ALT Linux Sisyphus discussions
 help / color / mirror / Atom feed
* [sisyphus] I: base utilities for network analisys are now chrooted
@ 2002-04-09 19:04 Dmitry V. Levin
  2002-04-10  8:47 ` Sergey V. Degtiarenko
                   ` (2 more replies)
  0 siblings, 3 replies; 19+ messages in thread
From: Dmitry V. Levin @ 2002-04-09 19:04 UTC (permalink / raw)
  To: devel, ALT Linux Sisyphus mailing list

[-- Attachment #1: Type: text/plain, Size: 1328 bytes --]

Greetings!

По окончании сегодняшней синхронизации в Сизифе основные средства
анализа сети chroot'изированы.

Это значит, что еще до начала работы с пакетами из сети процесс будет
находится в chroot'е (/var/resolv) с правами пользователя (даже если был
запущен root'ом).

Изменениям подверглись следующие пакеты:
chrooted-resolv
iputils
ngrep
tcpdump
traceroute

Новую технологию защиты поддерживают следующие программы:
/bin/ping
/usr/sbin/arping
/usr/sbin/clockdiff
/usr/sbin/ping6
/usr/sbin/tracepath
/usr/sbin/tracepath6
/usr/sbin/traceroute6
/usr/sbin/traceroute
/usr/sbin/tcpdump
/usr/bin/ngrep

Насколько мне известно, ущерба функциональности ни одной из этих программ
не нанесено.

P.S. Господа администраторы, по окончании внесения изменения в любой из
     нижеперечисленных файлов, не забудьте запустить команду
     "/usr/sbin/update_chrooted conf"
     Список файлов:
     /etc/{localtime,hosts,services,{host,nsswitch,resolv}.conf}


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [sisyphus] I: base utilities for network analisys are now chrooted
  2002-04-09 19:04 [sisyphus] I: base utilities for network analisys are now chrooted Dmitry V. Levin
@ 2002-04-10  8:47 ` Sergey V. Degtiarenko
  2002-04-10  9:17   ` Dmitry V. Levin
  2002-04-10 14:16   ` Dmitry V. Levin
    2002-04-22 18:10 ` [sisyphus] I: base utilities for network analisys are now chrooted Dmitry V. Levin
  2 siblings, 2 replies; 19+ messages in thread
From: Sergey V. Degtiarenko @ 2002-04-10  8:47 UTC (permalink / raw)
  To: sisyphus

Dmitry V. Levin wrote:
> По окончании сегодняшней синхронизации в Сизифе основные средства
> анализа сети chroot'изированы.
> .........
> Насколько мне известно, ущерба функциональности ни одной из этих программ
> не нанесено.
> 
Не работает resolv через NIS,NISPLUS.

Вылечилось добавлением библиотеки libnsl.so.1 в /var/resolv/lib
и директории /var/resolv/var/nis с содержимым из /var/nis.
Может также потребоваться /var/resolv/var/yp/binding (у меня он пустой).

С уважением,
Сергей Дегтяренко.









^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [sisyphus] I: base utilities for network analisys are now chrooted
  2002-04-10  8:47 ` Sergey V. Degtiarenko
@ 2002-04-10  9:17   ` Dmitry V. Levin
  2002-04-10 13:20     ` Sergey V. Degtiarenko
  2002-04-10 14:16   ` Dmitry V. Levin
  1 sibling, 1 reply; 19+ messages in thread
From: Dmitry V. Levin @ 2002-04-10  9:17 UTC (permalink / raw)
  To: ALT Linux Sisyphus mailing list

[-- Attachment #1: Type: text/plain, Size: 961 bytes --]

On Wed, Apr 10, 2002 at 12:47:14PM +0400, Sergey V. Degtiarenko wrote:
> >По окончании сегодняшней синхронизации в Сизифе основные средства
> >анализа сети chroot'изированы.
> >.........
> >Насколько мне известно, ущерба функциональности ни одной из этих программ
> >не нанесено.
> >
> Не работает resolv через NIS,NISPLUS.
> 
> Вылечилось добавлением библиотеки libnsl.so.1 в /var/resolv/lib

libnsl.so.1 - принято.

