forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выпуск пакетного менеджера RPM 4.15"
Отправлено Michael Shigorin, 29-Сен-19 19:28

> PermitRootLogin without-passwd,но ключ на этапе установки добавить
> нельзя, а пользователь создаётся без возможностей к sudo.
Если нужно sudo -- см. http://altlinux.org/control и сделайте себе control sudo нужного вида; а вообще для первого созданного пользователя доступно su (если это не -02, там иначе).
> Таким образом получить административный доступ к системе
> можно только при прямом доступе к железке или консоли вм.
Неправда. :)
> Т.н. "мандатный доступ", который selinux - в дефолтных своих
> полиси преднастроенных дистроваятелями неспособен даже
> на apt-get upgrade. Норм, чё)
А если речь про selinux, то есть про -02 -- то посмотрите документацию и заметьте пользователя officer, которому задавали пароль при установке (почему так -- это уже не столько к нам, сколько к РД).
> Лютая мешанина из service-юнитов и init.d скриптов.
Эт да.
> Древнючий syslogd, вместо человечьих rsyslog/syslog-ng.
Они оба тоже есть, но куда более функциональны и, к сожалению, дыркоистория у них хуже в т.ч. вследствие и этого.
> К тому же его искаропки роняет ежесуточно logrotate, и система
> остаётся вообще без сислога. Сюрприз!
А вот про это хорошо бы более подробно рассказать -- хоть на support@, хоть мне в почту (mike@), потому как наши придирчивые тестеры такого не выявили, насколько мне известно. В любом разе
> Опенбсдшный нтп-клиент, с зависимостями к freeipa.
Гм, глянул на скору руку -- не вижу зависимостей между openntpd и freeipa-*. Было бы здорово предъявить.
> В целом он работает и нареканий особо нет, но выбор довольно
> странный, когда есть ntpd/chrony
Относительно ntpd это опять же "послужной список" CVE, а вот на chrony, возможно, переберёмся -- openntpd гораздо топорней "коллег" работает с линуксовыми часами.
> Системда настроена полуруками, status при наличии persistent логов
> вызывается минуты по три.
Тут ничего не скажу.
> Ну и системные баги, которые в rhel поправлены году этак в 2016-м,
> тут проявляются только в путь.
А тут хорошо бы подробней.
> Без эмоций, только что сходу вспомнил об этих прелестях
За конструктив благодарю :-)
Осталось довести краткие упоминания до формы багрепортов -- тогда точно будет надежда на их исправление, возможно, даже в рамках ближайшего ИК.
Давайте попробуем?

Исходное сообщение
"Выпуск пакетного менеджера RPM 4.15" Отправлено Michael Shigorin, 29-Сен-19 19:28
> PermitRootLogin without-passwd,но ключ на этапе установки добавить > нельзя, а пользователь создаётся без возможностей к sudo. Если нужно sudo -- см. http://altlinux.org/control и сделайте себе control sudo нужного вида; а вообще для первого созданного пользователя доступно su (если это не -02, там иначе). > Таким образом получить административный доступ к системе > можно только при прямом доступе к железке или консоли вм. Неправда. :) > Т.н. "мандатный доступ", который selinux - в дефолтных своих > полиси преднастроенных дистроваятелями неспособен даже > на apt-get upgrade. Норм, чё) А если речь про selinux, то есть про -02 -- то посмотрите документацию и заметьте пользователя officer, которому задавали пароль при установке (почему так -- это уже не столько к нам, сколько к РД). > Лютая мешанина из service-юнитов и init.d скриптов. Эт да. > Древнючий syslogd, вместо человечьих rsyslog/syslog-ng. Они оба тоже есть, но куда более функциональны и, к сожалению, дыркоистория у них хуже в т.ч. вследствие и этого. > К тому же его искаропки роняет ежесуточно logrotate, и система > остаётся вообще без сислога. Сюрприз! А вот про это хорошо бы более подробно рассказать -- хоть на support@, хоть мне в почту (mike@), потому как наши придирчивые тестеры такого не выявили, насколько мне известно. В любом разе > Опенбсдшный нтп-клиент, с зависимостями к freeipa. Гм, глянул на скору руку -- не вижу зависимостей между openntpd и freeipa-*. Было бы здорово предъявить. > В целом он работает и нареканий особо нет, но выбор довольно > странный, когда есть ntpd/chrony Относительно ntpd это опять же "послужной список" CVE, а вот на chrony, возможно, переберёмся -- openntpd гораздо топорней "коллег" работает с линуксовыми часами. > Системда настроена полуруками, status при наличии persistent логов > вызывается минуты по три. Тут ничего не скажу. > Ну и системные баги, которые в rhel поправлены году этак в 2016-м, > тут проявляются только в путь. А тут хорошо бы подробней. > Без эмоций, только что сходу вспомнил об этих прелестях За конструктив благодарю :-) Осталось довести краткие упоминания до формы багрепортов -- тогда точно будет надежда на их исправление, возможно, даже в рамках ближайшего ИК. Давайте попробуем?

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> PermitRootLogin without-passwd,но ключ на этапе установки добавить >> нельзя, а пользователь создаётся без возможностей к sudo. > Если нужно sudo -- см. http://altlinux.org/control и сделайте себе control sudo нужного > вида; а вообще для первого созданного пользователя доступно su (если это > не -02, там иначе). >> Таким образом получить административный доступ к системе >> можно только при прямом доступе к железке или консоли вм. > Неправда. :) >> Т.н. "мандатный доступ", который selinux - в дефолтных своих >> полиси преднастроенных дистроваятелями неспособен даже >> на apt-get upgrade. Норм, чё) > А если речь про selinux, то есть про -02 -- то посмотрите > документацию и заметьте пользователя officer, которому задавали пароль при установке (почему > так -- это уже не столько к нам, сколько к РД). >> Лютая мешанина из service-юнитов и init.d скриптов. > Эт да. >> Древнючий syslogd, вместо человечьих rsyslog/syslog-ng. > Они оба тоже есть, но куда более функциональны и, к сожалению, дыркоистория > у них хуже в т.ч. вследствие и этого. >> К тому же его искаропки роняет ежесуточно logrotate, и система >> остаётся вообще без сислога. Сюрприз! > А вот про это хорошо бы более подробно рассказать -- хоть на > support@, хоть мне в почту (mike@), потому как наши придирчивые тестеры > такого не выявили, насколько мне известно. В любом разе >> Опенбсдшный нтп-клиент, с зависимостями к freeipa. > Гм, глянул на скору руку -- не вижу зависимостей между openntpd и > freeipa-*. Было бы здорово предъявить. >> В целом он работает и нареканий особо нет, но выбор довольно >> странный, когда есть ntpd/chrony > Относительно ntpd это опять же "послужной список" CVE, а вот на chrony, > возможно, переберёмся -- openntpd гораздо топорней "коллег" работает с линуксовыми часами. >> Системда настроена полуруками, status при наличии persistent логов >> вызывается минуты по три. > Тут ничего не скажу. >> Ну и системные баги, которые в rhel поправлены году этак в 2016-м, >> тут проявляются только в путь. > А тут хорошо бы подробней. >> Без эмоций, только что сходу вспомнил об этих прелестях > За конструктив благодарю :-) > Осталось довести краткие упоминания до формы багрепортов -- тогда точно будет надежда > на их исправление, возможно, даже в рамках ближайшего ИК. > Давайте попробуем?
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру