[devel] Re: README.ALT wanted (was: I: base utilities for network analisys are now chrooted)

Чт Апр 11 12:21:52 MSD 2002

On Thu, Apr 11, 2002 at 11:18:28AM +0400, Dmitry V. Levin wrote:
> > Угу.  Вот не помню, сказано ли в admin manual, что в xinetd.*
> > есть не только индивидуальные DISABLE=YES, но и "общее"
> > ONLY_FROM=127.0.0.1 -- человек тут утверждал, что потерял две
Кстати, он обратил внимание еще на одну багу: заведению подлежал
tftpd и он не работал на сеть до первого обращения с локалхоста,
после чего (благодаря wait = yes) работал и с внешней сетью.

Наверное, имеет смысл прошерстить xinetd-enabled пакеты на эту
тему...

> > И вообще хорошо бы "альтовости" повыносить в отдельный checklist
> > (/README.ALT), дабы людям было легче портироваться.  Примерный
> > список Q&A -- думаю, по сервисам и "чего не дают руту".
> Ok, давайте попробуем "вспомнить все", пока еще не поздно.
Попробую.

Часть I.  root squashed

Q: почему руту не ходит почта?

A: в силу того, что читать почту под этим аккаунтом крайне не
рекомендуется (вариант -- запрещено по политике безопасности
дистрибутива), при инсталяции создается почтовый алиас,
переправляющий почту на первого зарегистрированного пользователя
(подразумевается, что это тот же человек, который устанавливал
систему).

Если это не устраивает (нужен другой пользователь), загляните в
/etc/postfix/aliases (после правки необходимо запустить от имени
root команду postalias).

Q: почему руту не дают собирать RPM? Выдается ошибка:
"rpmb: сборка пакетов запрещена для привилегированного пользователя"

A: сборка пакетов привелегированным пользователем является
потенциально небезопасной (плюс к тому, что правильно написанная
программа должна собираться от имени пользователя).

Для дополнительной информации обратитесь к содержимому
/usr/share/doc/rpm-*/README.ALT .

Q: у рута сломана локаль!

A: и не зря.  Системное администрирование -- достаточно
специфическая задача, требующая повышенного внимания и не
являющаяся "удобной" по своему определению.  

Крайне не рекомендуется выполнять ежедневную работу от имени root
-- а для администрирования должно хватить sudo и нормального
локализованного пользовательского аккаунта.

Если же вопрос стоит очень остро -- произведите поиск строки LANG
в файлах в домашнем каталоге администратора.

Часть II.  notwork troubles

Q: почему после установки сервера и его активации (в ntsysv,
DrakConf, /etc/xinetd.d/*) он недоступен из сети?

A1: по умолчанию в ALT Linux xinetd сконфигурирован с опцией
only_from = 127.0.0.1, позволяющей доступ к сервисам,
запускающимся из-под xinetd, только с локальной машины.

Для обеспечения доступа из сети отредактируйте или
закомментируйте эту строку в /etc/xinetd.conf; в последнем случае
настоятельно рекомендуем ввести ограничения по необходимости в
индивидуальные файлы в каталоге /etc/xinetd.d/ .

A2: если проблема не в этом -- обратите внимание на настройки
файрвола (service iptables status или service ipchains status).

A3: проверьте содержимое файлов /etc/hosts.allow и /etc/hosts.deny
(XXX есть какой-то TFM на эту тему?)

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 232 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20020411/72732a2e/attachment-0001.bin>