> и директории /var/resolv/var/nis с содержимым из /var/nis.

А что там за содержимое?

> Может также потребоваться /var/resolv/var/yp/binding (у меня он пустой).

А там что? Я не специалист по NIS/NIS+.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [sisyphus] I: base utilities for network analisys are now chrooted
  2002-04-10  9:17   ` Dmitry V. Levin
@ 2002-04-10 13:20     ` Sergey V. Degtiarenko
  2002-04-15  6:56       ` Dmitry V. Levin
  0 siblings, 1 reply; 19+ messages in thread
From: Sergey V. Degtiarenko @ 2002-04-10 13:20 UTC (permalink / raw)
  To: sisyphus

Dmitry V. Levin wrote:
> On Wed, Apr 10, 2002 at 12:47:14PM +0400, Sergey V. Degtiarenko wrote:
> 
>>>По окончании сегодняшней синхронизации в Сизифе основные средства
>>>анализа сети chroot'изированы.
>>>.........
>>>Насколько мне известно, ущерба функциональности ни одной из этих программ
>>>не нанесено.
>>>
>>
>>Не работает resolv через NIS,NISPLUS.
>>
>>Вылечилось добавлением библиотеки libnsl.so.1 в /var/resolv/lib
> 
> 
> libnsl.so.1 - принято.
> 
> 
>>и директории /var/resolv/var/nis с содержимым из /var/nis.
> 
> 
> А что там за содержимое?

В катоалоге лежат cache-файлы NIS_COLD_STARТ и NIS_COLD_START.no_nisplus
создаются утилитами NIS+, либо сопируются с другой (Solaris) машины.
> 
> 
>>Может также потребоваться /var/resolv/var/yp/binding (у меня он пустой).
> 
> 
> А там что? Я не специалист по NIS/NIS+.
Не знаю. NIS не использую. Но resolv, судя по strace, лезет туда за 
файлами <<YOU-NISDOMAIN>>.2

> 
> 
> Regards,
> 	Dmitry
> 
> +-------------------------------------------------------------------------+
> Dmitry V. Levin     mailto://ldv@alt-linux.org
> ALT Linux Team      http://www.altlinux.com/
> +-------------------------------------------------------------------------+
> UNIX is user friendly. It's just very selective about who its friends are.






^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [sisyphus] I: base utilities for network analisys are now chrooted
  2002-04-10  8:47 ` Sergey V. Degtiarenko
  2002-04-10  9:17   ` Dmitry V. Levin
@ 2002-04-10 14:16   ` Dmitry V. Levin
  1 sibling, 0 replies; 19+ messages in thread
From: Dmitry V. Levin @ 2002-04-10 14:16 UTC (permalink / raw)
  To: ALT Linux Sisyphus mailing list

[-- Attachment #1: Type: text/plain, Size: 926 bytes --]

On Wed, Apr 10, 2002 at 12:47:14PM +0400, Sergey V. Degtiarenko wrote:
> >По окончании сегодняшней синхронизации в Сизифе основные средства
> >анализа сети chroot'изированы.
> >.........
> >Насколько мне известно, ущерба функциональности ни одной из этих программ
> >не нанесено.
> >
> Не работает resolv через NIS,NISPLUS.
> 
> Вылечилось добавлением библиотеки libnsl.so.1 в /var/resolv/lib
> и директории /var/resolv/var/nis с содержимым из /var/nis.
> Может также потребоваться /var/resolv/var/yp/binding (у меня он пустой).

Ok, как же у Вас остальные сервера в chroot'ах работают?


