From: Michael Shigorin <mike@osdn.org.ua> To: ALT Devel discussion list <devel@altlinux.ru> Subject: [devel] Re: ALT-специфика в документации Date: Wed, 9 Jun 2004 16:42:16 +0300 Message-ID: <20040609134216.GK29312@osdn.org.ua> (raw) In-Reply-To: <20040609114933.GN1787@susanin.localdomain> [-- Attachment #1: Type: text/plain, Size: 1558 bytes --] On Wed, Jun 09, 2004 at 03:49:33PM +0400, Kirill Maslinsky wrote: > > Я в свое время (ALM2.2) попытался собрать наиболее горячую > > информацию по этому поводу в README.ALT, который лежал очень > > близко к корню CD1. > А можно это найти и мне прислать? Наврал -- это было в Master/2.0/README.ALT. Заодно нашел дома еще кой-какие заготовки (старые). Цепляю. Стоит иметь в виду, что в 2.2 в каком-то виде это R.A было, но уже не помню, где -- а в архиве текущая версия, но она может содержать неактуальные вещи. Что-то набрасывал в http://wiki.atmsk.ru/index.html/AltPolicy, но это скорее описательное, чем "policy". > > Это получится кучка diff'ов в пользователечитаемом виде, в > > лучшем случае. А не слитная картинка. > Эта сборка сейчас очень нужна мне, чтобы понять в том числе и > то, как составлять слитную картинку по дистрибутиву и из чего > она должна состоять. На самом деле это проблема курицы и яйца, боюсь... > > Нужно начать не с пакетов, а с дистрибутива в целом -- > > разница для пользователя, администратора, разработчика, > > руководителя. > А из чего складывается дистриубтив, по-Вашему? Или писать чисто > теоретически? Нет. Есть картинка "с высоты полета", помогающая быстро оценить. Нечто похожее набросал rider@ и указал ldv@. А уже потом идет специфика пакетов. Я просто к тому, что по-хорошему -- от концепции дистрибутива зависит часть содержимого набора README.ALT (т.е. думаем, потом делаем), а не наоборот по факту. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: README.ALT-M22 --] [-- Type: text/plain, Size: 8007 bytes --] Ряд рекомендаций пользователям не знакомым с особенностями дистрибутивов ALT Linux Вопрос N1: как увидеть текстовый вывод процесса загрузки? Ответ: в ALT Linux Master используется Linux Progress Patch (LPP), дающий графическое представление о процессе загрузки при наличии в системе видеокарты, поддерживающей VESA framebuffer. При этом сообщения init выдаются на 10-ю консоль (переключение -- Alt-F10), начиная примерно с середины "полоски". Если вас не устраивает это "нововведение" (желательны текстовые сообщения или видеокарта не поддерживает vesafb) -- удалите фрагмент вида "fbprogress=/dev/tty10 vga=NNN" из строки, передаваемой ядру загрузчиком (см. /etc/lilo.conf или /boot/grub/menu.lst) и в случае LILO повторно установите загрузчик выполнением от имени root команды lilo ВНИМАНИЕ: если вы плохо представляете себе процесс загрузки, перед переконфигурированием GRUB/LILO обратитесь к их документации и проконсультируйтесь в списках рассылки! Часть I. root squashed Q: Почему пользователю root не ходит почта? A: В силу того, что читать почту под этим пользователем крайне не рекомендуется авторами дистрибутива, при первой загрузке создается почтовый псевдоним, перенаправляющий почту на первого зарегистрированного пользователя (подразумевается, что это тот же человек, который устанавливал систему). Если это не устраивает (нужен другой пользователь), загляните в файл /etc/postfix/aliases; после правки необходимо выполнить от имени root следующую команду: newaliases Q: почему руту не дают собирать RPM? Выдается ошибка: "rpmb: сборка пакетов запрещена для привилегированного пользователя" A: сборка пакетов привилегированным пользователем является потенциально небезопасной (плюс к тому правильно сделанный пакет должен собираться от имени пользователя). Для дополнительной информации обратитесь к содержимому /usr/share/doc/rpm-4.0.4/README.ALT . Q: У рута сломана локаль! A: У пользователя root настроена локаль POSIX в целях устранения возможных проблем с системными сервисами, использующими этот пользовательский аккаунт для своего запуска. В частности, последствия применения не-POSIX локали для root становятся видны в файлах протоколов syslog в виде локализованных дат, которые не воспринимаются большинством анализаторов системных протоколов. Крайне не рекомендуется выполнять ежедневную