You may have not noticed, because it just works in Linux. Every time user logs in, Access Control Lists on a few important devices nodes are set for him. And every time his session becomes inactive, ACL are revoked. It looks like this:

# getfacl /dev/video0
getfacl: Removing leading '/' from absolute path names
# file: dev/video0
# owner: root
# group: video
user::rw-
user:zdzichu:rw-
group::rw-
mask::rw-
other::---

Works like this:

And works internally like this...

Which devices are affected?

In theory, the devices belonging to the seat used by user. In addition to peripherals, access to a few subsystems is granted. Best practice is to classify your device — some classes have the privilege of being ACL-managed. The logic lies in 70-uaccess.rules in udev configuration. Devices of the following classes are made accessible: ID_GPHOTO2, ID_HPLIP, ID_CDROM, ID_FFADO, ID_SMARTCARD_READER, ID_PDA, ID_REMOTE_CONTROL, ID_INPUT_JOYSTICK, ID_MEDIA_PLAYER. Names are self-explanatory.

In future, this classification will let administator decide which classes are granted to local user.

Some subsystems are treated specially, access is allowed without further classification. Those subsystems are: sound, video4linux, dvb, drm.

We need to go deeper

Classification from previous paragraph is really an abstraction layer. The ACL granting is handled at the lowest level in file /usr/lib/udev/rules.d/73-seat-late.rules by this line:

TAG=="uaccess", ENV{MAJOR}!="", RUN+="/usr/lib/systemd/systemd-uaccess $env{DEVNAME} $env{ID_SEAT}"

The systemd-uaccess helper is run for each device with uaccess tag (tagging itself happens in 70-uaccess.rules). On my system, there are a few devices affected:

# udevadm info --export-db | grep -cE "TAG.*uaccess"
9

Example: USB-to-RS232 converter

There is no proper class for this gizmo. We can either invent one and send the patch to upstream, or short-circuit logic by tagging device directly. For simplicity, let’s take the second route, keeping in mind it’s discouraged :)

After plugging in our device, use udevadm info to see what udev knows about it and what makes it special. It may be a serial number, specific values of vendor id or product id, type, model or any other property. For my device, I will differentiate on model. Create a simple rule:

# cat /etc/udev/rules.d/92-usbserial-for-user.rules 
SUBSYSTEM=="tty", ENV{ID_MODEL}=="USB_Serial_Converter", TAG+="uaccess"

This leaves us with important question:

Who is an active user?

This information is managed by logind. CLI interaction is provided by loginctl:

# loginctl 
   SESSION        UID USER             SEAT            
        36        502 tomek            seat0           
         2        500 zdzichu          seat0    

# loginctl show-session -p Active 36
Active=no

# loginctl show-session -p Active 2
Active=yes

Thus, ACLs for currently active user “zdzichu” are applied. Start of new session is signalled by pam_systemd module, which should be included in PAM stack. logind by itself watches for active VT console. In other implementations, like for example kmscon, explicit calls on console switch are needed. Calls to logind, of course.

(This section probably needs to be expanded)

Daemons

What to do if you have daemon requiring access to device nodes? Should it start its own session and keep it active? The answer is no. Daemons should be added to the appropriate group. For example, CCTV daemon should be in group video, which has access to /dev/video*.

Group ownership of device nodes is of course managed by udev:

# grep video /usr/lib/udev/rules.d/*
/usr/lib/udev/rules.d/50-udev-default.rules:# video4linux
/usr/lib/udev/rules.d/50-udev-default.rules:SUBSYSTEM=="video4linux", GROUP="video"

Yes, that’s an UNIX way.

By the way, you don’t want users permanently added to groups like audio or video. Such user would be able to ssh into the machine while you are using it and spy on you using webcam, microphone etc. Access to such critical peripherals should only be granted for active user.

What could possibly go wrong?

Everything. There’s a lot of moving parts. Hopefully, most of them are very simple. And with this document, you’ll know what parts to check.

One quite complicated aspect is finding the link between current graphical session and Xorg socket in /tmp. This could go wrong, and will go wrong if you have per-user /tmp dirs¹. In this case current user will have no sound, no accelerated GUI etc.

Standard installations require pam_systemd to be included in PAM stack. pam_systemd(8) man page contains example snippet.

¹ — this could be fixed by looking for X socket in abstract namespace first. Nobody needed it done, yet.

Look into the past

Information here applies to the last couple of Fedora releases.

Some time ago, ACL modifications were done by udev working with ConsoleKit database. The rules were different. Devices had to be TAGed with TAG+="udev-acl" or variables like ENV{ACL_MANAGE}="1" were used. This no longer applies.

