* Re: [devel] [girar-acl] sisyphus
@ 2009-11-22 22:00 ` Dmitry V. Levin
2009-11-22 22:25 ` Alexey Gladkov
2009-11-23 9:49 ` Anton Farygin
0 siblings, 2 replies; 12+ messages in thread
From: Dmitry V. Levin @ 2009-11-22 22:00 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 587 bytes --]
On Mon, Nov 23, 2009 at 12:32:02AM +0300, Girar ACL robot wrote:
> Dear Anton Farygin!
>
> Result of your acl command(s) is listed below:
>
> < libsemanage add @everybody
> > OK: libsemanage: rider shrek @everybody
> < audit add @everybody
> > OK: audit: rider inger @everybody
>
> Summary: acl change transaction COMPLETE.
Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd
are linked with libaudit.so.0, this ACL change effectively means that I
can freely grand @everybody now to build pam, SimplePAMApps and openssh
packages.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus
2009-11-22 22:00 ` [devel] [girar-acl] sisyphus Dmitry V. Levin
@ 2009-11-22 22:25 ` Alexey Gladkov
2009-11-23 9:49 ` Anton Farygin
2009-11-23 9:49 ` Anton Farygin
1 sibling, 1 reply; 12+ messages in thread
From: Alexey Gladkov @ 2009-11-22 22:25 UTC (permalink / raw)
To: devel
23.11.2009 01:00, Dmitry V. Levin wrote:
>>> OK: audit: rider inger @everybody
> Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd
> are linked with libaudit.so.0, this ACL change effectively means that I
> can freely grand @everybody now to build pam, SimplePAMApps and openssh
> packages.
I take care about audit, if you do not mind.
--
Rgrds, legion
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus
2009-11-22 22:00 ` [devel] [girar-acl] sisyphus Dmitry V. Levin
2009-11-22 22:25 ` Alexey Gladkov
@ 2009-11-23 9:49 ` Anton Farygin
2009-11-28 23:47 ` Michael Shigorin
1 sibling, 1 reply; 12+ messages in thread
From: Anton Farygin @ 2009-11-23 9:49 UTC (permalink / raw)
To: ALT Linux Team development discussions
23.11.2009 01:00, Dmitry V. Levin пишет:
> On Mon, Nov 23, 2009 at 12:32:02AM +0300, Girar ACL robot wrote:
>> Dear Anton Farygin!
>>
>> Result of your acl command(s) is listed below:
>>
>> < libsemanage add @everybody
>>> OK: libsemanage: rider shrek @everybody
>> < audit add @everybody
>>> OK: audit: rider inger @everybody
>>
>> Summary: acl change transaction COMPLETE.
>
> Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd
> are linked with libaudit.so.0, this ACL change effectively means that I
> can freely grand @everybody now to build pam, SimplePAMApps and openssh
> packages.
@everybody не означает, что все изменения в коде audit не будут
отслеживаться.
Кстати, было бы неплохо информировать leader обо всех изменениях в его
пакетах _отдельным_ письмом.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus
2009-11-22 22:25 ` Alexey Gladkov
@ 2009-11-23 9:49 ` Anton Farygin
2009-11-24 10:24 ` Alexey Rusakov
0 siblings, 1 reply; 12+ messages in thread
From: Anton Farygin @ 2009-11-23 9:49 UTC (permalink / raw)
To: ALT Linux Team development discussions
23.11.2009 01:25, Alexey Gladkov пишет:
> 23.11.2009 01:00, Dmitry V. Levin wrote:
>>>> OK: audit: rider inger @everybody
>> Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd
>> are linked with libaudit.so.0, this ACL change effectively means that I
>> can freely grand @everybody now to build pam, SimplePAMApps and openssh
>> packages.
>
> I take care about audit, if you do not mind.
эээ... @everybody, это далеко не @nobody.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus
2009-11-23 9:49 ` Anton Farygin
@ 2009-11-24 10:24 ` Alexey Rusakov
2009-11-24 11:07 ` Anton Farygin
0 siblings, 1 reply; 12+ messages in thread
From: Alexey Rusakov @ 2009-11-24 10:24 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 692 bytes --]
В Пнд, 23/11/2009 в 12:49 +0300, Anton Farygin пишет:
> 23.11.2009 01:25, Alexey Gladkov пишет:
> > 23.11.2009 01:00, Dmitry V. Levin wrote:
> >>>> OK: audit: rider inger @everybody
> >> Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd
> >> are linked with libaudit.so.0, this ACL change effectively means that I
> >> can freely grand @everybody now to build pam, SimplePAMApps and openssh
> >> packages.
> >
> > I take care about audit, if you do not mind.
>
> эээ... @everybody, это далеко не @nobody.
У семи нянек дитя без глаза.
