הי שחר (ריינדל)!
ראשית, הרשה לי לציין שתשובתך המפורטת הייתה לתשובה שלי שבה ניסיתי להסביר
לרם-און מדוע ההצעה שלו איננה כל-כך אידיאלית וישימה. ייתכן ולשחר (שמש) אין
בעייה עקרונית לתת לי הרשאות של משתמש על תוך הגדרת תחום אחריות מוגבל של שחזור
שמות-המתחם שאורחו על אסקימו, ומה שהוא התכוון ב-"הכל או לא כלום" היה משהו אחר
לחלוטין.
אני משיב לה משום שהדיון נעשה טכני ומעניין ודן בסוגיה עקרונית.
On Wednesday 03 October 2007, Shachar Raindel wrote:
> שלומי, בוא ננסה למצוא פשרה:
>
> On 10/3/07, Shlomi Fish <[EMAIL PROTECTED]> wrote:
> > On Wednesday 03 October 2007, Ram-on Agmon wrote:
> > > שלום שלומי.
> > >
> > >
> > > נראה לי שאתה יכול להעביר את השינויים הדרושים לשחר, הוא יצור את הדומיין
> > > הוירטואלי או מה שצריך שם, עם הפניה לאיזו תייקיה שאתה צריך ומשם תוכל
> > > להמשיך
> >
> > יש מספר בעיות עם הגישה הזאת:
> >
> > 1. אני רוצה לעשות זאת באופן הדרגתי - לשחזר יישום וו'ב, לבדוק שהוא עובד,
> > ברגע שהוא עובד לעבור ליישום הבא, וכו.
>
> אין בעיה לעשות את זה גם בתור משתמש ללא הרשאות Root. תבדוק קודם את הכל
> על המחשב שלך, ואחר כך תפרט לשחר את השינויים שצריך ואיך לבדוק שכל שינוי
> הצליח.
טוב, דבר ראשון, אני משתמש במנדריבה, שהתצורה שלה שונה במידה מסוימת מדביאן Etch
המותקן על tux.hamakor.org.il. כך שקרוב לודאי שזה ידרוש ממני התקנת מכונה
וירטואלית (User-mode-linux או VMware, ואין לי רשיון של VMware או היכולת
הכספית לממן אותו) אצלי במחשב, שמריצה דביאן Etch, עם תצורה זהה לתצורה של tux,
וביצוע הפעולות עליה.
אחר-כך אצטרך לפרט לשחר כיצד לשחזר את מה שעשיתי במדויק, במידה שאזכור זאת כמו
שצריך. אם כבר, עדיף שאדריך את שחר באמצעות תוכנת מסרים-מיידיים כיצד לעשות זאת,
על סמך התצורה של השרת הישן שכאמור זמינה.
ההצעה שלך מהווה עבודה רבה בהרבה בשבילי, ועבודה נוספת בשביל שחר.
>
> > 2. אני עדיין צריך אפשרות לשלוח סיגנל לאפאצ'י שיקרא מחדש את התצורה כדי
> > שאוכל להעלות דומיינים חדשים.
>
> בשביל זה אתה צריך לבקש משחר שייתן לך זכויות sudo על kill. פשוט, קל
> ואפקטיבי.
למעשה אני צריך sudo בשביל:
/etc/init.d/apache
שהוא יותר נוח מאשר kill.
אבל ניחה: קיבלתי.
>
> > 3. ישנם יישומים שידרשו הידור או בניית חבילות. (כמו היישום או שניים שכתבתי
> > בפרל)
>
> אני בטוח שתוכל להסכים עם שחר שמש על פורמט חבילות שהוא יהיה מוכן להתקין
> על השרת. אתה תבנה את החבילה מראש על מחשב פיתוח, ותעלה אותם לשרת בתור
> חבילה מוכנה, אותה בסך הכל שחר יהיה צריך להתקין.
שוב פעם, מכיוון שאני משתמש בבית בהפצה מבוססת rpm יהיה לי קשה לבנות חבילות .deb
תוך בדיקה שהן עובדות. שוב פעם אצטרך מספר מכונות וירטואליות. הכי פשוט זה
להתקין אותן ישירות על השרת.
>
> > 4. זאת תהיה עבודה רבה בהרבה עבור שחר, ויקח זמן רב יותר.
>
> להבין "מה קרה לשרת שלי", או להתפך במיטה מודאג ממצב השרת יקחו לשחר שמש
> אפילו יותר זמן, ויעלו לו בהרבה יותר בריאות. קצת סבלנות, והכל יסתדר.
