[devel] группа для backup

[Nikolay A. Fetisov]

Здравствуйте,

В Пт, 16/11/2012 в 07:57 +0400, Денис Смирнов пишет:
> У нас есть два замечательных пакета -- etckeeper и syskeeper. Первый
> хранит в git конфиги, второй разнообразную системную информацию.
> 
> Есть желание организовать инфраструктуру для удобного backup этого всего,
> да и, возможно, чего-либо еще.
> 
> Для этого я собираюсь сделать пакет с юзером/группой типа backup:_backup.
> И добиться того, чтобы git repo etckeeper и syskeeper предоставлял группе
> _backup доступ на чтение.
> 
> Соответственно сисадмин сможет прикрутить также для группы _backup
> sudoers, для доступа к каким-либо другим скриптам backup.
> 
> Насколько разумно такое общесистемное решение?

Что имеется в виду? Опциональный пакет, при установке которого:
- вытягиваются по зависимостям etckeeper и syskeeper, если их уже нет;
- создаётся пользователь, группа;
- инициализируется репозиторий etckeeper'а, если его нет;
- разрешается чтение репозиториев etckeeper'а и syskeeper'а для группы,
  по-видимому, с ручкой в control?


В /etc/.git сейчас имеет доступ только root - что, по-умолчанию, наверно
правильно. Учитывая, что доступ к этому репозиторию равнозначен доступу
к любому из файлов в /etc/.

/var/lib/syskeeper сейчас ограничен для чтения @wheel - что тоже
логично, члены @wheel и так имеют доступ к информации о конфигурации
системы.

Добавление к правам на них/изменение доступа для какой-либо группы -
наверное, возможно. Если будет опциональным и отключаемым.

Вот имя пользователя 'backup', на мой взгляд, может встречаться в живых
системах с приличной вероятностью.



P.S. У меня вопросы архивации репозиториев {etc,sys}keeper решаются
скриптом, который периодически:
- вытягивает в отдельный общий репозиторий содержимое master
{etc,sys}keeper в ветки `hostname`/{etc,sys}keeper ;
- проходится по виртуальным машинам OpenVZ и добавляет в отдельные
ветки `hostname`/$VEID репозитории etckeeper из этих машин;
- дополнительно ругается на почту о незакоммиченных изменениях;
- сворачивает общий репозиторий в архив, прогоняет через gpg и 
выкладывает результат с правами, разрешающими скачивать его 
обычному пользователю.
Дальше архив вытягивается через SSH непривилегированным пользователем
туда, где есть закрытый ключ GnuPG.
Каких-либо отдельных пользователей или групп при этом не заводится.


-- 
С уважением,
Николай Фетисов
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 198 байтов
Описание: This is a digitally signed message part
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20121116/dd2ba22a/attachment.bin>