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* [sisyphus] LTSP и ALT (was: [devel] README.ALT wanted)
  @ 2002-04-13  8:54         ` Michael Shigorin
    1 sibling, 0 replies; 19+ messages in thread
From: Michael Shigorin @ 2002-04-13  8:54 UTC (permalink / raw)
  To: sisyphus


[-- Attachment #1.1: Type: text/plain, Size: 514 bytes --]

On Thu, Apr 11, 2002 at 11:21:52AM +0300, Michael Shigorin wrote:
> > > ONLY_FROM=127.0.0.1 -- человек тут утверждал, что потерял две
> Кстати, он обратил внимание еще на одну багу: заведению подлежал
> tftpd и он не работал на сеть до первого обращения с локалхоста,
> после чего (благодаря wait = yes) работал и с внешней сетью.
Вдогонку: через час пришло письмо Игоря (см. аттач).  "Авторский
стиль сохранен" (C)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #1.2: Type: message/rfc822, Size: 5752 bytes --]

From: Igor Grabin <violent@death.kiev.ua>
To: ltsp-ru-discussion@yahoogroups.com
Cc: mike@altlinux.ru
Subject: Re: [ltsp-ru-discussion] altlinux-junior + ltsp.ru - вдогонку
Date: Thu, 11 Apr 2002 12:02:19 +0300
Message-ID: <20020411120218.L13891@wolf.istc.kiev.ua>

Итак,

у меня на руках был винт с altlinux-junior, насетапленный Майком. и
было дикое желание отыметь этот GNU'сный шелезяк чтобы он проникся
идеями сетевой загрузки с него. дальнейшее описание будет включать в
себя абсолютно все грабли, которые я помню, то есть будут не только
косяки дистрибутов или сомнительные фичи, но и какието неочевидные
моменты, по поводу которых я стормозил.

1. чешем на www.ltsp.ru, качаем, ставим. на altlinux оно налазит без
вопросов. сам инсталер сделан неплохо, ничего не скажешь.  неочевидный
вопрос на тот момент - exportfs -a, и то, что в случае глобальных
разборок с /etc/exports нужно иногда всё это дело продувать, а то
лезут варнинги, которые понятны только тогда, когда проникнуться
системой. иначе запутывают.
2. сначала была попытка завести всё через pxelinux из поставки
syslinux. достоинства - живёт на всех сетевухах, которые поддерживают
pxe. недостатки - ltsp.ru'шное ядро, точёное под etherboot, с этой
радостью не мирится. несовместимость с ядром лечится весьма просто -
собираем своё, которое подойдёт под рабочую станцию. и не забываем
включить mount devfs at startup. ещё нужно будет помнить, что в случае
serial мыши ейный device будет /dev/ttys/N, а не /dev/ttySN как в
случае с ltsp.ru'шным ядром.
3. так как потуга завести всё через pxelinux была отвержена по
косвенным причинам (корявый драйвер сетевухи на сервере :))), был
поднят вариант etherboot. с точки зрения настройки - поднимаем dhcpd3,
дальше почти тоже самое, что и в п.2. но я решил таки обойтись тем
tftpd, что мне достался от Майка, и за это поплатился. ибо в п.2 был
использован собранный мной на коленке tftpd, который пускался
standalone. а попробовал я перейти на xinetd, в результате чего
нарвался на грабли в виде строчки:
only_from = 127.0.0.1
в /etc/xinetd.conf
как мне потом обьяснял Майк, это типа фича альтлинуха. я лично вижу
это как багу, ибо субьективно - при попытке в чёмто разобраться tftp
снаружи иногда начинает спонтанно работать. всё дело в wait = yes и
tftp localhost при тестовых прогонах, думаю дальше обьяснять не надо.
вдобавок, в логах - НОЛЬ по поводу настоящей причины проблемы. только
service tftp looping, прибито. по крайней мере без чтения alt-specific
документации методика работы в данной ситуации уж очень похожа на
обнаружение бага. и никак не на освоение фичи.
дальше. с dhcpd всё оказалось весьма просто - втыкаем, кормим конфиг,
оно работает.
4. неприятно удивило отсутствие русских шрифтов в иксах, раздаваемых с
www.ltsp.ru. когда залечивал, выяснилась ещё одна мелкая недоработка.
4a. куда прописывать свежедобавленные шрифты? правильно, find [...]
-type f -exec grep -li fontpath \{\} \; и ни слова в документации.
знаю, что я тормоз и надо пользоваться xfs, но он у меня с первого и
второго пинка не ожил, я решил по старинке. даже помню почему не ожил.
он в альте по умолчанию нифига наружу не слушает (1), см. пункт с
мышой и именами девайсов выше (2), а так как одновременно эти две вещи
вскрывать сложно, я (2) решил, а про (1) забыл. :). а в процессе
выяснения обнаружилась ещё одна вещь -
5. в процессе отладки сильно напрягает отсутствие локального шелла.
любого. я понимаю, что busybox'овый набор не сильно даёт разогнаться,
но хоть чтото подвернуть на ходу стиля 'подправить конфиг иксов на
месте или посмотреть, ПОЧЕМУ сдох xserver' - imho полезно. и кста,
если x-server сдох, ребутать машину только резетом. а из xdm логин так
вообще нереально.
5a. ради настройки иксов разбираться с nis я точно не хотел :)