> בינתיים, אתה יכול להמשיך ולפתח על הקופסה המקומית שלך.
כאן אתה טוען שהכישורים שלי הם מספיק גרועים עד כדי כך שאגרום שהשרת לא יהיה זמין
כלל בעקבות שינוי בתצורת האפאצ'י. לידיעתך, בכל השנים שבהם הייתי מנהל מערכת של
אסקימו, לא זכורה לי פעם אחת שגרמתי לכך שלא אוכל להיכנס לשרת בעזרת ssh בעקבות
שינוי תצורת האפאצ'י. וזה כאמור תחום האחריות הבלעדי שלי.
>
> > 5. זה עלול לדרוש מספר סבבים של תיאום ביני לבין שחר עד שהכל יעבוד כמו
> > שצריך.
>
> עדיף ככה על פני מספר סבבים שבהם שחר מנסה להבין מה קרה לשרת ולמה הוא לא
> עובד/עונה לו (מה שיכול לקרות אפילו בגלל טעות תפעול שלך)
זה יכול לקרות גם בעקבות טעות תפעול של שחר. או בעקבות זאת שההוראות או קבצי הקלט
שנתתי לשחר היו שגויים. אבל שוב פעם - זה נדיר מאוד שזה קורה אם כל מה שעושים זה
reset לאפאצ'י מדי פעם. ואני בטוח שהכישורים שלי בתור מנהל מערכת הם לא הבעייה
שעומדת על הפרק.
>
> > ------
> >
> > אם שחר רוצה ויכול, הוא יכול להסתכל בתצורה הקיימת של השרת הקודם. אבל, אם
> > הוא רוצה להעזר בי, אז הכי פשוט (מבחינתי ומבחינתו) שייתן לי הרשאות משתמש,
> > ואני כבר אסדר את מה שצריך תחת תחום האחריות שלי.
>
> תאם מול שחר תחומי אחריות, תגדיר מולו אילו פעולות יהיה צורך לעשות, ואני
> בטוח שהוא ישמח לעזור לך לעשות אותן, ולתת לך הרשאות לעשות אלו מהן
> שתצטרך להיות מסוגל לבצע באופן שוטף, בעצמך.
טוב. כפי שאמרתי לרם-און מה שאני רוצה הוא להחזיר את שמות-המתחם של אקסימו לסדרם.
לא יותר ולא פחות. (לפחות לא כרגע, עד ששחר יחליט להאציל לי תחומי אחריות
נוספים.) כדי לעשות זאת בדרך שאתה תיארת, זה ידרוש ממני עבודה כפולה ומכופלת עד
שיהיה פשוט בהרבה להשאיר את כל העבודה בידי שחר.
>
> > כפי שציינתי במייל הקודם, אני חושב שההתרשמות של שחר שאני רציתי "הכל או לא
> > כלום" לא הייתה בכוונה של קבלת הרשאות משתמש על, אבל יכול להיות שאני טועה.
> >
> > > .
> > >
> > >
> > > האם הפתרון מקובל עליך? אפשר גם לתת לך קובץ קונפגרציה שתהיה לך הרשאת
> > > כתיבה אליו. אני בטוח שיש פתרונות יצרתיים בנושא.
> >
> > אבל אני גם צריך דרך לרסט ("graceful") את האפאצ'י. אני גם צריך הרשאות
> > מתאימות לבסיס נתונים MySQL וכו וכו. ואם שכחנו משהו, אז אצטרך לפנות לשחר
> > ולחכות שיסדר לי עוד הרשאה נוספת.
>
> כלומר אתה צריך sudo על הסקריפט של /etc/init.d/apache2
> כמו כן, אתה צריך להיות ב-group שהוא הבעלים של קובץ הקונפיגורציה של apache
> ואתה צריך הרשאות ניהול ל-MySQL.
> עוד משהו?
אני צריך גם להיות מסוגל לכתוב למדריכים (= directories) בהם אנו מעוניינים לשכן
את הכל. כמו-כן, כדי לגרום ליישומי הפרל לעבוד אצטרך גם להתקין מספר מודולים
מסי-פאן (שחלקם עלולים לא להימצא במאגר של דביאן וידרשו את dh-make-perl).
אבל עם מה שתארת, אוכל בהחלט להתקדם הרבה, לפחות בנושא של שחזור הויקים והדפים
הסטאטים.
