* Re: [devel] [girar-acl] sisyphus @ 2009-11-22 22:00 ` Dmitry V. Levin 2009-11-22 22:25 ` Alexey Gladkov 2009-11-23 9:49 ` Anton Farygin 0 siblings, 2 replies; 12+ messages in thread From: Dmitry V. Levin @ 2009-11-22 22:00 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 587 bytes --] On Mon, Nov 23, 2009 at 12:32:02AM +0300, Girar ACL robot wrote: > Dear Anton Farygin! > > Result of your acl command(s) is listed below: > > < libsemanage add @everybody > > OK: libsemanage: rider shrek @everybody > < audit add @everybody > > OK: audit: rider inger @everybody > > Summary: acl change transaction COMPLETE. Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd are linked with libaudit.so.0, this ACL change effectively means that I can freely grand @everybody now to build pam, SimplePAMApps and openssh packages. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --] ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus 2009-11-22 22:00 ` [devel] [girar-acl] sisyphus Dmitry V. Levin @ 2009-11-22 22:25 ` Alexey Gladkov 2009-11-23 9:49 ` Anton Farygin 2009-11-23 9:49 ` Anton Farygin 1 sibling, 1 reply; 12+ messages in thread From: Alexey Gladkov @ 2009-11-22 22:25 UTC (permalink / raw) To: devel 23.11.2009 01:00, Dmitry V. Levin wrote: >>> OK: audit: rider inger @everybody > Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd > are linked with libaudit.so.0, this ACL change effectively means that I > can freely grand @everybody now to build pam, SimplePAMApps and openssh > packages. I take care about audit, if you do not mind. -- Rgrds, legion ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus 2009-11-22 22:25 ` Alexey Gladkov @ 2009-11-23 9:49 ` Anton Farygin 2009-11-24 10:24 ` Alexey Rusakov 0 siblings, 1 reply; 12+ messages in thread From: Anton Farygin @ 2009-11-23 9:49 UTC (permalink / raw) To: ALT Linux Team development discussions 23.11.2009 01:25, Alexey Gladkov пишет: > 23.11.2009 01:00, Dmitry V. Levin wrote: >>>> OK: audit: rider inger @everybody >> Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd >> are linked with libaudit.so.0, this ACL change effectively means that I >> can freely grand @everybody now to build pam, SimplePAMApps and openssh >> packages. > > I take care about audit, if you do not mind. эээ... @everybody, это далеко не @nobody. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus 2009-11-23 9:49 ` Anton Farygin @ 2009-11-24 10:24 ` Alexey Rusakov 2009-11-24 11:07 ` Anton Farygin 0 siblings, 1 reply; 12+ messages in thread From: Alexey Rusakov @ 2009-11-24 10:24 UTC (permalink / raw) To: devel [-- Attachment #1: Type: text/plain, Size: 692 bytes --] В Пнд, 23/11/2009 в 12:49 +0300, Anton Farygin пишет: > 23.11.2009 01:25, Alexey Gladkov пишет: > > 23.11.2009 01:00, Dmitry V. Levin wrote: > >>>> OK: audit: rider inger @everybody > >> Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd > >> are linked with libaudit.so.0, this ACL change effectively means that I > >> can freely grand @everybody now to build pam, SimplePAMApps and openssh > >> packages. > > > > I take care about audit, if you do not mind. > > эээ... @everybody, это далеко не @nobody. У семи нянек дитя без глаза. -- Alexey "Ktirf" Rusakov GNOME Project ALT Linux Team [-- Attachment #2: Эта часть сообщения подписана цифровой подписью --] [-- Type: application/pgp-signature, Size: 198 bytes --] ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus 2009-11-24 10:24 ` Alexey Rusakov @ 2009-11-24 11:07 ` Anton Farygin 2009-11-24 11:25 ` Alexey Rusakov 2009-11-24 11:27 ` REAL 0 siblings, 2 replies; 12+ messages in thread From: Anton Farygin @ 2009-11-24 11:07 UTC (permalink / raw) To: ALT Linux Team development discussions 24.11.2009 13:24, Alexey Rusakov пишет: > В Пнд, 23/11/2009 в 12:49 +0300, Anton Farygin пишет: >> 23.11.2009 01:25, Alexey Gladkov пишет: >>> 23.11.2009 01:00, Dmitry V. Levin wrote: >>>>>> OK: audit: rider inger @everybody >>>> Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd >>>> are linked with libaudit.so.0, this ACL change effectively means that I >>>> can freely grand @everybody now to build pam, SimplePAMApps and openssh >>>> packages. >>> >>> I take care about audit, if you do not mind. >> >> эээ... @everybody, это далеко не @nobody. > У семи нянек дитя без глаза. Эта пословица не применима в данном контексте. Нянька один, остальные добровольные сиделки. