отдельных пользователей или групп при этом не заводится.


-- 
С уважением,
Николай Фетисов

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] группа для backup

[REAL]

16.11.2012 15:56, Nikolay A. Fetisov пишет:
> Вот имя пользователя 'backup', на мой взгляд, может встречаться в живых
> системах с приличной вероятностью.

ага, у меня есть такие пользователи.

-- 

REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ

Re: [devel] группа для backup

[Michael Shigorin]

On Fri, Nov 16, 2012 at 07:57:17AM +0400, Денис Смирнов wrote:
> Для этого я собираюсь сделать пакет с юзером/группой типа backup:_backup.

_backup:_backup?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] группа для backup

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 510 bytes --]

On Fri, Nov 16, 2012 at 04:16:00PM +0200, Michael Shigorin wrote:

>> Для этого я собираюсь сделать пакет с юзером/группой типа backup:_backup.
MS> _backup:_backup?

1. А юзера, который будет использоваться для логина начинать с _ это
нормально? Юзер-то отдельный нужен только чтобы заходить под ним по ssh,
чтобы скачать backup.

2. Как обозвать пакеты с юзером/группой?

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] группа для backup

[Michael Shigorin]

On Sat, Nov 17, 2012 at 05:43:21AM +0400, Денис Смирнов wrote:
> >> Для этого я собираюсь сделать пакет с юзером/группой типа backup:_backup.
> MS> _backup:_backup?
> 1. А юзера, который будет использоваться для логина начинать с
> _ это нормально? Юзер-то отдельный нужен только чтобы заходить
> под ним по ssh, чтобы скачать backup.

Вопрос не в том, для чего (об этом содержательная часть имени),
а в том, что создавать ты его при установке пакета собираешься
автоматически (и об этом как раз префикс).

> 2. Как обозвать пакеты с юзером/группой?

Не знаю, но в PLD наблюдается некое полиси и даже зависимости
особого вида -- можешь попробовать копнуть там (или могу
спросить, где описано).

Тривиальное uid-backup не покатит?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/