> זה לא כל כך הרבה, ואני מאמין ששחר שמש לא יתקשה מדי לסדר את זה.
> בנוסף, אל תשכח ששחר שמש, למרות שהוא עסוק, עדיין לא עוזב את הארץ ונוסע
> לטיול על הירח (ואפילו שם יש אינטרנט). אם צריך עוד משהו, תבקש משחר שמש
> במייל או תתקשר אליו, ואני מאמין שאם תבקשה יפה בקשה מוצדקת, הוא ישמח
> להעניק לך אותה.
>
> > > כפי שציינתי, כל פתרון שיאפשר לך להיות מעורב, מקובל עלי.
> >
> > כן, גם עליי. אבל מתן הרשאת root היא הדרך הפשוטה ביותר. כל דרך אחרת רק
> > תשים מכשולים בדרכי וגם תטריד את שחר. אין לי כוונה לחבל בשרת. כל מה שאני
> > רוצה הוא להשיב את השירותים שרצו על אקסימו.
>
> כן, אבל שחר שמש מאוד רוצה שרת מאובטח (לפעמים אפילו יותר מדי מאובטח),
> שהוא יודע בדיוק מה קורה בו.
אני בטוח שלא אפגע באבטחת השרת עם מה שאני אעשה.
> אפשר לבצע כ-99% מהפעולות שאתה רוצה לבצע גם
> בתור משתמש רגיל, ולכן אין צורך אמיתי לתת לך root מלא על השרת.
62.5817397% מהסטטיסטיקות מומצאות על המקום. אני לא בטוח שזה 99% ועדיף לא לזרוק
סתם כך מספרים. בכל מקרה, אין לי בעייה לקבל את מה שתיארת כדי שאוכל לשחזר את
הויקים ואת האתרים הסטאטיים. בכל מקרה, זאת תהיה יותר עבודה מלתת לי root על
השרת, ואני לא בטוח שזאת הסוגיה העקרונית שבגללה שחר (שמש) נמנע מלתת לי עד
עכשיו הרשאות מתאימות.
> הבחירה
> בין הטרדה נוספת לבין מתן הרשאות הרבה מעבר לנדרש היא בידיו של שחר שמש
> והוועד. אף אחד לא פיקפק בכוונותיך, אולם שחר שמש מעדיף ניהול מרכזי, למה
> להיכנס בו ראש בראש? מצא את דרך הביניים שתאפשר לכולם להשיג את רוב מה
> שהם רוצים (שחר - שליטה מלאה בשרת, אתה - השבת השירותים שרצו על אסקימו,
> ואני - שקט ב-Inbox שלי)
ייתכן שהבעייה היא ששחר חושב שלא צריך לשחזר את כל השירותים ושמות המתחם שרצו על
אקסימו, ובמקום זאת לבצע הסרה או איחוד. לדעתי, דבר ראשון נשחזר הכל ואחר-כך
נראה מה ניתן לעשות כדי לפשט את המצב, אם בכלל. זאת בהתחשב בעובדה שמנסיוני,
תצורת השרת הישן, אף שהייתה מרובת שמות מתחם ושירותים, לא הייתה בעייתית.
חג שמח!
בכבוד רב,
שלומי פיש
>
> מועדים לשמחה,
>
> --- שחר
>
> > בברכה,
> >
> > שלומי פיש
> >
> > > יום טוב וחג שמח.
> > >
> > > רם-און.
> > >
> > > Shlomi Fish wrote:
> > > > On Wednesday 03 October 2007, Ram-on Agmon wrote:
> > > >> שלום שחר.
> > > >>
> > > >>
> > > >> אני חושב ששלומי לא הציע במסגרת של "הכל או לא כלום".
> > > >>
> > > >>
> > > >> שלומי, האם תאיר את עינינו האם משתמש בעל הרשאות חלקיות, או הרשאות
> > > >> מלאות לזמן מוגבל, יתאימו לתוכניות שלך?
> > > >
> > > > דבר ראשון, אני לא חושב שכששחר אמר "הכל או לא כלום" הוא התכוון מהבחינה
> > > > הזאת.
> > > >
> > > > לשאלתך: כדי שאוכל לקנפג את האפאצ'י, אני זקוק להרשאות של משתמש-על. אבל
> > > > כאמור, לא נראית לי שזאת הייתה הכוונה של שחר.
> > > >
> > > > בכבוד רב,
> > > >
> > > > שלומי פיש
> > > >
> > > >> יום טוב וחג שמח.
