Re: Подскажите инструментарий для file release system.
12 октября 2011 г. 0:25 пользователь Ivan Shmakov
<ivan@gray.siamics.net> написал:
>>>>>> Konstantin Fadeyev <jredkiy@gmail.com> writes:
>
> […]
>
> > Ну предположим. Git держит кучу файлов в относительном порядке.
> > Доступ к хранилищу по ssh и сертификатам. Так, selinux палит
> > пользователя и его процессы, куда им можно и куда нет, и что им и там
> > можно. Есть у идеи шансы на жизнь?
>
> Полагаю, SELinux позволяет ограничить права на уровне файловой
> системы — доступа к файлам и директориям. Проблема в том, что с
> точки зрения Git-хранилища, все изменения находятся в файлах с
> именами вида .git/objects/SH/A-1. Не думаю, что SELinux может
> предотвратить вносение в хранилище objects/-файл с изменением
> вида:
>
> --- denied/file
> +++ denied/file
>
> в то же время дозволяя пользователю внести:
>
> --- allowed/file
> +++ allowed/file
>
> Возвращаясь к теме, я, пожалуй, поддержу идею «анархии» как
> подхода: будем считать каждого разработчика достаточно умным,
> чтобы /не/ вносить изменения в те части кода, в которых его
> вклад не приветствуется.
>
> AIUI, Debian работает по такому принципу. E. g., любой D-D
> может загрузить новую версию любого пакета в incoming/, или же
> управлять отчетами любого пакета в BTS.
>
> --
> FSF associate member #7257
>
>
> --
> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: 86sjmz1j3s.fsf@gray.siamics.net">http://lists.debian.org/86sjmz1j3s.fsf@gray.siamics.net
>
>
Пожалуй я уже совсем выхожу за рамки своих знаний. А если накладывать
ограничение selinux на сам git? Правила selinux достаточно гибки для
этого? Сделать комбинацию ограничений, на пользователя и на git.
Анархия хороша, когда есть достаточно чёткое разделение на составные
части. Тогда можно относительно безопасно завести в каждой части свою
анархию. Иначе будет помойка.
--
Константин Фадеев
Reply to: