Bug 28186 - Уточнение минимального списка сервисов, запускаемых после установки
: Уточнение минимального списка сервисов, запускаемых после установки
Status: NEW
: ALT Linux Centaurus
(All bugs in ALT Linux Centaurus/Состав)
: 7.0
: all Linux
: P3 normal
Assigned To:
:
:
:
:
: 27685
  Show dependency tree
 
Reported: 2012-12-05 14:51 by
Modified: 2014-11-21 16:07 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2012-12-05 14:51:03
После установки с выключенными галочками я не увидел в системе пакета su, зато
получил (как впрочем и в предыдущих Кентаврах):

USER     PID   COMMAND      FD TYPE       LOCAL IP:PORT        REMOTE IP:PORT 
STATE
root     4930  sshd          3 tcp       10.7.1.17:22          10.7.1.15:58929
ESTAB
root     2199  rpcbind       8 tcp         0.0.0.0:111           0.0.0.0:0    
LISTEN
rpcuser  2249  rpc.statd     9 tcp         0.0.0.0:46379         0.0.0.0:0    
LISTEN
root     2394  named        22 tcp       127.0.0.1:953           0.0.0.0:0    
LISTEN
root     4916  sshd          3 tcp         0.0.0.0:22            0.0.0.0:0    
LISTEN
root     2394  named        20 tcp       127.0.0.1:53            0.0.0.0:0    
LISTEN
root     2394  named        21 tcp       10.7.1.17:53            0.0.0.0:0    
LISTEN
_avahi   2931  avahi-daemon 14 udp         0.0.0.0:51946         0.0.0.0:0    
CLOSE
_avahi   2931  avahi-daemon 13 udp         0.0.0.0:5353          0.0.0.0:0    
CLOSE
root     2249  rpc.statd     5 udp       127.0.0.1:729           0.0.0.0:0    
CLOSE
rpcuser  2249  rpc.statd     8 udp         0.0.0.0:54165         0.0.0.0:0    
CLOSE
root     2199  rpcbind       7 udp         0.0.0.0:644           0.0.0.0:0    
CLOSE
root     2199  rpcbind       6 udp         0.0.0.0:111           0.0.0.0:0    
CLOSE
root     2394  named        512 udp       127.0.0.1:53            0.0.0.0:0    
CLOSE
root     2394  named        513 udp       10.7.1.17:53            0.0.0.0:0    
CLOSE

Существует множество сценариев, в которых ничего из перечисленного, кроме sshd,
не требуется. Может к 7.0 сделать действительно минимальный вариант?
------- Comment #1 From 2013-04-18 11:56:23 -------
Существует много сценариев, но программа установки не должна их все
предусматривать для этого существует возможность сделать иные дистрибутивы.
2enp:  хорошо бы описать хотя бы один распространенный сценарий, при котором
все это не нужно.
2boyarsh: отсутствие su это, возможно, блокер. 
На усмотрение RM.
------- Comment #2 From 2013-04-18 13:21:05 -------
(В ответ на комментарий №1)

> Существует много сценариев, но программа установки не должна их все
> предусматривать для этого существует возможность сделать иные дистрибутивы.

Иные дистрибутивы не смогут стать СПТ, а иначе б я и не беспокоился ;)

> 2enp:  хорошо бы описать хотя бы один распространенный сценарий, при котором
> все это не нужно.

Сценарий, в котором не нужны rpcbind/rpc.statd/avahi-daemon/named? Честно
говоря, мне труднее представить сценарий, в котором они нужны. Ни на одном из
поддерживаемых мною серверов (RDBMS, Web, VoIP, специализированное ПО для
внутреннего употребления) они не запущены. Если сервер живет не внутри
корпоративной инфраструктуры, а где-то на хостинге, то я вообще не могу
придумать ни одной уважительной причины их запускать.

Да и вообще мы переворачиваем ситуацию с ног на голову: любые сервисы должны
запускаться при необходимости, а не в надежде на то, что они кому-то
понадобятся. Когда-то была практика (не знаю, сохранилась ли) опускать sshd на
десктопах по дефолту и это никого не смущало.

> 2boyarsh: отсутствие su это, возможно, блокер. 

> На усмотрение RM.

Разумеется. Но я очень прошу его сделать несколько лишних chkconfig off в том
случае, если ни одна галочка при установке не выбрана.
------- Comment #3 From 2013-05-08 11:27:35 -------
А еще в рассылках регулярно появляются мнения о том, что и dbus на сервере не
очень полезен (из последнего -
http://lists.altlinux.org/pipermail/devel/2013-May/197376.html).
------- Comment #4 From 2013-05-08 14:55:50 -------
(В ответ на комментарий №3)
> А еще в рассылках регулярно появляются мнения о том, что и dbus на сервере не
> очень полезен (из последнего -
> http://lists.altlinux.org/pipermail/devel/2013-May/197376.html).

Уточнил название, давайте обсудим что можно/нужно сделать.
// Надеюсь, что su уже в комплекте.
------- Comment #5 From 2013-05-13 15:22:43 -------
(В ответ на комментарий №3)
> что и dbus на сервере не очень полезен
Отключенный относительно безвреден, suid/sgid binaries там нет.

По server-mini могу заметить, что комплектация без dbus сейчас не содержит и
wpa_supplicant, что не совсем приятное ограничение (разве что вынести его в
дополнительно устанавливаемые пакеты).
------- Comment #6 From 2014-11-21 08:30:04 -------
Вчера пришлось устанавливать и настраивать сервер, к которому требование
наличия сертификата ФСТЭК для устанавливаемого дистрибутива было обязательным.
По привычке я рекомендовал Альт, но дефолтная инсталляция со всеми выключенными
галочками - это просто чудовищно, может потому что отвык :)

Я понимаю, что изменить что-то быстро и особенно для сертифицированных решений
совершенно нереально, поэтому для следующих подобных инсталляций либо буду либо
собирать что-то на основе своего m-p-l и пакетной базы c6 (я понимаю, что это
уже не сертифицированное решение, но вряд ли у сертифицирующих органов
достаточно квалификации, чтобы это установить), либо буду смотреть на другие
дистрибутивы (у CentOS 6.5 минимальная комплектация была приемлемой, может и у
клонов окажется не сильно хуже).

Но в отношении с7 и p8 надежда есть? Предлагать помощь глупо, это не
технический вопрос, у mike@ (пусть на m-p) давным давно все хорошо, исправить
m-p-d гораздо легче, чем наворотить то, что сейчас есть - как мне кажется.
------- Comment #7 From 2014-11-21 12:26:41 -------
Если хочешь, посмотри подключаемое и выскажись по нему:
http://git.altlinux.org/people/boyarsh/packages/?p=mkimage-profiles-desktop.git;a=blob;f=use.mk.in;h=35754e2025e6328940537dd304547b26090c0ddb;hb=1311a32154a6961691e16679e8983a9b69b6386f#l258

Мне кажется, что тактически разумнее накидать и зафиксировать скрипт зачистки,
который делает как минимум chkconfig до состояния "слушает только sshd".

А решать профильным образом уже после переезда Centaurus на m-p, что я надеюсь
сделать возможным к 8.0, но оказалось неразумным к 7.0 и тем более к 6.0.

Сертифицирующие органы могут спросить номерной экземпляр установочного
носителя.
------- Comment #8 From 2014-11-21 16:07:39 -------
(В ответ на комментарий №7)
> Если хочешь, посмотри подключаемое и выскажись по нему:
> http://git.altlinux.org/people/boyarsh/packages/?p=mkimage-profiles-desktop.git;a=blob;f=use.mk.in;h=35754e2025e6328940537dd304547b26090c0ddb;hb=1311a32154a6961691e16679e8983a9b69b6386f#l258

Речь о use-spt? Не вижу связи, честно говоря, между перечисленным и сейчас
обсуждаемым, кроме слова СПТ :)

> Мне кажется, что тактически разумнее накидать и зафиксировать скрипт зачистки,
> который делает как минимум chkconfig до состояния "слушает только sshd".

Да, тоже вариант, или даже копия уже установленной и зачищенной системы.

> А решать профильным образом уже после переезда Centaurus на m-p, что я надеюсь
> сделать возможным к 8.0, но оказалось неразумным к 7.0 и тем более к 6.0.

Вот, именно это я надеялся услышать!

> Сертифицирующие органы могут спросить номерной экземпляр установочного
> носителя.

Им даже можно предъявить этот носитель - он в любом случае будет. Но есть ли
способ доказать, что система установлена именно с него или наоборот?