Bug 28186 - Уточнение минимального списка сервисов, запускаемых после установки
Summary: Уточнение минимального списка сервисов, запускаемых после установки
Status: NEW
Alias: None
Product: ALT Linux Centaurus
Classification: Distributions
Component: Состав (show other bugs)
Version: 7.0
Hardware: all Linux
: P3 normal
Assignee: Anton V. Boyarshinov
QA Contact: QA p6
URL:
Keywords:
Depends on:
Blocks: 27685
  Show dependency tree
 
Reported: 2012-12-05 14:51 MSK by enp
Modified: 2014-11-21 16:07 MSK (History)
4 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description enp 2012-12-05 14:51:03 MSK
После установки с выключенными галочками я не увидел в системе пакета su, зато получил (как впрочем и в предыдущих Кентаврах):

USER     PID   COMMAND      FD TYPE       LOCAL IP:PORT        REMOTE IP:PORT  STATE
root     4930  sshd          3 tcp       10.7.1.17:22          10.7.1.15:58929 ESTAB
root     2199  rpcbind       8 tcp         0.0.0.0:111           0.0.0.0:0     LISTEN
rpcuser  2249  rpc.statd     9 tcp         0.0.0.0:46379         0.0.0.0:0     LISTEN
root     2394  named        22 tcp       127.0.0.1:953           0.0.0.0:0     LISTEN
root     4916  sshd          3 tcp         0.0.0.0:22            0.0.0.0:0     LISTEN
root     2394  named        20 tcp       127.0.0.1:53            0.0.0.0:0     LISTEN
root     2394  named        21 tcp       10.7.1.17:53            0.0.0.0:0     LISTEN
_avahi   2931  avahi-daemon 14 udp         0.0.0.0:51946         0.0.0.0:0     CLOSE
_avahi   2931  avahi-daemon 13 udp         0.0.0.0:5353          0.0.0.0:0     CLOSE
root     2249  rpc.statd     5 udp       127.0.0.1:729           0.0.0.0:0     CLOSE
rpcuser  2249  rpc.statd     8 udp         0.0.0.0:54165         0.0.0.0:0     CLOSE
root     2199  rpcbind       7 udp         0.0.0.0:644           0.0.0.0:0     CLOSE
root     2199  rpcbind       6 udp         0.0.0.0:111           0.0.0.0:0     CLOSE
root     2394  named        512 udp       127.0.0.1:53            0.0.0.0:0     CLOSE
root     2394  named        513 udp       10.7.1.17:53            0.0.0.0:0     CLOSE

Существует множество сценариев, в которых ничего из перечисленного, кроме sshd, не требуется. Может к 7.0 сделать действительно минимальный вариант?
Comment 1 AEN 2013-04-18 11:56:23 MSK
Существует много сценариев, но программа установки не должна их все предусматривать для этого существует возможность сделать иные дистрибутивы. 2enp:  хорошо бы описать хотя бы один распространенный сценарий, при котором все это не нужно.
2boyarsh: отсутствие su это, возможно, блокер. 
На усмотрение RM.
Comment 2 enp 2013-04-18 13:21:05 MSK
(В ответ на комментарий №1)

> Существует много сценариев, но программа установки не должна их все
> предусматривать для этого существует возможность сделать иные дистрибутивы.

Иные дистрибутивы не смогут стать СПТ, а иначе б я и не беспокоился ;)

> 2enp:  хорошо бы описать хотя бы один распространенный сценарий, при котором
> все это не нужно.

Сценарий, в котором не нужны rpcbind/rpc.statd/avahi-daemon/named? Честно говоря, мне труднее представить сценарий, в котором они нужны. Ни на одном из поддерживаемых мною серверов (RDBMS, Web, VoIP, специализированное ПО для внутреннего употребления) они не запущены. Если сервер живет не внутри корпоративной инфраструктуры, а где-то на хостинге, то я вообще не могу придумать ни одной уважительной причины их запускать.

Да и вообще мы переворачиваем ситуацию с ног на голову: любые сервисы должны запускаться при необходимости, а не в надежде на то, что они кому-то понадобятся. Когда-то была практика (не знаю, сохранилась ли) опускать sshd на десктопах по дефолту и это никого не смущало.

> 2boyarsh: отсутствие su это, возможно, блокер. 

> На усмотрение RM.

