Re: [devel] Re: README.ALT wanted

[Michael Shigorin <mike@lic145.kiev.ua>]

[-- Attachment #1.1: Type: text/plain, Size: 1196 bytes --]

On Mon, Apr 15, 2002 at 10:06:42AM +0400, Dmitry V. Levin wrote:
> > - ssh root@host
> > - PowerChutePlus и пароли
> Этот пункт (Q: проблемы с паролями при подключении ИБП APC с
> "фирменным" ПО) морально устарел; нет, проблемы вряд ли
> кончились, но предложения по их устранению надо обновить.
Было:
- password        sufficient      /lib/security/pam_unix.so nullok use_authtok blowfish shadow
+ password        sufficient      /lib/security/pam_unix.so nullok use_authtok md5 shadow

Как это соотносится с текущими возможностями pam_tcb, я не знаю.
В частности, не видно "ручки" для переключения алгоритма
шифрования:

password        required        /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb

В принципе, про PC+ можно и вынести в более отдельное место (faq
на сайте?) для более спокойного рассмотрения, т.к. проблема, по
большому счету, не ALT-specific, а (non-md5)-specific.

> > /etc/openssh/sshd_config и выполните команду service sshd restart,
> reload?
[fixed] (задумался, но уже боялся заснуть на бэкспейсе :)
Тж. добавил service xinetd sreload.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #1.2: README.ALT --]
[-- Type: text/plain, Size: 5677 bytes --]

Часть I.  root squashed

Q: почему руту не ходит почта?

A: в силу того, что читать почту под этим аккаунтом крайне не
рекомендуется (вариант -- запрещено по политике безопасности
дистрибутива), при инсталяции создается почтовый алиас,
переправляющий почту на первого зарегистрированного пользователя
(подразумевается, что это тот же человек, который устанавливал
систему).

Если это не устраивает (нужен другой пользователь), загляните в
файл /etc/postfix/aliases; после правки необходимо выполнить от
имени root следующую команду:

	postalias


Q: почему руту не дают собирать RPM? Выдается ошибка:
"rpmb: сборка пакетов запрещена для привилегированного пользователя"

A: сборка пакетов привелегированным пользователем является
потенциально небезопасной (плюс к тому, что правильно написанная
программа должна собираться от имени пользователя).

Для дополнительной информации обратитесь к содержимому
/usr/share/doc/rpm-4.0.4/README.ALT .


Q: у рута сломана локаль!

A: и не зря.  Системное администрирование -- достаточно
специфическая задача, требующая повышенного внимания и не
являющаяся "удобной" по своему определению.  

Крайне не рекомендуется выполнять ежедневную работу от имени root
-- а для администрирования должно хватить sudo и нормального
локализованного пользовательского аккаунта.

Если же вопрос стоит очень остро -- произведите поиск строки LANG
в файлах в домашнем каталоге администратора.


Q: CUPS не конфигурируется -- выдает ошибки даже после ввода
правильного пароля root!

A: для повышения безопасности CUPS теперь обычно работает от
имени пользователя вместо root, при этом он не может быть
переконфигурирован.  Есть два варианта для выполнения
конфигурирования и других административных задач:

A1: как предлагают разработчики:

	service cups admrestart

(делаем административные дела)

	service cups restart

(печатаем)

A2: вернуть все к старому варианту: в /etc/cups/cups.conf
раскомментировать

	runasuser no; 
	noizvrat  yes;

Далее

	service cups restart

(печатаем и админим в одной обойме)


Q: рута не пускают по ssh, пароль правильный!

A: в приличном обществе принято заходить по ssh пользователем и
лишь тогда делать sudo (или su).  Мотивация -- во-первых, для
административного доступа к системе требуется два пароля;
во-вторых, администрирование в этом случае не анонимно
(идентифицируется по первоначально вошедшему пользователю).

Если в силу каких-либо обстоятельств необходим ssh root login --
скорректируйте параметр PermitRootLogin в файле
/etc/openssh/sshd_config и выполните команду

	service sshd reload

-- но считайте, что вас предупредили.

Если логин осуществляется с сетевой машины -- см. тж. ниже
(насчет hosts.allow).


Часть II.  notwork troubles

Q: почему после установки сервера и его активации (в ntsysv,
DrakConf, /etc/xinetd.d/*) он недоступен из сети?

A1: по умолчанию в ALT Linux xinetd сконфигурирован с опцией
only_from = 127.0.0.1, позволяющей доступ к сервисам,
запускающимся из-под xinetd, только с локальной машины.

Для обеспечения доступа из сети отредактируйте или
закомментируйте эту строку в /etc/xinetd.conf; в последнем случае
настоятельно рекомендуем ввести ограничения по необходимости в
индивидуальные файлы в каталоге /etc/xinetd.d/ .  После внесения
изменений в конфигурацию xinetd необходимо учесть их командой

	service xinetd sreload

A2: если проблема не в этом -- обратите внимание на настройки
файрвола, которые можно получить при помощи команд

	service iptables status

(для Linux 2.4) или (для Linux 2.2)

	service ipchains status

A3: проверьте содержимое файлов /etc/hosts.allow и /etc/hosts.deny


Q: Почта не ходит!!

A: по умолчанию в соответствии с политикой безопасности postfix
настроен на работу только с локальными почтовыми клиентами, а
также может отправлять почту на внешние SMTP-сервера. Если вам
необходимо получать или пересылать почту через данный сервер с
внешних хостов, отредактируйте файлы конфигурации postfix.  Для
нормальной работы postfix с внешней почтой необходим доступ к
корректно настроенному серверу DNS.


Часть III.  общесистемное администрирование

Q: почему пуст /etc/shadow?  Неужели он не используется?!

A: хуже -- в ALT используется схема TCB, при которой "маленькие
тени" живут в per-user каталогах под /etc/tcb.  Это сперва может
показаться не вполне привычным, но существенно улучшает
безопасность системы и не является катастрофой для администратора
:-)


Q: проблемы с паролями при подключении ИБП APC с "фирменным" ПО
   PowerChutePlus.

A: в старых дистрибутивах пароли шифровались при помощи более
слабых алгоритмов, чем необходимо сейчас -- и, к сожалению, PC+
занимается самодеятельногстью по части обработки паролей, не
используя системные методы аутентификации.

Проблема в том, что он не понимает пароли, закодированные
blowfish.  Если создать пользователя, под которым работает
xpowerschute, и ему назначить пароль, отключив криптование через
blowfish, то все заработает, главное -- ему потом не менять
пароль при включенном blowfish.

Это можно сделать так [ВНИМАНИЕ: устарело с переходом на tcb]:

1. Заменить "на секундочку" в файле /etc/pam.d/system-auth строку
password        sufficient      /lib/security/pam_unix.so nullok use_authtok blowfish shadow
на
password        sufficient      /lib/security/pam_unix.so nullok use_authtok md5 shadow

2. Переустановить пароль пользователя, под которым работает
PowerChutePlus, с помощью команды passwd

3. Вернуть файл /etc/pam.d/system-auth в прежнее состояние.



Благодарности
~~~~~~~~~~~~~
Вячеслав Диконов <sdiconov@mail.ru>
Любимов А.В. <avl@l14.ru>
Власенко Олег <cornet@altlinux.ru>
Alexander Bokovoy <a.bokovoy@sam-solutions.net>
Dmitry V. Levin <ldv@alt-linux.org>

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]