> > > >>
> > > >> רם-און.
> > > >>
> > > >> Shachar Shemesh wrote:
> > > >>> Shlomi Fish wrote:
> > > >>>> לפני שחוות השרתים של אקטקום נותקה מהרשת, היו לי הרשאות משתמש-על
> > > >>>> בשני השרתים של העמותה: eskimo (iglu.org.il) ו-beak (מה שפעם ארח את
> > > >>>> hamakor.org.il). כרגע לעמותה יש שרת חדש - tux.hamakor.org.il
> > > >>>> שמאורח בחוות השרתים של בזק בין-לאומי. אולם, בעוד שיש לי חשבון פשוט
> > > >>>> שם, אין לי הרשאות משתמש-על.
> > > >>>>
> > > >>>> כרגע חלק גדול של השירותים שאורחו על השרתים הישנים של העמותה שאני
> > > >>>> הייתי אחראי עליהם, עדיין לא הועלו מחדש. המידע שמשויך אליהם הועתק
> > > >>>> וזמין,אבל צריך מישהו (עם הרשאות מתאימות) שישחזר אותם. לי יש מספיק
> > > >>>> זמן לעשות זאת, וכן רצון ונכונות אבל כאמור אין לי את ההרשאות
> > > >>>> המתאימות.
> > > >>>>
> > > >>>> כתבתי הודעה ל-board בה הצעתי את עזרתי, אבל לא התקבלו תשובות (למעט
> > > >>>> אחת). כרגע, אין לי עדיין הרשאות כך שאין לי יכולת לשחזר את השירותים
> > > >>>> האלה, והם לא פעילים מזה זמן רב.
> > > >>>>
> > > >>>> אני פונה לרשימת דיוור זו מתוך כוונה לשנות את המצב או להזיז משהו,
> > > >>>> כי אני מרגיש שאני לא מספיק מנוצל.
> > > >>>>
> > > >>>> בכבוד רב,
> > > >>>>
> > > >>>> שלומי פיש
> > > >>>
> > > >>> בתור מי שכרגע מנהל את המחשבים, להלן עמדתי בנושא.
> > > >>>
> > > >>> דבר ראשון, אני אשמח לנצל את הנכונות של שלומי בכל מקום שבו היא
> > > >>> רלוונטית, בדיוק כמו שניצלנו את הנכונות של דותן, ליאור, ברוך ואיליה.
> > > >>> כולם ביקשו לעזור, כולם קיבלו הרשאות מתאימות למה שהם ביקשו לעשות,
> > > >>> וכולם תורמים לשירותים שהשרת נותן. אין לי, ומעולם לא היו לי, יומרות
> > > >>> שאני מסוגל לעשות הכל לבד.
> > > >>>
> > > >>> השרתים של המקור היו בתצורה מאוד מורכבת, וקצת מבלבלת. מתוך כמעט עשרה
> > > >>> שמות מתחם שהיו על שני השרתים, לא מעט הכילו דפי Wiki כמעט ריקים. שם
> > > >>> המתחם iglu.org.il, שנקנה ע"י עירא בעיקר כי linux.org.il היה תפוס
> > > >>> (כיום הוא הועבר למקור), ושמהווה את תלונתו המרכזית של שלומי, הכיל
> > > >>> אתר שלא התעדכן כמות מאוד נכבדת של זמן, ושרוב המידע בו היה לא עדכני.
> > > >>>
> > > >>> מתוך ראיה שאני מעוניין לעשות יותר מאשר שהאתרים ימשיכו לעבוד, ניסיתי
> > > >>> לייצר איחוד של שירותים דומים. זה נועד הן כדי להקטין את כמות
> > > >>> הטכנולוגיות השונות שמותקנות על השרת, והן כדי שלמשמשים באתרים יהיה
> > > >>> יותר ברור מה הם מוצאים איפה. כמובן שהעברה שמסתכלת על התוכן לוקחת
> > > >>> יותר זמן. כמו כן, למרבה הצער או השמחה, זמני איננו בניצול חסר,
> > > >>> והדברים קוראים בקצב שאיננו מיידי.
> > > >>>
> > > >>> למרבה הצער, שלומי הציע את עזרתו רק על בסיס הכל או כלום. פעמיים
> > > >>> ביקשתי ממנו לעזור עם ייצור תוכנית מעבר, לקטלג את החומר הקיים לחשוב
> > > >>> וללא עדכני, ולייצר רשימה שאפשר יהיה לעבוד על פיה. על אף זמנו הפנוי
> > > >>> הרב, דבר מכל אלו לא נעשה.
