[devel] Re: README.ALT wanted (was: I: base utilities for network analisys are now chrooted)

Чт Апр 11 12:45:33 MSD 2002

Michael Shigorin wrote:
> 
> On Thu, Apr 11, 2002 at 11:18:28AM +0400, Dmitry V. Levin wrote:
> > > Угу.  Вот не помню, сказано ли в admin manual, что в xinetd.*
> > > есть не только индивидуальные DISABLE=YES, но и "общее"
> > > ONLY_FROM=127.0.0.1 -- человек тут утверждал, что потерял две
> Кстати, он обратил внимание еще на одну багу: заведению подлежал
> tftpd и он не работал на сеть до первого обращения с локалхоста,
> после чего (благодаря wait = yes) работал и с внешней сетью.
> 
> Наверное, имеет смысл прошерстить xinetd-enabled пакеты на эту
> тему...
> 
> > > И вообще хорошо бы "альтовости" повыносить в отдельный checklist
> > > (/README.ALT), дабы людям было легче портироваться.  Примерный
> > > список Q&A -- думаю, по сервисам и "чего не дают руту".
> > Ok, давайте попробуем "вспомнить все", пока еще не поздно.
> Попробую.
> 
> Часть I.  root squashed
> 
> Q: почему руту не ходит почта?
> 
> A: в силу того, что читать почту под этим аккаунтом крайне не
> рекомендуется (вариант -- запрещено по политике безопасности
> дистрибутива), при инсталяции создается почтовый алиас,
> переправляющий почту на первого зарегистрированного пользователя
> (подразумевается, что это тот же человек, который устанавливал
> систему).
> 
> Если это не устраивает (нужен другой пользователь), загляните в
> /etc/postfix/aliases (после правки необходимо запустить от имени
> root команду postalias).
> 
> Q: почему руту не дают собирать RPM? Выдается ошибка:
> "rpmb: сборка пакетов запрещена для привилегированного пользователя"
> 
> A: сборка пакетов привелегированным пользователем является
> потенциально небезопасной (плюс к тому, что правильно написанная
> программа должна собираться от имени пользователя).
> 
> Для дополнительной информации обратитесь к содержимому
> /usr/share/doc/rpm-*/README.ALT .
> 
> Q: у рута сломана локаль!
> 
> A: и не зря.  Системное администрирование -- достаточно
> специфическая задача, требующая повышенного внимания и не
> являющаяся "удобной" по своему определению.
> 
> Крайне не рекомендуется выполнять ежедневную работу от имени root
> -- а для администрирования должно хватить sudo и нормального
> локализованного пользовательского аккаунта.
> 
> Если же вопрос стоит очень остро -- произведите поиск строки LANG
> в файлах в домашнем каталоге администратора.
> 
> Часть II.  notwork troubles
> 
> Q: почему после установки сервера и его активации (в ntsysv,
> DrakConf, /etc/xinetd.d/*) он недоступен из сети?
> 
> A1: по умолчанию в ALT Linux xinetd сконфигурирован с опцией
> only_from = 127.0.0.1, позволяющей доступ к сервисам,
> запускающимся из-под xinetd, только с локальной машины.
> 
> Для обеспечения доступа из сети отредактируйте или
> закомментируйте эту строку в /etc/xinetd.conf; в последнем случае
> настоятельно рекомендуем ввести ограничения по необходимости в
> индивидуальные файлы в каталоге /etc/xinetd.d/ .
> 
> A2: если проблема не в этом -- обратите внимание на настройки
> файрвола (service iptables status или service ipchains status).
> 
> A3: проверьте содержимое файлов /etc/hosts.allow и /etc/hosts.deny
> (XXX есть какой-то TFM на эту тему?)

Q: Почта не ходит!!
По умолчанию, в соответствии с политикой безопасности, postfix
настроен на работу только с локальными почтовыми клиентами, а
так же может отправлять почту на внешние smtp сервера. Если Вам
необходимо получать или пересылать почту через данный сервер с
внешних хостов, отредактируйте файлы конфигурации posfix. Для
нормальной работы postfix необходим доступ к корректно
настроенному серверу DNS.

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet на altlinux.ru