Bug 3909

Summary: [FR][5.0] профили безопасности
Product: Sisyphus Reporter: Anton Farygin <rider>
Component: controlAssignee: Dmitry V. Levin <ldv>
Status: CLOSED WONTFIX QA Contact: qa-sisyphus
Severity: enhancement    
Priority: P2 CC: eostapets, inger, ldv, mike, placeholder, sr, vvk
Version: unstable   
Hardware: all   
OS: Linux   
Bug Depends on: 7240    
Bug Blocks: 3459, 5087, 7371    

Description Anton Farygin 2004-03-30 20:22:49 MSD
Было бы неплохо, что бы control'у можно было сказать для всех вновь добавляемых
на контроль программ по умолчанию ставить определенный уровень доступности
(например самый суровый). Это позволило бы меньше беспокоится о том, какие
уровни доступа установлены в пакетах по умолчанию.
Comment 1 Anton Farygin 2004-05-14 19:41:41 MSD
IMHO нужно сделать к следующему дистрибутиву.
Сегодня опять столкнулся с отсуствием уровня control у одного из пакетов.
Comment 2 Dmitry V. Levin 2004-06-08 13:24:13 MSD
override'ить default'ы, прописанные в пакетах, опасно.

Уровни безопасности лучше реализовать отдельно.
Comment 3 Anton Farygin 2004-06-09 10:47:56 MSD
Речь не о том, что уровни безопасности есть в пакетах.

Я говорю про те пакеты, после становки которых уровни безопасности отсуствуют.

При чем я не понимаю чья это ошибка: пакета или control.
Например:
# control|grep unknown
cifsmount       unknown         (public wheelonly restricted)
Comment 4 Dmitry V. Levin 2004-06-09 13:39:27 MSD
Баг с cifsmount - это грубая ошибка в пакете samba-client.
Comment 5 Anton Farygin 2004-06-09 14:35:52 MSD
перевешиваю на samba-client.
Все вопросы к control сняты.
Comment 6 Dmitry V. Levin 2004-06-09 14:46:55 MSD
Я имел в виду т.н. профили безопасности.

Ну да ладно, с профилями как-нибудь потом.
Comment 7 Anton Farygin 2005-06-14 12:09:37 MSD
перевешиваю на control
Comment 8 Michael Shigorin 2005-06-14 14:51:25 MSD
Да, к Master 3 было бы неплохо большой краник для дефолтов control иметь...
Comment 9 Dmitry V. Levin 2005-06-15 13:29:41 MSD
Может, лучше реализовать это отдельным пакетом?
Comment 10 Michael Shigorin 2005-06-15 13:36:39 MSD
Я вчера не придумал сходу, как это вообще реализовать %)

То ли control надо перечитать, то ли -- "да уж как тебе удобней" сказать. :)
Comment 11 Michael Shigorin 2005-06-29 15:08:43 MSD
depends несколько условный, но чтоб не забыть...
Comment 12 Sergey V Turchin 2005-06-29 20:47:52 MSD
Дело в том, что control охватывает не только безопасность, но и что-угодно. 
Т.е. пока нельзя сделать вместе 
сontrol something secure 
и 
сontrol something workstation 
Надо, чтоб его архитектура требовала реализации в конкретном facilyty понятий 
о безопасности и функциональности по некому стандарту. 
Т.к. мы отказались от таких понятий, то пока нифига не будет. 
Comment 13 Michael Shigorin 2005-06-29 22:08:39 MSD
(In reply to comment #12)
> Т.к. мы отказались от таких понятий, то пока нифига не будет. 
Отказались -- "пока"?  Тогда см. "[3.1]".

Если не пока, то дистрибутиву крышка. :) (ну или подумать и сделать как надо, и
как раз _здесь_ мало где сделано хорошо, но практически везде -- хоть как-то)
Comment 14 Michael Shigorin 2008-09-17 23:33:53 MSD
Ну крышка не крышка, а эта бага -- последняя открытая на собиралку по M24. :)

Хорошо бы к Server 5.0 всё-таки придумать метарубильник.
Comment 15 Michael Shigorin 2013-08-15 16:02:44 MSK
Предлагаю этот баг закрыть для ясности, если с тех пор появились более конкретные пожелания -- оформить их в качестве более похожего на ТЗ бага.

Со своей стороны сделал поддержку в mkimage-profiles:
http://git.altlinux.org/people/mike/packages/?p=mkimage-profiles.git;a=blob;f=features.in/control/config.mk;hb=HEAD
и готов участвовать в выработке требований к инструменту поверх control(8).
Comment 16 Michael Shigorin 2015-05-23 15:52:34 MSK
1) по факту WONTFIX;
2) к ТЗ: может иметь смысл прошерстить имеющиеся control facilities, классифицировать имеющиеся варианты и для некоторых из них предложить разумные подборки значений по умолчанию с точки зрения дистрибутивов/контейнеров и прочих вариантов применения, когда изменение пакетных умолчаний неоправданно; на localhost:

# control 2>/dev/null | cut -f2- -d'(' | tr -d ')' | tr ' ' '\n' | sort | uniq -c | sort -rn
     37 restricted
     35 public
     10 wheelonly
      7 netadmin
      5 server
      5 local
      5 legacy
      5 enabled
      5 disabled
      3 traditional
      2 tcb
      2 default
      1 xgrp
      1 winbind
      1 wheel
      1 vmusers
      1 vboxusers
      1 uucp
      1 users
      1 unprivileged
      1 strict
      1 shared
      1 relaxed
      1 pkcs11
      1 multi
      1 mailadm
      1 ldap
      1 krb5_ccreds
      1 krb5
      1 fuseonly
      1 filter
      1 everyone
      1 client
      1 atdaemon

Из них первые четыре в достаточной мере распространены и характеристичны, чтобы была техническая возможность сделать что-то вроде описания "wheelonly, netadmin: что первое найдётся в списке, то и поставь".