> > > >>>
> > > >>> לאור הנ"ל, אני חושב שחשוב להבין שלהוסיף מנהל זה לא עניין של פשוט
> > > >>> לתת למנהל החדש את הסיסמאות. צריכה להיות הסכמה בין המנהלים לגבי אופי
> > > >>> הניהול. לאור העובדה שבאופן ברור אופי הניהול ששלומי דוגל בו נראה לי
> > > >>> ברור שאנחנו לא יכולים שנינו לנהל את המכונה בו זמנית, אני מתנגד כרגע
> > > >>> לתת לו סיסמת ניהול.
> > > >>>
> > > >>> ההחלטה העדכנית ביותר בנידון נעשתה ע"י הועד הקודם, כאשר הן לינגנו
> > > >>> והן שלומי הגישו הצעה וההצעה של לינגנו התקבלה. מכיוון שכך התקבלה
> > > >>> ההחלטה, אני חושב שמין הראוי שאם רוצים לשנות אותה, יעשו זאת בצורה
> > > >>> מסודרת גם כן. רק לצורך ההבהרה, אם ההחלטה היא להעביר את הניהול
> > > >>> לשלומי, אני אתעקש שיהיה מדובר בהעברת האחריות במלואה. אני לא חושב
> > > >>> שסגנון הניהול שלנו תואם מספקי כדי שננהל את המכונה ביחד.
> > > >>>
> > > >>> אורי כתב:
> > > >>>> היתרון הטכני מזה שאדם אחד מנהל את השרת, מזכיר לי את ה"יתרון" הטכני
> > > >>>> מזה שתוכנה נכתבת על ידי חברה אחת. הרי כולנו כאן יודעים מדוע המילה
> > > >>>> יתרון השנייה במשפט כתובה במרכאות, אז איך פתאום אנחנו שוכחים את זה
> > > >>>> כשמדובר בשרתים שלנו?
> > > >>>
> > > >>> אם תראה לי פרוייקט תוכנה חופשית מצליח אחד שנותן הרשאות commit לכל
> > > >>> מי שמבקש, אני אוכל לדון בהשוואה הזו בצורה עניינית. כל עוד לא ניתן
> > > >>> לשכפל משאבי שרת ושמות מתחם בצורה מהירה ובלי עלות, אנחנו לא יכולים
> > > >>> להפעיל פה את המודל של תוכנה חופשית.
> > > >>>
> > > >>> אם אתה מעוניין לדבוק באנלוגיה שלך, אני אשמח לתת שלומי גישת read
> > > >>> only למלוא החומר הישן, ואשמח לקבל ממנו פאטצ'ים. לתת לו הרשאת commit
> > > >>> אני אתן רק אחרי שאני אשתכנע שאנחנו מסוגלים לנהל את המכונה ביחד בלי
> > > >>> לעשות נזקים או להתעצבן אחד על השני, מה שכרגע אני מאוד רחוק מלהיות
> > > >>> משוכנע בו.
> > > >>>
> > > >>> שחר
> > > >>> -------------------------------------------------------------------
> > > >>>---- -
> > > >>>
> > > >>> _______________________________________________
> > > >>> Board mailing list
> > > >>> [EMAIL PROTECTED]
> > > >>> http://hamakor.org.il/cgi-bin/mailman/listinfo/board
> > > >>
> > > >> _______________________________________________
> > > >> Discussions mailing list
> > > >> [email protected]
> > > >> http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
> >
> > --
> >
> > ---------------------------------------------------------------------
> > Shlomi Fish [EMAIL PROTECTED]
> > Homepage: http://www.shlomifish.org/
> >
> > If it's not in my E-mail it doesn't happen. And if my E-mail is saying
> > one thing, and everything else says something else - E-mail will conquer.
> > -- An Israeli Linuxer
> > _______________________________________________
> > Discussions mailing list
> > [email protected]
> > http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
>
> _______________________________________________
> Discussions mailing list
> [email protected]
> http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
--
---------------------------------------------------------------------
Shlomi Fish [EMAIL PROTECTED]
Homepage: http://www.shlomifish.org/
If it's not in my E-mail it doesn't happen. And if my E-mail is saying
one thing, and everything else says something else - E-mail will conquer.
-- An Israeli Linuxer
_______________________________________________
Discussions mailing list
[email protected]
http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
