1000 account di sistema
Sommario
Fondare su login.defs lo standard di definizione delle autorizzazioni di allocazione spazio di UID/GID, ed allargare il limite tra account di sistema ed utente da 500 a 1000.
Sviluppatore
- Nome: Miloslav Trmač
- Email: mitr@redhat.com
Descrizione dettagliata
Lo spazio di allocazione UID/GID ("ID" da ora in poi), non è chiaramente definito in Fedora, oltre ad essere strettamente codificato in molte applicazioni. Storicamente, Fedora alloca 500 valori di ID per gli utenti di sistema; dato che gli attuali pacchetti Fedora allocano più di 270 account, maggiore spazio è richiesto per interrompere i processi di sistema come root, o per consentire di allocare staticamente più ID (da Fedora o da policy locali). Il valore di 500 devia anche dall'allocazione in shadow(-utils).
L'intento di questa feature, quindi, è allocare 1000 valori di ID per gli account di sistema. Molte di applicazioni hanno codificato il valore 500 come limite; invece di sostituire questo valore con un valore fisso di 1000, tali applicazioni saranno modificate per leggere il limite dal file /etc/login.defs.
Il layout dell'ID cambierà come segue:
| Intervallo | Fedora ≤15 | Fedora ≥16 |
|---|---|---|
Account di sistema allocati staticamente (/usr/share/doc/setup/uidgid) |
0-? | 0-200 |
| Account di sistema allocati dinamicamente (allocati in ordine decrescente) | ?-499 | 201-999 |
| Account utente | 500-60,000 | 1,000-60,000 |
Come sopra indicato, il limite tra account di sistema allocati staticamente e dinamicamente non è stato ben definito (si era pensato a 100, ma già in Fedora 15, gli UID statici allocati erano 173); il limite è ora esplicitamente definito, tramite SYS_[UG]ID_MIN), su 201, e poiché gli account di sistema dinamici sono allocati a partire dai valori più alti, risulterà in futuro più semplice espandere lo spazio per gli account allocati staticamente.
/etc/login.defs è già lo standard di fatto per configurare il limite degli account di sistema/utente (usato se non altro già da accountsservice, libsemanage, libuser e naturalmente da shadow-utils), quindi si procede alla sua codifica piuttosto che inventare un nuovo ed incompatibile file di configurazione.
Rendendo il limite configurabile, si consente agli utenti di mantenere il precedente limite di 500, se desiderato:
- Poiché
/etc/login.defsè%config(noreplace), gli aggiornamenti mantengono il valore limite di 500, senza interruzioni; - Le nuove installazioni con impostazioni con UID allocati centralmente (p.e. usando LDAP), possono essere ugualmente configurati con il valore limite di 500 creando
/etc/login.defsin un%prescript di kickstart.
Vantaggi per Fedora
- Maggiore spazio per account di sistema, rendendo possibile di interrompere i processi di sistema come root, su scala maggiore
- Esplicitamente definito il limite tra sistemi di account statici e dinamici, per riflettere l'attuale allocazione
- Sufficiente spazio per consentire, in futuro, l'espansione dello spazio allocato staticamente
- Usare la stessa allocazione di ID di shadow(-utils) di upstream, e di altre eminenti distribuzioni Linux (p.e. Debian, OpenSUSE)
Scope
Fare riferimento alla versione originale di questo documento.
How To Test
Fare riferimento alla versione originale di questo documento.
Esperienza utente
Fare riferimento alla versione originale di questo documento.
Dipendenze
Vedi #Scope
Contingency Plan
Fare riferimento alla versione originale di questo documento.
Documentazione
login.defs(5)
Note di rilascio
Fare riferimento alla versione originale di questo documento.