12 октября 2011 г. 0:25 пользователь Ivan Shmakov <[email protected]> написал: >>>>>> Konstantin Fadeyev <[email protected]> writes: > > […] > > > Ну предположим. Git держит кучу файлов в относительном порядке. > > Доступ к хранилищу по ssh и сертификатам. Так, selinux палит > > пользователя и его процессы, куда им можно и куда нет, и что им и там > > можно. Есть у идеи шансы на жизнь? > > Полагаю, SELinux позволяет ограничить права на уровне файловой > системы — доступа к файлам и директориям. Проблема в том, что с > точки зрения Git-хранилища, все изменения находятся в файлах с > именами вида .git/objects/SH/A-1. Не думаю, что SELinux может > предотвратить вносение в хранилище objects/-файл с изменением > вида: > > --- denied/file > +++ denied/file > > в то же время дозволяя пользователю внести: > > --- allowed/file > +++ allowed/file > > Возвращаясь к теме, я, пожалуй, поддержу идею «анархии» как > подхода: будем считать каждого разработчика достаточно умным, > чтобы /не/ вносить изменения в те части кода, в которых его > вклад не приветствуется. > > AIUI, Debian работает по такому принципу. E. g., любой D-D > может загрузить новую версию любого пакета в incoming/, или же > управлять отчетами любого пакета в BTS. > > -- > FSF associate member #7257 > > > -- > To UNSUBSCRIBE, email to [email protected] > with a subject of "unsubscribe". Trouble? Contact [email protected] > Archive: http://lists.debian.org/[email protected] > >
Пожалуй я уже совсем выхожу за рамки своих знаний. А если накладывать ограничение selinux на сам git? Правила selinux достаточно гибки для этого? Сделать комбинацию ограничений, на пользователя и на git. Анархия хороша, когда есть достаточно чёткое разделение на составные части. Тогда можно относительно безопасно завести в каждой части свою анархию. Иначе будет помойка. -- Константин Фадеев