Niedługo minie rok od zawiązania się naszej Wspólnoty Mieszkaniowej. W tym czasie rozrywek dostarczały mi pasjonujące lektury:

• Ustawa o Własności Lokali z 24 czerwca 1994 - kopalnia złota praw i możliwości. Jak to, możecie sprzedać moje mieszkanie za puszczanie głośnej muzyki? (art 16.)
• Ustawa o Gospodarce Nieruchomościami - To do zarządzania budynkiem jako firma musimy mieć człowieka z licencją? really?
• Prawo budowlane - My, deweloper, nie przekażemy wam Dziennika Budowy, bo tam jest napisane, że zapomnieliśmy wylać fundamentów (art. 3 pkt 16)
• rozporządzenie MSWiA z dnia 7 czerwca 2010 roku w sprawie ochrony przeciwpożarowej budynków - Grilla na balkonie też nie mogę rozpalić? (§ 4. pkt 1., 5)
• Rozporządzenie Ministra Gospodarki z dnia 04 maja 2007r. w sprawie szczegółowych warunków funkcjonowania systemu elektroenergetycznego - zakład energetyczny jest generalnie nietykalny, a za 40h braku prądu przysługuje 7,66 zł bonifikaty.
• Ustawa o zbiorowym zaopatrzeniu w wodę - nie płacisz 2 miesiące za wodę, to Ci ją odetną.
• Rejestr Klauzul Niedozwolonych UOKiK - Nie odpowiada wam odbiór techniczny mieszkania w niedzielę o 3 w nocy? Zapłaćcie karę!
• Ustawa o dostępie do informacji publicznej - i co z tego, że nie jestem stroną, mam prawo wiedzieć co mi za płotem budują

Jak widać, aktów prawnych wpływających na nasze życie, nakładających obowiązki jest multum. Szokujące jest jednak, że ludzie kupujący mieszkania za kilkaset tysięcy złotych nie znają nawet tych kilku stron UoWL. Nie zdają sobie sprawy, że poza mieszkaniem kupują udział (i obowiązki) w częściach wspólnych. Że jak przepali się żarówka, to nie ma jakieś spółdzielni, która ją wymienia, tylko idzie to bezpośrednio z ich kasy. Że za odsnieżanie i sprzątanie trzeba płacić. Itd. itp.

Zdarzają się również Asy nie patrzące nawet w plany zagospodarowania przestrzennego. Potem z wielkimi oczami dowiadują się, że w ich ogródku będzie biegła dwupasmowa droga z tramwajem, planowana od 10 lat. Albo inaczej, że wygodna droga dojazdowa do bloku istnieje tylko na makiecie dewelopera, a nie w jakimkolwiek budżecie Miasta na najbliższe ćwierćwiecze.

Archived comments:

Sigvatr 2012-05-20 21:22:49

> Ustawa o zbiorowym zaopatrzeniu w wodę - nie płacisz 2 miesiące za wodę, to Ci ją odetną.

I to jest dziwne?

zdz 2012-05-20 21:40:45

Dla niektórych tak (patrząc na listę wpłat od mieszkańców, z których co lepsi nie zapłacili od roku ani złotówki a się awanturują).

LCF 2012-05-20 21:43:43

Ludzie umów nie czytają żadnych tylko podpisują wszystko jak leci, a Ty oczekujesz, że ktoś będzie zastanawiał się nad planem zagospodarowania przestrzennego.

Dla mnie mimo wszystko numer jeden to osoby, które budują/kupują domy/mieszkania na terenach zalewowych i są zdziwienie, że jest powódź. Rzeka 50m od domu jakoś nie dała im wcześniej do myślenia, że coś może być na rzeczy ;-D

zdz 2012-05-20 21:45:04

Nie no, co Ty, powodzie? I co z tego, że 5 lat temu było tu wody po szyję? :)

LCF 2012-05-20 21:45:42

Btw. bycie "członkiem" zarządu wspólnoty mieszkaniowej to niezły syf. Lepiej sobie darować to i życie staje się spokojniejsze. Wypróbowałem i jestem szczęśliwy.

zdz 2012-05-20 21:49:54

Tylko wiesz, nie ma chętnych, żeby ponegocjować umowy z dostawcami i usługodawcami, poszukaj tańszych opcji, egzekwować gwarancję od dewilopera. Słowem - dbać o kieszeń. Mam wrażenie, że jak osoby, którym się jeszcze coś chce nie przypilnują całego folwarku, to zapłacimy tu więcej o dyszkę, tu o 50 pln, za jakiś niekonieczny przegląd itd. i kwoty za utrzymanie poszybują w górę. W tej chwili 1,80/m² bez mediów to dobra stawka. Bez pilnowania mogłaby być 2x taka.

LCF 2012-05-20 22:03:05

Jasne, to wszystko jest racja. Pytanie tylko ile warty jest twój czas. To wszystko zajmuje masę czasu, pieniędzy np. telefony. Jak się zastanowiłem ile mi to zajmuje czasu w miesiącu to wyszło, że lepiej popracować godzinkę i porobić to co się lubi, żeby pokryć opłaty niż spędzić 10h na obniżaniu ich. Ot takie moje przemyślenie, chodź jeszcze 2 roku temu sądziłem, że przecież tylu debili nie może być na świecie i na pewno da się to wszystko normalnie pozałatwiać.

Btw. kogo macie jako zarządce ? U mnie Polzen to przez pierwsze 3 miesiące coś robił, później stopniowo ograniczył się tylko do wystawiania not obciążeniowych.

zdz 2012-05-20 22:05:39

Admista. Generalnie sprawdzają się, czasem np. podpowiedzą co w piśmie do sądu napisać. Czasem trzeba im przypomnieć, że mieli się czymś zająć. W ogólnym rozrachunku jednak jesteśmy zadowoleni.

