<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; ">
<div>A very neat option. I hadn't thought about tasks having policies on them.</div>
<div><br>
</div>
<div>It does seem like a correct way to go, and a way that could help in some of the rootwrap area.</div>
<div><br>
</div>
<div>Good idea jay, the taskflow devs I think are starting to consider this idea and how it might be possible.</div>
<div><br>
</div>
<div>There is as u said a long road, but I think this is just the way it goes, for better or worse.</div>
<div><br>
</div>
<div>-Josh</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Jay Buffington <<a href="mailto:me@jaybuff.com">me@jaybuff.com</a>><br>
<span style="font-weight:bold">Reply-To: </span>OpenStack Development Mailing List <<a href="mailto:openstack-dev@lists.openstack.org">openstack-dev@lists.openstack.org</a>><br>
<span style="font-weight:bold">Date: </span>Tuesday, August 6, 2013 10:15 AM<br>
<span style="font-weight:bold">To: </span>"Daniel P. Berrange" <<a href="mailto:berrange@redhat.com">berrange@redhat.com</a>>, OpenStack Development Mailing List <<a href="mailto:openstack-dev@lists.openstack.org">openstack-dev@lists.openstack.org</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [openstack-dev] Python overhead for rootwrap<br>
</div>
<div><br>
</div>
<div>
<div>
<div dir="ltr"><br>
<div class="gmail_extra">
<div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
Personally I'm of the opinion that from an architectural POV, use of<br>
either rootwrap or sudo is a bad solution, so arguing about which is<br>
better is really missing the bigger picture. In Linux, there has been<br>
a move away from use of sudo or similar approaches, towards the idea<br>
of having privileged separated services. So if you wanted todo stuff<br>
related to storage, you'd have some small daemon running privilegd,<br>
which exposed APIs over DBus, which the non-privileged thing would<br>
call to make storage changes. Operations exposed by the service would<br>
have access control configured via something like PolicyKit, and/or<br>
SELinux/AppArmour.<br>
</blockquote>
<div><br>
</div>
<div>The more I think about this problem the more I'm convinced that rootwrap</div>
<div>simply exists to work around a fundamental design flaw in most (all?) of</div>
<div>the components: a single, threaded, process with poor job/workflow </div>
<div>mnemonics.</div>
<div><br>
</div>
<div>If the architecture was such that every operation was a task which could</div>
<div>be carried out by any process (even a process running on a different host)</div>
<div>and each process publishes job types that it can do, then you could do</div>
<div>proper isolation for just those processes that need to do privileged tasks.</div>
<div><br>
</div>
<div><a href="https://wiki.openstack.org/wiki/TaskFlow">https://wiki.openstack.org/wiki/TaskFlow</a> looks to be headed in the right<br>
</div>
<div>direction, but I worry it's got a very long road ahead.</div>
</div>
</div>
</div>
</div>
</div>
</span>
</body>
</html>