On Thu, Nov 16, 2023 at 08:39:13AM +0300, Anton Farygin wrote:
> On 15.11.2023 20:52, Arseny Maslennikov wrote:
> > On Wed, Nov 15, 2023 at 08:48:00PM +0300, Arseny Maslennikov wrote:
> > > часть её протокола взаимодействия с кем-то, то лучше завести отдельную,
> > > _kdesu какое-нибудь.
> > У нас же правило о том, что имена системных усеров и групп, добавляемых
> > пакетами, должны начинаться с _, утверждено как обязательное, надеюсь?
> > 
> > Так себе и представляю живого пользователя-анимешника с никнеймом K-desu. :]
> 
> Не видел такого правила.
> 
> Это, кстати, было бы отлично привести в порядок.

И заодно разобраться с подразумеваемым смыслом всяких волшебных групп вроде wheel.
Ничего, впрочем, не мешает сначала утвердить nobody, а далее, если появится
пропозал, включить содержимое NobodySubjectPolicy целиком или частично туда.

> Есть ещё одна проблема - иногда так случается, что системные сервисы на
> разных узлах должны работать под одним UID/GID

Это чтобы потакать криворукому софту, или ради общих R/W ФС на кластер?

> Сейчас у нас нет внятного механизма заведения таких системных пользователей.
> 
> А у пакета setup очень консервативные ментейнеры.
> 
> Было бы неплохо придумать какую-то схему по выделению/резервированию UID/GID
> для системных служб.

Я не уверен, что это реально нужно и стоит делать в репозитории.

Наверное, будет удобно и достаточно стащить у системдоидов программу
sysusers[1], превратив её в самостоятельную.

Далее — завести пакет static-ugids-setup, где вести реестр таких уидов в
виде отдельных файликов-записей. Внутри одного пакета будет легче
следить за непересечениями, чем между разными пакетами. Пакет без явного
мейнтейнера (@everybody), но с проверкой.
Но тогда непонятно, из какого диапазона можно безопасно выделять уиды
так, чтобы они не были заняты в существующих системах, и хватит ли этих
уидов всем таким капризным службам в репозитории.
Директива DynamicUser= в systemd себе прихватила некоторый отрезок после
[UG]ID_MAX-настройки в /etc/login.defs.

[1] man 5 sysusers.d