<div dir="auto">Hey,<div dir="auto"><br></div><div dir="auto">Thanks for the explanations!</div><div dir="auto"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mar. 3 déc. 2019 à 10:43, Thierry Carrez <<a href="mailto:thierry@openstack.org">thierry@openstack.org</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Matt Riedemann wrote:<br>
> [...]<br>
> I want to say mikal converted everything native to nova from rootwrap to <br>
> privsep and that was completed in Train:<br>
> <br>
> <a href="https://docs.openstack.org/releasenotes/nova/train.html#security-issues" rel="noreferrer noreferrer" target="_blank">https://docs.openstack.org/releasenotes/nova/train.html#security-issues</a><br>
> <br>
> "The transition from rootwrap (or sudo) to privsep has been completed <br>
> for nova. The only case where rootwrap is still used is to start privsep <br>
> helpers. All other rootwrap configurations for nova may now be removed."<br>
> <br>
> Looking at what's in the compute.filters file looks like it's all stuff <br>
> for os-brick, but I though os-brick was fully using privsep natively as <br>
> well? Maybe it's just a matter of someone working on this TODO:<br>
> <br>
> <a href="https://opendev.org/openstack/nova/src/branch/master/etc/nova/rootwrap.d/compute.filters#L16" rel="noreferrer noreferrer" target="_blank">https://opendev.org/openstack/nova/src/branch/master/etc/nova/rootwrap.d/compute.filters#L16</a> <br>
<br>
That's great news! I'll have a deeper look and propose changes if <br>
appropriate.<br>
<br>
Cheers,<br>
<br>
-- <br>
Thierry Carrez (ttx)<br>
<br>
</blockquote></div>