--
Alexey "Ktirf" Rusakov
GNOME Project
ALT Linux Team
[-- Attachment #2: Эта часть сообщения подписана цифровой подписью --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus
2009-11-24 10:24 ` Alexey Rusakov
@ 2009-11-24 11:07 ` Anton Farygin
2009-11-24 11:25 ` Alexey Rusakov
2009-11-24 11:27 ` REAL
0 siblings, 2 replies; 12+ messages in thread
From: Anton Farygin @ 2009-11-24 11:07 UTC (permalink / raw)
To: ALT Linux Team development discussions
24.11.2009 13:24, Alexey Rusakov пишет:
> В Пнд, 23/11/2009 в 12:49 +0300, Anton Farygin пишет:
>> 23.11.2009 01:25, Alexey Gladkov пишет:
>>> 23.11.2009 01:00, Dmitry V. Levin wrote:
>>>>>> OK: audit: rider inger @everybody
>>>> Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd
>>>> are linked with libaudit.so.0, this ACL change effectively means that I
>>>> can freely grand @everybody now to build pam, SimplePAMApps and openssh
>>>> packages.
>>>
>>> I take care about audit, if you do not mind.
>>
>> эээ... @everybody, это далеко не @nobody.
> У семи нянек дитя без глаза.
Эта пословица не применима в данном контексте.
Нянька один, остальные добровольные сиделки.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus
2009-11-24 11:07 ` Anton Farygin
@ 2009-11-24 11:25 ` Alexey Rusakov
2009-11-24 11:28 ` Anton Farygin
2009-11-24 11:27 ` REAL
1 sibling, 1 reply; 12+ messages in thread
From: Alexey Rusakov @ 2009-11-24 11:25 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 1474 bytes --]
В Втр, 24/11/2009 в 14:07 +0300, Anton Farygin пишет:
> 24.11.2009 13:24, Alexey Rusakov пишет:
> > В Пнд, 23/11/2009 в 12:49 +0300, Anton Farygin пишет:
> >> 23.11.2009 01:25, Alexey Gladkov пишет:
> >>> 23.11.2009 01:00, Dmitry V. Levin wrote:
> >>>>>> OK: audit: rider inger @everybody
> >>>> Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd
> >>>> are linked with libaudit.so.0, this ACL change effectively means that I
> >>>> can freely grand @everybody now to build pam, SimplePAMApps and openssh
> >>>> packages.
> >>>
> >>> I take care about audit, if you do not mind.
> >>
> >> эээ... @everybody, это далеко не @nobody.
> > У семи нянек дитя без глаза.
>
> Эта пословица не применима в данном контексте.
>
> Нянька один, остальные добровольные сиделки.
Надеюсь, ты понимаешь, что теперь любой мейнтейнер (=человек,
научившийся собирать пакеты для Альта) теперь может взять библиотеку и
собрать специальным образом. И хорошо если ты успеешь отсмотреть
изменения до сборки пакета и публикации Сизифа.
--
Alexey "Ktirf" Rusakov
GNOME Project
ALT Linux Team
[-- Attachment #2: Эта часть сообщения подписана цифровой подписью --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus
2009-11-24 11:07 ` Anton Farygin
2009-11-24 11:25 ` Alexey Rusakov
@ 2009-11-24 11:27 ` REAL
1 sibling, 0 replies; 12+ messages in thread
From: REAL @ 2009-11-24 11:27 UTC (permalink / raw)
To: ALT Linux Team development discussions
Anton Farygin пишет:
>> У семи нянек дитя без глаза.
>
> Эта пословица не применима в данном контексте.
>
> Нянька один, остальные добровольные сиделки.
offtop: да и вообще это больше поговорка, т.е. не "как правило", а по
отношению к нерадивым ;)
--
REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus
2009-11-24 11:25 ` Alexey Rusakov
@ 2009-11-24 11:28 ` Anton Farygin
2009-11-24 22:17 ` Alexey Rusakov
0 siblings, 1 reply; 12+ messages in thread
From: Anton Farygin @ 2009-11-24 11:28 UTC (permalink / raw)
To: ALT Linux Team development discussions
24.11.2009 14:25, Alexey Rusakov пишет:
> В Втр, 24/11/2009 в 14:07 +0300, Anton Farygin пишет:
>> 24.11.2009 13:24, Alexey Rusakov пишет:
>>> В Пнд, 23/11/2009 в 12:49 +0300, Anton Farygin пишет:
>>>> 23.11.2009 01:25, Alexey Gladkov пишет:
>>>>> 23.11.2009 01:00, Dmitry V. Levin wrote:
>>>>>>>> OK: audit: rider inger @everybody
>>>>>> Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd
>>>>>> are linked with libaudit.so.0, this ACL change effectively means that I
>>>>>> can freely grand @everybody now to build pam, SimplePAMApps and openssh
>>>>>> packages.
>>>>>
>>>>> I take care about audit, if you do not mind.
>>>>
>>>> эээ... @everybody, это далеко не @nobody.
>>> У семи нянек дитя без глаза.
>>
>> Эта пословица не применима в данном контексте.
>>
>> Нянька один, остальные добровольные сиделки.
