<div dir="ltr">oslo.privsep change: <a href="https://review.openstack.org/#/c/329766/">https://review.openstack.org/#/c/329766/</a><div>And the nova change that uses it: <a href="https://review.openstack.org/#/c/329769">https://review.openstack.org/#/c/329769</a></div><div><br></div><div>In particular I'm unsure if os-brick/os-vif is even loaded at this point in nova-compute main().  Does anyone know when that actually happens or shall I go exploring?</div><div><br></div><div> - Gus</div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, 15 Jun 2016 at 11:43 Sean Dague <<a href="mailto:sean@dague.net">sean@dague.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 06/14/2016 06:11 PM, Angus Lees wrote:<br>
> Yep (3) is quite possible, and the only reason it doesn't just do this<br>
> already is because there's no way to find the name of the rootwrap<br>
> command to use (from any library, privsep or os-brick) - and I was never<br>
> very happy with the current need to specify a command line in<br>
> oslo.config purely for this lame reason.<br>
><br>
> As Sean points out, all the others involve some sort of configuration<br>
> change preceding the code.  I had imagined rollouts would work by<br>
> pushing out the harmless conf or sudoers change first, but hadn't<br>
> appreciated the strict change phases imposed by grenade (and ourselves).<br>
><br>
> If all "end-application" devs are happy calling something like (3)<br>
> before the first privileged operation occurs, then we should be good.  I<br>
> might even take the opportunity to phrase it as a general privsep.init()<br>
> function, and then we can use it for any other top-of-main()<br>
> privilege-setup steps that need to be taken in the future.<br>
<br>
That sounds promising. It would be fine to emit a warning if it only was<br>
using the default, asking people to make a configuration change to make<br>
it go away. We're totally good with things functioning with warnings<br>
after transitions, that ops can adjust during their timetable.<br>
<br>
        -Sean<br>
<br>
--<br>
Sean Dague<br>
<a href="http://dague.net" rel="noreferrer" target="_blank">http://dague.net</a><br>
<br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
--<br>
Message  protected by MailGuard: e-mail anti-virus, anti-spam and content filtering.<a href="http://www.mailguard.com.au/mg" rel="noreferrer" target="_blank">http://www.mailguard.com.au/mg</a><br>
Click here to report this message as spam:<br>
<a href="https://console.mailguard.com.au/ras/1ODUv4oqIN/4x80DVYpDOULTM59jB3mdH/0.82" rel="noreferrer" target="_blank">https://console.mailguard.com.au/ras/1ODUv4oqIN/4x80DVYpDOULTM59jB3mdH/0.82</a><br>
<br>
</blockquote></div>