Разумеется. Но я очень прошу его сделать несколько лишних chkconfig off в том случае, если ни одна галочка при установке не выбрана.
Comment 3 enp 2013-05-08 11:27:35 MSK
А еще в рассылках регулярно появляются мнения о том, что и dbus на сервере не очень полезен (из последнего - http://lists.altlinux.org/pipermail/devel/2013-May/197376.html).
Comment 4 AEN 2013-05-08 14:55:50 MSK
(В ответ на комментарий №3)
> А еще в рассылках регулярно появляются мнения о том, что и dbus на сервере не
> очень полезен (из последнего -
> http://lists.altlinux.org/pipermail/devel/2013-May/197376.html).

Уточнил название, давайте обсудим что можно/нужно сделать.
// Надеюсь, что su уже в комплекте.
Comment 5 Michael Shigorin 2013-05-13 15:22:43 MSK
(В ответ на комментарий №3)
> что и dbus на сервере не очень полезен
Отключенный относительно безвреден, suid/sgid binaries там нет.

По server-mini могу заметить, что комплектация без dbus сейчас не содержит и wpa_supplicant, что не совсем приятное ограничение (разве что вынести его в дополнительно устанавливаемые пакеты).
Comment 6 enp 2014-11-21 08:30:04 MSK
Вчера пришлось устанавливать и настраивать сервер, к которому требование наличия сертификата ФСТЭК для устанавливаемого дистрибутива было обязательным. По привычке я рекомендовал Альт, но дефолтная инсталляция со всеми выключенными галочками - это просто чудовищно, может потому что отвык :)

Я понимаю, что изменить что-то быстро и особенно для сертифицированных решений совершенно нереально, поэтому для следующих подобных инсталляций либо буду либо собирать что-то на основе своего m-p-l и пакетной базы c6 (я понимаю, что это уже не сертифицированное решение, но вряд ли у сертифицирующих органов достаточно квалификации, чтобы это установить), либо буду смотреть на другие дистрибутивы (у CentOS 6.5 минимальная комплектация была приемлемой, может и у клонов окажется не сильно хуже).

Но в отношении с7 и p8 надежда есть? Предлагать помощь глупо, это не технический вопрос, у mike@ (пусть на m-p) давным давно все хорошо, исправить m-p-d гораздо легче, чем наворотить то, что сейчас есть - как мне кажется.
Comment 7 Michael Shigorin 2014-11-21 12:26:41 MSK
Если хочешь, посмотри подключаемое и выскажись по нему:
http://git.altlinux.org/people/boyarsh/packages/?p=mkimage-profiles-desktop.git;a=blob;f=use.mk.in;h=35754e2025e6328940537dd304547b26090c0ddb;hb=1311a32154a6961691e16679e8983a9b69b6386f#l258

Мне кажется, что тактически разумнее накидать и зафиксировать скрипт зачистки, который делает как минимум chkconfig до состояния "слушает только sshd".

А решать профильным образом уже после переезда Centaurus на m-p, что я надеюсь сделать возможным к 8.0, но оказалось неразумным к 7.0 и тем более к 6.0.

Сертифицирующие органы могут спросить номерной экземпляр установочного носителя.
Comment 8 enp 2014-11-21 16:07:39 MSK
(В ответ на комментарий №7)
> Если хочешь, посмотри подключаемое и выскажись по нему:
> http://git.altlinux.org/people/boyarsh/packages/?p=mkimage-profiles-desktop.git;a=blob;f=use.mk.in;h=35754e2025e6328940537dd304547b26090c0ddb;hb=1311a32154a6961691e16679e8983a9b69b6386f#l258

Речь о use-spt? Не вижу связи, честно говоря, между перечисленным и сейчас обсуждаемым, кроме слова СПТ :)

> Мне кажется, что тактически разумнее накидать и зафиксировать скрипт зачистки,
> который делает как минимум chkconfig до состояния "слушает только sshd".

Да, тоже вариант, или даже копия уже установленной и зачищенной системы.

> А решать профильным образом уже после переезда Centaurus на m-p, что я надеюсь
> сделать возможным к 8.0, но оказалось неразумным к 7.0 и тем более к 6.0.

Вот, именно это я надеялся услышать!

> Сертифицирующие органы могут спросить номерной экземпляр установочного
> носителя.

Им даже можно предъявить этот носитель - он в любом случае будет. Но есть ли способ доказать, что система установлена именно с него или наоборот?