<div dir="ltr">I actually think this isn't about someone doing "juju set-env" but someone just ssh'ing into the machine and changing things with a text editor.<div>Joey is the type of guy to be very concerned about people making changes out of band that we wouldn't know about even if we had audit logging. (Which we sort of do if you turn on debug level logging today.)</div>
<div><br></div><div>I don't think we have even modeled the concept of what the state on disk "should" look like, to be able to tell if it is different.</div><div><br></div><div>There are a few things that might come into play as we progress forward. We've had some discussions about "image based workflows" which would let you snapshot the system at various points (do install, configuration, and then snapshot, so that future add-units can start from a known state, instead of starting from scratch again). That potentially gives you a point to hook something like this in. (what has changed relative to my base snapshot).</div>
<div><br></div><div>There can certainly be logging for *if* someone runs "juju ssh" or if they run "juju run". However, we don't currently prevent them from just doing "juju status" finding the IP address and then ssh'ing directly to that machine.</div>
<div><br></div><div>Part of the problem is that each charm is given root access on the machine to configure whatever services are actually needed. And there isn't part of the spec that has them define where the configuration files are going, what things they are installing, etc.</div>
<div><br></div><div>I wonder if there would be a good use case for a subordinate charm that would essentially version '/' and make it possible for you to see what things are being changed.</div><div><br></div><div>
Certainly there are things like "etckeeper" that you could just install and make use of.</div><div><br></div><div>John</div><div>=:-></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, May 13, 2014 at 3:54 AM, Ian Booth <span dir="ltr"><<a href="mailto:ian.booth@canonical.com" target="_blank">ian.booth@canonical.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
Hi Joey<br>
<div><div class="h5"><br>
><br>
> I'm curious to know if there is any reliable mechanism to detect a<br>
> cowboyed change inside a juju environment and then report them.<br>
><br>
> A non-juju synonym of what I'm trying to accomplish would be with puppet<br>
> managing a system's /etc directory. If that directory is under some RCS<br>
> you can diff it and tell what changes have been made. I'd like to do<br>
> something similar within a juju environment.<br>
><br>
<br>
</div></div>I assume you are talking about someone using the juju set-env command to change<br>
an environment value, and knowing that that has happened. Right now, AFAIK,<br>
there's no tooling in Juju that provides a packaged solution for what you want.<br>
<br>
Currently, Juju's initial environment state comes from the environments.yaml<br>
file at bootstrap, which is transformed into a yaml <envname>.jenv file inside<br>
the $JUJU_HOME/environments directory. Each set-env invocation also leaves<br>
information in the server side log files. So theoretically you could determine<br>
if changes have been made and who did it, by combining information from get-env<br>
with the sources just mentioned. Clearly, this is not ideal.<br>
<br>
A topic of discussion at the recent Juju sprint was to add audit logging to<br>
Juju. I *think* that topic has slipped off the todo list for the next cycle. So<br>
I don't personally  have a good answer for you right now. Perhaps someone else<br>
can chime in with a better answer?<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1<br>
Comment: Using GnuPG with Thunderbird - <a href="http://www.enigmail.net/" target="_blank">http://www.enigmail.net/</a><br>
<br>
iJwEAQECAAYFAlNxXzoACgkQCJ79BCOJFcYdNQP/QZp8MIC5uG1eaEvGh20GR6v1<br>
50FLMmpjw4/BjMGvSxmJDaahocHYGhAeuasSbzRUpkT7s0CRk2g5SkfhxSL3ZXsa<br>
6hV3+kTzbl1yshSNWcyWcHIHTW3JAE3N7+aoQaXsPTOxpzryTrAUfqgyITZs1nqf<br>
iQzYk9EGCUYw0+sGmzc=<br>
=+Oom<br>
-----END PGP SIGNATURE-----<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Juju mailing list<br>
<a href="mailto:Juju@lists.ubuntu.com">Juju@lists.ubuntu.com</a><br>
Modify settings or unsubscribe at: <a href="https://lists.ubuntu.com/mailman/listinfo/juju" target="_blank">https://lists.ubuntu.com/mailman/listinfo/juju</a><br>
</div></div></blockquote></div><br></div>