Remigiusz 'lRem' Modrzejewski 2012-05-21 14:24:38

Dyszka tu, dyszka tam... Jej. Wyobraź sobie administrację zamawiającą zupełnie niepotrzebną usługę za 800pln, na protesty wspólnoty odpowiadającą "już i tak nie możemy zrezygnować, bo zaksięgowane". I tak w kółko.

Dzisiaj kolejny krok w prywatnej eksploracji kosmosu. Co prawda z nieprzewidzianymi problemami (SpaceX Launch aborted. 7 minutes ago), ale zawsze duże wydarzenie. Nic więc dziwnego, że transmitowane w mediach na żywo.

Gdy więc w RSSach przy porannej kawie mignęło mi zdanie Zobacz gdzie znaleźć transmisję na żywo - live i streaming w Internecie kliknąłem, żeby zobaczyć. I co? Link prowadzi do jakiego meczu piłki kopanej.

No kurde. Dzieją się naprawdę ważne rzeczy, a w mediach o niecałych dwóch tuzinach facetów pocących się na trawniku. Wciskają wszystkim tematy interesujące może kilka procent społeczeństwa, absolutnie bez wpływu na życie. A rozwój całej ludzkiej cywilizacji wspomniany gdzieś na ostatnich stronach, jeśli w ogóle.

Słusznie zauważa WO, że pomija się rekordowe tempo budowy A2 w zamian marudząc, że na jakieś tam mecze nie będzie otwarta. Who the fuck cares? Nawet jeśli skończą A2 za pół roku, to dalej będzie wzorowym przykładem budowy dróg i dalej będzie służyła społeczeństwu. A polscy “kibice” w większości i tak nie będą z niej korzystać, bo kilkanaście PLN za przejazd nie mieści się w ich budżetach. I nie są w stanie ogarnąć wyzwań pokonywanych przez rocket science.

A może nie powinienem wychowywać się na sci-fi?

Od kilku lat Linux ma w jądrze implementację kontenerów o krótkiej nazwie LXC. W przypadku wcześniejszych rozwiązach typu VServer czy OpenVZ dokumentacji było mnóstwo i wszędzie można się było natknąć na jakieś slice'y i inne hostingi. LXC zaś jest jakby zupełnie niezauważone. Mam więc takie małe RFP — niech osoby zajmujące się tym tematem robią więcej prezentacji na linuksiastych imprezach!.

Solaris ma swoje Zones od ośmiu lat i generalnie wzbudza zachwyt. W dużej mierze dzięki działającej i rozbudowanej otoczce w postaci zoneadm, którą łatwo się wszystkim zarządza. Możliwości jądra Linuksa już dawno przewyższają Solarisa w kwestii kontenerów, tylko konfiguracja wciąż mocno kuleje. A może jestem w błędzie i tylko mi się wydaje, że przy LXC trzeba się ostro narzeźbić?

Mówisz — masz. Michał zaczął pisać.

Archived comments:

wstretny anonim 2012-05-07 14:35:06

W Bielsku na tegorocznym DWO była prezentacja ;-)
http://www.megiteam.pl/blog/2012/3/12/lxc-kontener-pingwinow/

zdz 2012-05-07 15:21:42

Ooo, jak najbardziej godne pochwały. Na wrocławskiej sesji linuksowej też temat został napoczęty, ale czasu zabrakło.
Są gdzieś nagrania z DWO?

Grzegorz 2012-05-07 19:43:06

Wł. śledzenie ;)

radmen 2012-05-07 21:29:07

Rootnode po zaliczeniu ogromnego faila przebudowuje architekturę w oparciu o LXC. Może @Ahes później będzie miał o czym mówić? ;)

Bzyx 2012-05-08 23:24:22

Nagrania z tegorocznego DWO na pewno będą, sam nagrywałem wszystkie prelekcje i cały nagrany materiał został przekazany głównemu organizatorowi.
Otwartą kwestią jest to kiedy zostaną opublikowane w sieci.

wolvverine 2012-06-12 15:17:39

<a href="http://wolvverine.jogger.pl/2012/06/12/lxc-linux-containers-cgroup-control-groups-proces-containers/" >http://wolvverine.jogger.pl/2012/06/12/lxc-linux-containers-cgroup-control-groups-proces-containers/ </a>
Będzie sukcesywnie uzupełniane.

zdz 2012-06-14 19:53:32

Czytam z uwagą. Dziękuję! :-)

Michał &quot;wolvverine&quot; Panasiewicz 2012-06-27 03:24:11

po macoszemu trochę jest o konfiguracji sieci ale z czasem pewnie uzupełnię.
generalnie:bridge,tun/tap,ns3

PS. jak możesz zamień wpis adresu na link

Michał &quot;wolvverine&quot; Panasiewicz 2012-06-28 15:21:49

i chyba najlepszy aktualnie: openvswitch (Xen citrix używa go jako podstawy do wirtualizacji sieci) - opis niedługo.