работу от имени root -- а для администрирования должно хватить sudo и нормального локализованного пользовательского аккаунта. Специфические настройки локали для любого пользователя (в том числе и root) можно изменить в файле ~/.i18n . Q: CUPS не конфигурируется -- выдает ошибки даже после ввода правильного пароля root! A: Для повышения безопасности CUPS теперь обычно работает от имени пользователя вместо root, при этом он не может быть переконфигурирован. Есть два варианта для выполнения конфигурирования и других административных задач: A1: Как предлагают разработчики: service cups admrestart (делаем административные дела) service cups restart (печатаем) A2: Вернуть все к старому варианту: в /etc/cups/cups.conf раскомментировать RunAsUser no; NoIzvrat yes; Далее service cups restart (печатаем и админим в одной обойме) Q: Рута не пускают по ssh, пароль правильный! A: Обычно принято заходить по ssh пользователем и лишь тогда делать sudo (или su). Мотивация -- во-первых, для административного доступа к системе требуется два пароля; во-вторых, администрирование в этом случае не анонимно (идентифицируется по первоначально вошедшему пользователю). Если в силу каких-либо обстоятельств необходим ssh root login -- скорректируйте параметр PermitRootLogin в файле /etc/openssh/sshd_config и выполните команду service sshd reload Но наиболее правильным является следующее решение: Создается специальный пользователь su-user и помещается в группу wheel. Тем самым исключается компрометация user->root через su. -- считайте, что вас предупредили. Если логин осуществляется с сетевой машины -- см. тж. ниже (насчет hosts.allow). Часть II. notwork troubles Q: Почему после установки сервера и его активации (в ntsysv, DrakConf, /etc/xinetd.d/*) он недоступен из сети? A1: По умолчанию в ALT Linux xinetd сконфигурирован с опцией only_from = 127.0.0.1, разрешающей доступ к сервисам, запускающимся из-под xinetd, только с локальной машины. Для обеспечения доступа из сети отредактируйте или закомментируйте эту строку в /etc/xinetd.conf; в последнем случае настоятельно рекомендуем ввести ограничения по необходимости в индивидуальные файлы в каталоге /etc/xinetd.d/ . После внесения изменений в конфигурацию xinetd необходимо учесть их командой service xinetd reload A2: Если проблема не в этом -- обратите внимание на настройки файрвола, которые можно получить при помощи команд service iptables status (для Linux 2.4) или (для Linux 2.2) service ipchains status A3: Проверьте содержимое файлов /etc/hosts.allow и /etc/hosts.deny Q: Почта не ходит!! A: По умолчанию в соответствии с политикой безопасности postfix настроен на работу только с локальными почтовыми клиентами, а также может отправлять почту на внешние SMTP-сервера. Если вам необходимо получать или пересылать почту через данный сервер с внешних хостов, отредактируйте файлы конфигурации postfix. Для нормальной работы postfix с внешней почтой необходим доступ к корректно настроенному серверу DNS. Часть III. общесистемное администрирование Q: Почему пуст /etc/shadow? Неужели он не используется?! A: В ALT Linux используется реализация Trusted Computing Base (TCB), выполненная Rafal Wojtczuk и Solar Designer в рамках проекта Openwall GNU/*/Linux. В этой модели каждый пользователь имеет собственный shadow-файл, хранящийся в /etc/tcb/имя_пользователя/shadow, доступ к которому имеют только сам пользователь (чтение/запись) и программы, исполняющиеся с sgid auth. В результате, доступ к паролям конкретного пользователя не приводит к возможности скомпрометировать всю систему. О преимуществах и недостатках этой модели подробно описано в tcb(5). Для всех приложений, работающих в системах с поддержкой NSS (таких как ALT Linux) и использующих только чтение паролей системными средствами, схема TCB прозрачна. Q: Проблемы с паролями при подключении ИБП APC с "фирменным" ПО PowerChutePlus. A: В старых дистрибутивах пароли шифровались при помощи более слабых алгоритмов, чем необходимо сейчас -- и, к сожалению, PC+ занимается самодеятельногстью по части обработки паролей, не используя системные методы аутентификации. Проблема в том, что он не понимает пароли, закодированные blowfish. Если создать пользователя, под которым работает xpowerschute, и