> PermitRootLogin without-passwd,но ключ на этапе установки добавить
> нельзя, а пользователь создаётся без возможностей к sudo.Если нужно sudo -- см. http://altlinux.org/control и сделайте себе control sudo нужного вида; а вообще для первого созданного пользователя доступно su (если это не -02, там иначе).
> Таким образом получить административный доступ к системе
> можно только при прямом доступе к железке или консоли вм.
Неправда. :)
> Т.н. "мандатный доступ", который selinux - в дефолтных своих
> полиси преднастроенных дистроваятелями неспособен даже
> на apt-get upgrade. Норм, чё)
А если речь про selinux, то есть про -02 -- то посмотрите документацию и заметьте пользователя officer, которому задавали пароль при установке (почему так -- это уже не столько к нам, сколько к РД).
> Лютая мешанина из service-юнитов и init.d скриптов.
Эт да.
> Древнючий syslogd, вместо человечьих rsyslog/syslog-ng.
Они оба тоже есть, но куда более функциональны и, к сожалению, дыркоистория у них хуже в т.ч. вследствие и этого.
> К тому же его искаропки роняет ежесуточно logrotate, и система
> остаётся вообще без сислога. Сюрприз!
А вот про это хорошо бы более подробно рассказать -- хоть на support@, хоть мне в почту (mike@), потому как наши придирчивые тестеры такого не выявили, насколько мне известно. В любом разе
> Опенбсдшный нтп-клиент, с зависимостями к freeipa.
Гм, глянул на скору руку -- не вижу зависимостей между openntpd и freeipa-*. Было бы здорово предъявить.
> В целом он работает и нареканий особо нет, но выбор довольно
> странный, когда есть ntpd/chrony
Относительно ntpd это опять же "послужной список" CVE, а вот на chrony, возможно, переберёмся -- openntpd гораздо топорней "коллег" работает с линуксовыми часами.
> Системда настроена полуруками, status при наличии persistent логов
> вызывается минуты по три.
Тут ничего не скажу.
> Ну и системные баги, которые в rhel поправлены году этак в 2016-м,
> тут проявляются только в путь.
А тут хорошо бы подробней.
> Без эмоций, только что сходу вспомнил об этих прелестях
За конструктив благодарю :-)
Осталось довести краткие упоминания до формы багрепортов -- тогда точно будет надежда на их исправление, возможно, даже в рамках ближайшего ИК.
Давайте попробуем?