> Надеюсь, ты понимаешь, что теперь любой мейнтейнер (=человек,
> научившийся собирать пакеты для Альта) теперь может взять библиотеку и
> собрать специальным образом. И хорошо если ты успеешь отсмотреть
> изменения до сборки пакета и публикации Сизифа.
Понимаю. Собственно говоря, я уже не раз говорил - это вопрос доверия
коллегам по цеху.
Ты кому-то из Team не доверяешь ?
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus
2009-11-24 11:28 ` Anton Farygin
@ 2009-11-24 22:17 ` Alexey Rusakov
2009-11-24 22:20 ` Anton Farygin
0 siblings, 1 reply; 12+ messages in thread
From: Alexey Rusakov @ 2009-11-24 22:17 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 1662 bytes --]
В Втр, 24/11/2009 в 14:28 +0300, Anton Farygin пишет:
> > Надеюсь, ты понимаешь, что теперь любой мейнтейнер (=человек,
> > научившийся собирать пакеты для Альта) теперь может взять библиотеку и
> > собрать специальным образом. И хорошо если ты успеешь отсмотреть
> > изменения до сборки пакета и публикации Сизифа.
>
> Понимаю. Собственно говоря, я уже не раз говорил - это вопрос доверия
> коллегам по цеху.
>
> Ты кому-то из Team не доверяешь ?
В отношении конкретных пакетов (не своих, а что-нибудь вроде glibc или
того же PAM) - я доверяю очень узкому кругу людей, в который не включаю
себя (бо не специалист в вопросе). На самом деле проблема даже не в
текущих мейнтейнерах, а в целенаправленном прохождении join@ с целью
скомпрометировать тот или иной пакет. Вероятно, это паранойя и
кликушество, но тем не менее, @everybody резко упрощает получение
доступа к телу^Wbasesystem, и мне от этого не слишком комфортно.
--
Alexey "Ktirf" Rusakov
GNOME Project
ALT Linux Team
[-- Attachment #2: Эта часть сообщения подписана цифровой подписью --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus
2009-11-24 22:17 ` Alexey Rusakov
@ 2009-11-24 22:20 ` Anton Farygin
0 siblings, 0 replies; 12+ messages in thread
From: Anton Farygin @ 2009-11-24 22:20 UTC (permalink / raw)
To: ALT Linux Team development discussions
25.11.2009 01:17, Alexey Rusakov пишет:
> В Втр, 24/11/2009 в 14:28 +0300, Anton Farygin пишет:
>>> Надеюсь, ты понимаешь, что теперь любой мейнтейнер (=человек,
>>> научившийся собирать пакеты для Альта) теперь может взять библиотеку и
>>> собрать специальным образом. И хорошо если ты успеешь отсмотреть
>>> изменения до сборки пакета и публикации Сизифа.
>>
>> Понимаю. Собственно говоря, я уже не раз говорил - это вопрос доверия
>> коллегам по цеху.
>>
>> Ты кому-то из Team не доверяешь ?
> В отношении конкретных пакетов (не своих, а что-нибудь вроде glibc или
> того же PAM) - я доверяю очень узкому кругу людей, в который не включаю
> себя (бо не специалист в вопросе). На самом деле проблема даже не в
> текущих мейнтейнерах, а в целенаправленном прохождении join@ с целью
> скомпрометировать тот или иной пакет. Вероятно, это паранойя и
> кликушество, но тем не менее, @everybody резко упрощает получение
> доступа к телу^Wbasesystem, и мне от этого не слишком комфортно.
А я вот не парюсь. В любом случае, от целенаправленной атаки на
репозиторий мы не застрахованы даже в случае наличия ACL.
И пакет к тебе влетит с очередным обновлением, и своё чёрное дело
сделает когда надо..
Могу рассказать как, если сам не знаешь.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus
2009-11-23 9:49 ` Anton Farygin
@ 2009-11-28 23:47 ` Michael Shigorin
0 siblings, 0 replies; 12+ messages in thread
From: Michael Shigorin @ 2009-11-28 23:47 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Mon, Nov 23, 2009 at 12:49:18PM +0300, Anton Farygin wrote:
> @everybody не означает, что все изменения в коде audit не будут
> отслеживаться.
А ты всё-таки подписался на коммиты в audit ото всех?
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2009-11-28 23:47 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-11-22 22:00 ` [devel] [girar-acl] sisyphus Dmitry V. Levin
2009-11-22 22:25 ` Alexey Gladkov
2009-11-23 9:49 ` Anton Farygin
2009-11-24 10:24 ` Alexey Rusakov
2009-11-24 11:07 ` Anton Farygin
2009-11-24 11:25 ` Alexey Rusakov
2009-11-24 11:28 ` Anton Farygin
2009-11-24 22:17 ` Alexey Rusakov
2009-11-24 22:20 ` Anton Farygin
2009-11-24 11:27 ` REAL
2009-11-23 9:49 ` Anton Farygin
2009-11-28 23:47 ` Michael Shigorin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git