ему назначить пароль, отключив криптование через blowfish, то все заработает, главное -- ему потом не менять пароль при включенном blowfish. Это можно сделать так: 1. Заменить "на секундочку" в файле /etc/pam.d/system-auth строку password required /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb на password required /lib/security/pam_tcb.so use_authtok shadow fork prefix=$1$ count=8 write_to=tcb 2. Переустановить пароль пользователя, под которым работает PowerChutePlus, с помощью команды passwd 3. Вернуть файл /etc/pam.d/system-auth в прежнее состояние. Q: Были внесены изменения в конфигурационные файлы; как синхронизировать эти изменения во всех многочисленных chrooted environments, используемых в системе? A: Запустите команду /sbin/update_chrooted conf Q: А если были изменены системные библиотеки? A: Обычно это происходит в ходе обновления пакетов; в этом случае синхронизация библиотек и обновление /etc/ld.so.cache произойдет автоматически. В противном случае следует запустить команды /sbin/ldconfig /sbin/update_chrooted lib Благодарности ~~~~~~~~~~~~~ Вячеслав Диконов <sdiconov@mail.ru> Любимов А.В. <avl@l14.ru> Власенко Олег <cornet@altlinux.ru> Alexander Bokovoy <a.bokovoy@sam-solutions.net> Dmitry V. Levin <ldv@alt-linux.org> Victor Forsyuk <victor@ksi-linux.com> [-- Attachment #3: ALT-HOWTOs.tar.bz2 --] [-- Type: application/octet-stream, Size: 16244 bytes --]
next prev parent reply other threads:[~2004-06-09 13:42 UTC|newest] Thread overview: 59+ messages / expand[flat|nested] mbox.gz Atom feed top 2004-06-09 8:57 [devel] " Kirill Maslinsky 2004-06-09 9:30 ` Denis Ovsienko 2004-06-09 10:05 ` Kirill Maslinsky 2004-06-09 10:46 ` Anatoly A. Yakushin 2004-06-09 11:48 ` [devel] Re: что такое Сизиф Denis Ovsienko 2004-06-09 13:08 ` [devel] Re: ALT-специфика в документации Michael Shigorin 2004-06-09 13:25 ` Aleksey Novodvorsky 2004-06-09 13:48 ` Michael Shigorin 2004-06-09 14:29 ` Aleksey Novodvorsky 2004-06-09 15:02 ` Denis Ovsienko 2004-06-09 15:36 ` Aleksey Novodvorsky 2004-06-09 15:14 ` Michael Shigorin 2004-06-09 15:37 ` Aleksey Novodvorsky 2004-06-09 16:16 ` Michael Shigorin 2004-06-09 16:23 ` Aleksey Novodvorsky 2004-06-09 16:44 ` Anatoly A. Yakushin 2004-06-09 22:01 ` Sergey V. Degtyaryov 2004-06-10 10:14 ` Michael Shigorin 2004-06-09 17:38 ` Denis Ovsienko 2004-06-09 17:49 ` Aleksey Novodvorsky 2004-06-09 19:58 ` Denis Ovsienko 2004-06-10 10:18 ` Michael Shigorin 2004-06-10 10:28 ` Denis Ovsienko 2004-06-10 1:02 ` Ivan Fedorov 2004-06-09 15:38 ` Lokhin 2004-06-09 17:25 ` [devel] Re: ALT-специфика в документации - JT о "простом пользователе" Вячеслав Диконов 2004-06-09 17:45 ` Anton Farygin 2004-06-09 19:55 ` [devel] Re: ALT-специфика в документации - JT о "п =?KOI8-R?Q?=D2=CF=D3=D4=CF=CD_=D0=CF=CC=D8=DA=CF=D7=C1=D4=C5=CC=C5=2 Denis Ovsienko 2004-06-10 10:06 ` [devel] Re: ALT-специфика в документации - JT о "простом пользователе" Michael Shigorin 2004-06-09 17:48 ` Aleksey Novodvorsky 2004-06-10 11:13 ` Kirill Maslinsky 2004-06-10 11:01 ` Andriy Dobrovol's'kii 2004-06-10 11:26 ` Denis Ovsienko 2004-06-09 13:28 ` [devel] Re: ALT-специфика в документации Anatoly A. Yakushin 2004-06-09 13:56 ` Michael Shigorin 2004-06-09 16:51 ` Anatoly Yakushin 2004-06-10 10:19 ` Michael Shigorin 2004-06-09 11:06 ` [devel] " vserge 2004-06-09 10:44 ` Anton Farygin 2004-06-09 10:44 ` Sergey Pinaev 2004-06-09 10:58 ` Nick S. Grechukh 2004-06-09 10:54 ` Sergey Pinaev 2004-06-09 14:17 ` Vitaly Lipatov 2004-06-09 14:24 ` Sergey Pinaev 2004-06-09 16:31 ` Vitaly Lipatov 2004-06-09 11:01 ` Kirill Maslinsky 2004-06-09 11:12 ` vserge 2004-06-09 13:11 ` [devel] " Michael Shigorin 2004-06-09 16:51 ` vserge 2004-06-09 13:10 ` Michael Shigorin 2004-06-09 15:41 ` [devel] " Lokhin 2004-06-09 15:55 ` Lokhin 2004-06-09 15:52 ` Lokhin 2004-06-09 11:13 ` Dmitry V. Levin 2004-06-09 13:12 ` [devel] " Michael Shigorin 2004-06-09 11:34 ` Michael Shigorin 2004-06-09 11:49 ` Kirill Maslinsky 2004-06-09 13:42 ` Michael Shigorin [this message] 2004-06-09 11:42 ` [devel] " Stanislav Ievlev
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20040609134216.GK29312@osdn.org.ua \ --to=mike@osdn.org.ua \ --cc=devel@altlinux.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git