[devel] Песочница и аудит для Альтератора (новая тема)

Paul Wolneykien manowar at altlinux.org
Fri Oct 30 12:14:19 UTC 2009 

В Птн, 30/10/2009 в 15:03 +0300, Anton Farygin пишет:
> 30.10.2009 14:58, Paul Wolneykien пишет:
> > В Птн, 30/10/2009 в 14:51 +0300, Anton Farygin пишет:
> >> 30.10.2009 14:14, Paul Wolneykien пишет:
> >>> В Птн, 30/10/2009 в 10:32 +0300, Stanislav Ievlev пишет:
> >>>> 3. Поскольку конфигурирование орудует с объектами очень разной
> >>>> природы, то как откатить какое-либо действие знает только бакенд.
> >>>> Поэтому возможно что в ответ на вызов метода-модификатора будет
> >>>> возвращаться команда для отката действия.
> >>>
> >>>     А почему изменение конфигурации нужно как-то откатывать иначе чем
> >>> накатывать? Речь, на мой взгляд, просто в версии конфигурационного
> >>> файла. Git-справится. Другое дело, что git diff покажет дельту между
> >>> файлами, в которой чёрт ногу сломит. Поэтому я думаю, что стоит
> >>> показывать дельту между "/obj action read" который был раньше и "/obj
> >>> action read" который мы имеем сейчас. Вот в чём была моя основная идея.
> >>
> >> Идея стоящая. Т.е. - можно добавить какую-то прослойку, которая будет
> >> хранить все состояния дерева объектов. И, в зависимости от команды
> >> -откатывать простым write нового значения ?
> >
> >    Нет, простым write, к сожалению не получится. Стас, в своё время, не
> > завёл такого полиси, чтобы все операции выполнялись исключительно
> > посредством read/write. Так что я думаю использовать read и list только
> > для просмотра и сравнения. А восстанавливать конфигурационные файлы
> > напрямую из гита.
> 
> Есть большая засада с тем, что не всё хранится именно в конфигурационных 
> файлах.

  Да. И вот тут как раз таки и нужна прослойка. И, кстати сказать, в
некоторых случаях она уже имеется. Например правила iptables статически
хранятся в etcnet.

> 
> Да, и таким образом, например, не откатить создание пользователя. Тут 
> нужно подумать как следует.

  Да, сфера применения ограниченная. Но, вообще говоря, такие вещи как
пакетная база и пользователи я не отношу к "настройкам".

More information about the Devel mailing list