<p dir="ltr"><br>
On Aug 1, 2013 2:06 AM, "Thierry Carrez" <<a href="mailto:thierry@openstack.org">thierry@openstack.org</a>> wrote:<br>
><br>
> Joe Gordon wrote:<br>
> > I tried<br>
> > swapping out rootwrap for sudo and that made the issue go away.    So I<br>
> > think we should go back to supporting just using sudo instead of<br>
> > rootwrap, and make sure any future solutions support a sudo only option<br>
> > as well.  But I am open to other ideas, I just think we need to<br>
> > implement something for Havana.<br>
><br>
> How did you make the swap ? Patched utils.execute ? I guess we could<br>
> introduce some use_sudo_as_root_helper parameter (defaulting to False,<br>
> with security warnings) and preserve rootwrap_config as it is...<br>
></p>
<p dir="ltr">Yes, or something like that.  Hopefully it would be something in Oslo so other projects have this option. If they use rootwrap as well.</p>
<p dir="ltr">Having rootwrap on by default makes nova-network scale very poorly by default.  Which doesn't sound like a good default, but not sure if no rootwrap is a better default. So we may need a better story for deployers ...<br>
</p>
<p dir="ltr">I haven't tried neutron perf yet but that may be better?  But it won't be default until icehouse it looks like.</p>
<p dir="ltr">> It will require a passwordless blanket sudo access for the nova user.</p>
<p dir="ltr">Can't we go back to having a sudoers file white listing which binaries it can call, like before?<br></p>
<p dir="ltr">> The trick is that this is equivalent to running Nova as the root user,<br>
> from a privilege escalation / security domain standpoint. And you can<br>
> already do that, and it will also "make the issue go away" (rootwrap is<br>
> bypassed if called from euid 0).<br>
><br>
> It's cleaner to implement it as an option though, as it will not screw<br>
> up permissions everywhere in case you want to go back to using rootwrap<br>
> at some point in the future.<br>
><br>
> Another important take-away from your comment is that we should preserve<br>
> the ability to run those commands under direct sudo... so if we want to<br>
> allow executing python snippets within rootwrap, we'd need to find a way<br>
> to do it with a call that is sudo-compatible, which might prove a bit<br>
> tricky.<br>
><br>
> --<br>
> Thierry Carrez (ttx)<br>
><br>
> _______________________________________________<br>
> OpenStack-dev mailing list<br>
> <a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</p>