[castle] Castle - дальнейшее развитие?

[Dmitry V. Levin]

On Sat, Mar 22, 2003 at 04:32:06PM +0200, Maxim Tyurin wrote:
> On Fri, Mar 21, 2003 at 12:20:23PM +0300, Stanislav Ievlev wrote:
> > On Fri, Mar 21, 2003 at 10:41:33AM +0200, Maxim Tyurin wrote:
> > > Я переводил Castle на Master тестовый сервер (чтоб остался RSBAC) -
> > > получилось недели 2 приседаний :(
> > > 
> > > Если Castle окончательно загнётся - мне быстрее и легче на Trusted
> > > Debian перевести сервера.
> > > Мастер у меня стоит на рабочих станциях - на серверах я от RSBAC
> > > отказаться уже не могу (отличная вещь однако :)
> > > 
> > > P.S. Если Castle будет дальше развиваться - чем я могу помочь в этом
> > > благодарном деле?
> > Развиваться обязательно будет и причём скоро. Сейчас идёт капитальная переделка
> > сборочного процесса ядра. Как только процесс завершится (когда?спросите в
> > sisyphus@) начнутся регулярные сборки в Сизиф ядер с последним RSBAC ;)
> То что ALTLinux Castle будет развиваться меня как активного
> пользователя очень радует.
> 
> Только есть несколько вопросов. Самый главный - как обновлять Castle
> сейчас?
> Не секрет что обновления некоторых пакетов к дистрибутиву уже не
> выходят и вообще обновления стремятся к нулю :( В рассылке советуют
> переходить на Master но в этом переходе, к сожалению, есть немало
> подводных камней. Быстро и без проблем обновить до Master с
> сохранением поддержки RSBAC у меня плохо получается.

Это не удивительно. По сравнению с Castle beta3, в Master 2.2 есть много
нововведений, поддержка которых в системе с RSBAC потребует дополнительной
настройки в духе secfiles.

Например, /bin/ping из ALM 2.2 не будет работать под рутом, если
используется RSBAC и /bin/ping не выдано разрешения на переключение
root->iputils.

Аналогичные проблемы следует ожидать при настройке большинства серверов и
административных утилит из ALM 2.2, которые были значительно
усовершенствованы нами со времён Castle beta3.

> В связи с этим я вижу два выхода из этой ситуации:
> 1) Создать мини-репозитарий Castle to Master with RSBAC support и
> хорошую документацию как обновить работающие сервера с минимальными
> проблемами. 

Т.е. выделить в Sisyphus некоторое подмножество и понять, как сделать его
рабочим в системе с RSBAC?

Такое подмножество в принципе уже есть, оно состоит из объединения компонент
base и castle.

Но пока в Сизифе нет ядра с новым RSBAC, начинать работу по доводке
пакетов и secfiles не представляется возможным.

Впрочем, есть основания полагать, что скоро такое ядро появится.

> 2) Продолжать сборку хотя бы обновлений для Castle. Ели разработчики
> очень загружены другими проектами и не имеют времени для сборке
> обновлений для дистрибутива - перепоручить сборку пакетов другому
> маинтайнеру. 

Не смотря на то, что Spring 2001 уже формально больше не поддерживается, а
Castle beta3 никогда формально не поддерживался, мы стараемся выпускать
обновления для особо опасных уязвимостей, таких как недавно опубликованные
ошибка в samba и kernel kmod ptrace bug. Однако с каждой новой версией это
делать все сложнее, да и спрос на обновления устаревших дистрибутивов
падает.

> Т.к. я очень заинтересован в дистрибутиве - могу заняться любым из
> этих вариантов (тем более что сейчас мне приходится держать свой
> репозиторий для Castle и пересобирать обновлённые пакеты из Мастера
> для него). 

Спасибо.

В перспективе п.1, конечно, полезнее.
С другой стороны, если вы уже сейчас делаете работу в рамках п.2, то я готов
размещать её результаты в разделе обновлений для Castle beta3.


--
ldv
----------- следущая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: отсутствует
Url     : /pipermail/castle/attachments/20030323/fb61ddc2/attachment.bin