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus 2009-11-24 11:07 ` Anton Farygin @ 2009-11-24 11:25 ` Alexey Rusakov 2009-11-24 11:28 ` Anton Farygin 2009-11-24 11:27 ` REAL 1 sibling, 1 reply; 12+ messages in thread From: Alexey Rusakov @ 2009-11-24 11:25 UTC (permalink / raw) To: devel [-- Attachment #1: Type: text/plain, Size: 1474 bytes --] В Втр, 24/11/2009 в 14:07 +0300, Anton Farygin пишет: > 24.11.2009 13:24, Alexey Rusakov пишет: > > В Пнд, 23/11/2009 в 12:49 +0300, Anton Farygin пишет: > >> 23.11.2009 01:25, Alexey Gladkov пишет: > >>> 23.11.2009 01:00, Dmitry V. Levin wrote: > >>>>>> OK: audit: rider inger @everybody > >>>> Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd > >>>> are linked with libaudit.so.0, this ACL change effectively means that I > >>>> can freely grand @everybody now to build pam, SimplePAMApps and openssh > >>>> packages. > >>> > >>> I take care about audit, if you do not mind. > >> > >> эээ... @everybody, это далеко не @nobody. > > У семи нянек дитя без глаза. > > Эта пословица не применима в данном контексте. > > Нянька один, остальные добровольные сиделки. Надеюсь, ты понимаешь, что теперь любой мейнтейнер (=человек, научившийся собирать пакеты для Альта) теперь может взять библиотеку и собрать специальным образом. И хорошо если ты успеешь отсмотреть изменения до сборки пакета и публикации Сизифа. -- Alexey "Ktirf" Rusakov GNOME Project ALT Linux Team [-- Attachment #2: Эта часть сообщения подписана цифровой подписью --] [-- Type: application/pgp-signature, Size: 198 bytes --] ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus 2009-11-24 11:25 ` Alexey Rusakov @ 2009-11-24 11:28 ` Anton Farygin 2009-11-24 22:17 ` Alexey Rusakov 0 siblings, 1 reply; 12+ messages in thread From: Anton Farygin @ 2009-11-24 11:28 UTC (permalink / raw) To: ALT Linux Team development discussions 24.11.2009 14:25, Alexey Rusakov пишет: > В Втр, 24/11/2009 в 14:07 +0300, Anton Farygin пишет: >> 24.11.2009 13:24, Alexey Rusakov пишет: >>> В Пнд, 23/11/2009 в 12:49 +0300, Anton Farygin пишет: >>>> 23.11.2009 01:25, Alexey Gladkov пишет: >>>>> 23.11.2009 01:00, Dmitry V. Levin wrote: >>>>>>>> OK: audit: rider inger @everybody >>>>>> Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd >>>>>> are linked with libaudit.so.0, this ACL change effectively means that I >>>>>> can freely grand @everybody now to build pam, SimplePAMApps and openssh >>>>>> packages. >>>>> >>>>> I take care about audit, if you do not mind. >>>> >>>> эээ... @everybody, это далеко не @nobody. >>> У семи нянек дитя без глаза. >> >> Эта пословица не применима в данном контексте. >> >> Нянька один, остальные добровольные сиделки. > Надеюсь, ты понимаешь, что теперь любой мейнтейнер (=человек, > научившийся собирать пакеты для Альта) теперь может взять библиотеку и > собрать специальным образом. И хорошо если ты успеешь отсмотреть > изменения до сборки пакета и публикации Сизифа. Понимаю. Собственно говоря, я уже не раз говорил - это вопрос доверия коллегам по цеху. Ты кому-то из Team не доверяешь ? ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus 2009-11-24 11:28 ` Anton Farygin @ 2009-11-24 22:17 ` Alexey Rusakov 2009-11-24 22:20 ` Anton Farygin 0 siblings, 1 reply; 12+ messages in thread From: Alexey Rusakov @ 2009-11-24 22:17 UTC (permalink / raw) To: devel [-- Attachment #1: Type: text/plain, Size: 1662 bytes --] В Втр, 24/11/2009 в 14:28 +0300, Anton Farygin пишет: > > Надеюсь, ты понимаешь, что теперь любой мейнтейнер (=человек, > > научившийся собирать пакеты для Альта) теперь может взять библиотеку и > > собрать специальным образом. И хорошо если ты успеешь отсмотреть > > изменения до сборки пакета и публикации Сизифа. > > Понимаю. Собственно говоря, я уже не раз говорил - это вопрос доверия > коллегам по цеху. > > Ты кому-то из Team не доверяешь ? В отношении конкретных пакетов (не своих, а что-нибудь вроде glibc или того же PAM) - я доверяю очень узкому кругу людей, в который не включаю себя (бо не специалист в вопросе). На самом деле проблема даже не в текущих мейнтейнерах, а в целенаправленном прохождении join@ с целью скомпрометировать тот или иной пакет. Вероятно, это паранойя и кликушество, но тем не менее, @everybody резко упрощает получение доступа к телу^Wbasesystem, и мне от этого не слишком комфортно. -- Alexey "Ktirf" Rusakov GNOME Project ALT Linux Team [-- Attachment #2: Эта часть сообщения подписана цифровой