<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat., 30 Mar. 2019, 6:28 pm Thierry Carrez, <<a href="mailto:thierry@openstack.org">thierry@openstack.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Michael Still wrote:<br>
> The reality is that privsep was always going to be a process. It's taken<br>
> more than 80 patches to get close to removing rootwrap.<br>
> <br>
> There are other advantages to removing rootwrap, mainly around<br>
> performance, the integration of library code, and general<br>
> non-bonkersness (cat to tee to write to a file as root), etc.<br>
> <br>
> There is president in the code to mark calls as undesirable, and others<br>
> could be marked like that as well, but ultimately someone needs to do an<br>
> audit and fix things... That's more than one person can reasonably do.<br>
> <br>
> So, who wants to help try and improve this? Patches welcome.<br>
<br>
It's been on my priority-2 TODO list for a while to help with that...<br>
Now if people would stop adding to my priority-1 TODO list...<br>
<br>
Agree that's definitely more than a one-person job, but migrating a<br>
specific call is also a reasonably self-contained unit of work that (1)<br>
does not require a deep understanding of all the code around it, and (2)<br>
does not commit you for a lifelong feature maintenance duty... So maybe<br>
it would be a good thing to suggest newcomers / students to get a poke<br>
at? I'm happy to help with the reviewing if we can come up with a topic<br>
name that helps finding those.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">One concern I have is that I am not sure it's always as simple as it looks. For example, we could enforce that device files are always in /dev, but is that always true on all architectures with all hypervisors? How do we know that?</div><div dir="auto"><br></div><div dir="auto">We could add enforcement and at the same time add a workaround flag to turn it off, which is immediately deprecated so people have a release to notice a breakage. Do we do that per enforcement rule? That's a lot of flags!</div><div dir="auto"><br></div><div dir="auto">Finally, the initial forklift has been a series of relatively simple code swaps (which is really the root of Mr Booth's concern). Even with taking the easy path there haven't been heaps of volunteers helping and some of this code has been in review for quite a long time. Do we really think that volunteers are going to show up now?</div><div dir="auto"><br></div><div dir="auto">Michael</div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>