<div dir="ltr">Dmitry,<div>+1</div><div><br></div><div>Do you plan to port your patchset to future Fuel releases?</div><div><br></div><div>A.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Nov 10, 2015 at 12:14 AM, Dmitry Nikishov <span dir="ltr"><<a href="mailto:dnikishov@mirantis.com" target="_blank">dnikishov@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>Hey guys.</div><div><br></div><div>I've been working on making Fuel not to rely on superuser privileges</div><div>at least for day-to-day operations. These include:</div><div>a) running Fuel services (nailgun, astute etc)</div><div>b) user operations (create env, deploy, update, log in)</div><div><br></div><div>The reason for this is that many security policies simply do not</div><div>allow root access (especially remote) to servers/environments.</div><div><br></div><div>This feature/enhancement means that anything that currently is being</div><div>run under root, will be evaluated and, if possible, put under a non-privileged</div><div>user. This also means that remote root access will be disabled.</div><div>Instead, users will have to log in with "fueladmin" user.</div><div><br></div><div>Together with Omar <gomarivera> we've put together a blueprint[0] and a</div><div>spec[1] for this feature. I've been developing this for Fuel 6.1, so there</div><div>are two patches into fuel-main[2] and fuel-library[3] that can give you an</div><div>impression of current approach.</div><div><br></div><div>These patches do following:</div><div>- Add fuel-admin-user package, which creates 'fueladmin'</div><div>- Make all other fuel-* packages depend on fuel-admin-user</div><div>- Put supervisord under 'fueladmin' user.</div><div><br></div><div>Please review the spec/patches and let's have a discussion on the approach to</div><div>this feature.</div><div><br></div><div>Thank you.</div><div><br></div><div>[0] <a href="https://blueprints.launchpad.net/fuel/+spec/fuel-nonsuperuser" target="_blank">https://blueprints.launchpad.net/fuel/+spec/fuel-nonsuperuser</a></div><div>[1] <a href="https://review.openstack.org/243340" target="_blank">https://review.openstack.org/243340</a></div><div>[2] <a href="https://review.openstack.org/243337" target="_blank">https://review.openstack.org/243337</a></div><div>[3] <a href="https://review.openstack.org/243313" target="_blank">https://review.openstack.org/243313</a></div><span class="HOEnZb"><font color="#888888"><div><br></div>-- <br><div><div dir="ltr"><div><div><font color="#888888"><span><font color="#888888">Dmitry Nikishov,<br></font></span></font></div><font color="#888888"><span><font color="#888888">Deployment Engineer,<br></font></span></font></div><font color="#888888"><span><font color="#888888">Mirantis, Inc.</font></span></font><font color="#888888"><span></span></font></div></div>
</font></span></div></div>
<br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div style="color:rgb(136,136,136);font-size:12.8000001907349px">Adam Heczko</div><div style="color:rgb(136,136,136);font-size:12.8000001907349px">Security Engineer @ Mirantis Inc.</div></div></div>
</div>