подписью --] [-- Type: application/pgp-signature, Size: 198 bytes --] ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus 2009-11-24 22:17 ` Alexey Rusakov @ 2009-11-24 22:20 ` Anton Farygin 0 siblings, 0 replies; 12+ messages in thread From: Anton Farygin @ 2009-11-24 22:20 UTC (permalink / raw) To: ALT Linux Team development discussions 25.11.2009 01:17, Alexey Rusakov пишет: > В Втр, 24/11/2009 в 14:28 +0300, Anton Farygin пишет: >>> Надеюсь, ты понимаешь, что теперь любой мейнтейнер (=человек, >>> научившийся собирать пакеты для Альта) теперь может взять библиотеку и >>> собрать специальным образом. И хорошо если ты успеешь отсмотреть >>> изменения до сборки пакета и публикации Сизифа. >> >> Понимаю. Собственно говоря, я уже не раз говорил - это вопрос доверия >> коллегам по цеху. >> >> Ты кому-то из Team не доверяешь ? > В отношении конкретных пакетов (не своих, а что-нибудь вроде glibc или > того же PAM) - я доверяю очень узкому кругу людей, в который не включаю > себя (бо не специалист в вопросе). На самом деле проблема даже не в > текущих мейнтейнерах, а в целенаправленном прохождении join@ с целью > скомпрометировать тот или иной пакет. Вероятно, это паранойя и > кликушество, но тем не менее, @everybody резко упрощает получение > доступа к телу^Wbasesystem, и мне от этого не слишком комфортно. А я вот не парюсь. В любом случае, от целенаправленной атаки на репозиторий мы не застрахованы даже в случае наличия ACL. И пакет к тебе влетит с очередным обновлением, и своё чёрное дело сделает когда надо.. Могу рассказать как, если сам не знаешь. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus 2009-11-24 11:07 ` Anton Farygin 2009-11-24 11:25 ` Alexey Rusakov @ 2009-11-24 11:27 ` REAL 1 sibling, 0 replies; 12+ messages in thread From: REAL @ 2009-11-24 11:27 UTC (permalink / raw) To: ALT Linux Team development discussions Anton Farygin пишет: >> У семи нянек дитя без глаза. > > Эта пословица не применима в данном контексте. > > Нянька один, остальные добровольные сиделки. offtop: да и вообще это больше поговорка, т.е. не "как правило", а по отношению к нерадивым ;) -- REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus 2009-11-22 22:00 ` [devel] [girar-acl] sisyphus Dmitry V. Levin 2009-11-22 22:25 ` Alexey Gladkov @ 2009-11-23 9:49 ` Anton Farygin 2009-11-28 23:47 ` Michael Shigorin 1 sibling, 1 reply; 12+ messages in thread From: Anton Farygin @ 2009-11-23 9:49 UTC (permalink / raw) To: ALT Linux Team development discussions 23.11.2009 01:00, Dmitry V. Levin пишет: > On Mon, Nov 23, 2009 at 12:32:02AM +0300, Girar ACL robot wrote: >> Dear Anton Farygin! >> >> Result of your acl command(s) is listed below: >> >> < libsemanage add @everybody >>> OK: libsemanage: rider shrek @everybody >> < audit add @everybody >>> OK: audit: rider inger @everybody >> >> Summary: acl change transaction COMPLETE. > > Taking into consideration that libpam.so.0, /bin/login, and /usr/sbin/sshd > are linked with libaudit.so.0, this ACL change effectively means that I > can freely grand @everybody now to build pam, SimplePAMApps and openssh > packages. @everybody не означает, что все изменения в коде audit не будут отслеживаться. Кстати, было бы неплохо информировать leader обо всех изменениях в его пакетах _отдельным_ письмом. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] [girar-acl] sisyphus 2009-11-23 9:49 ` Anton Farygin @ 2009-11-28 23:47 ` Michael Shigorin 0 siblings, 0 replies; 12+ messages in thread From: Michael Shigorin @ 2009-11-28 23:47 UTC (permalink / raw) To: ALT Linux Team development discussions On Mon, Nov 23, 2009 at 12:49:18PM +0300, Anton Farygin wrote: > @everybody не означает, что все изменения в коде audit не будут > отслеживаться. А ты всё-таки подписался на коммиты в audit ото всех? -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2009-11-28 23:47 UTC | newest] Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2009-11-22 22:00 ` [devel] [girar-acl] sisyphus Dmitry V. Levin 2009-11-22 22:25 ` Alexey Gladkov 2009-11-23 9:49 ` Anton Farygin 2009-11-24 10:24 ` Alexey Rusakov 2009-11-24 11:07 ` Anton Farygin 2009-11-24 11:25 ` Alexey Rusakov 2009-11-24 11:28 ` Anton Farygin 2009-11-24 22:17 ` Alexey Rusakov 2009-11-24 22:20 ` Anton Farygin 2009-11-24 11:27 ` REAL 2009-11-23 9:49 ` Anton Farygin 2009-11-28 23:47 ` Michael Shigorin
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git