6. overall:
ставим ltsp.ru'шную кухню
ввинчиваем dhcpd3
включаем tftp-server
лечим хохму с only_from = 127.0.0.1
ставим русские шрифты в клиентские иксы

то есть возни было гораздо меньше, чем я ожидал. что приятно - проблем
с обнаружением железа не было ну просто никаких. по крайней мере в
моём случае.

Надеюсь, что ничего не забыл (наивный! :))
-- 
Igor Grabin, http://violent.death.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* [sisyphus] Re: README.ALT wanted
    @ 2002-04-14 19:49       ` Michael Shigorin
  2002-04-14 20:36         ` cornet
                           ` (2 more replies)
  1 sibling, 3 replies; 19+ messages in thread
From: Michael Shigorin @ 2002-04-14 19:49 UTC (permalink / raw)
  To: devel; +Cc: sisyphus, mandrake-russian


[-- Attachment #1.1: Type: text/plain, Size: 1133 bytes --]

On Thu, Apr 11, 2002 at 11:18:28AM +0400, Dmitry V. Levin wrote:
> > И вообще хорошо бы "альтовости" повыносить в отдельный
> > checklist (/README.ALT), дабы людям было легче портироваться.
> > Примерный список Q&A -- думаю, по сервисам и "чего не дают
> > руту".
> Ok, давайте попробуем "вспомнить все", пока еще не поздно.
Последняя версия в аттаче.

Добавлено:
- администрирование CUPS (про admrestart и NoIzvrat)
- ssh root@host
- "почта не ходит" (postfix+dns, <-cornet)
- ls -l /etc/shadow
- PowerChutePlus и пароли

---

m-r & sisyphus readers: устраиваю жуткий спам, считая его в ваших
же интересах.  Если есть дополнения -- срочно шлите!

Кто-то может вспомнить "приколы" с серверами, локалью etc?
Если актуален вопрос вида "Q: как перенести старые пароли из
RH6/*BSD/courier?" -- пишите ответ.

Игрушки (вроде UT) -- наверное, недистроспецифично и скорее
подходит для более отдельного фака?

Имеет ли смысл вписать каким-то боком ссылку на man pam_console?
Это скорее RH[-based] specific, но может быть более чем
неочевидно.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #1.2: README.ALT --]
[-- Type: text/plain, Size: 5402 bytes --]

Часть I.  root squashed

Q: почему руту не ходит почта?

A: в силу того, что читать почту под этим аккаунтом крайне не
рекомендуется (вариант -- запрещено по политике безопасности
дистрибутива), при инсталяции создается почтовый алиас,
переправляющий почту на первого зарегистрированного пользователя
(подразумевается, что это тот же человек, который устанавливал
систему).

Если это не устраивает (нужен другой пользователь), загляните в
/etc/postfix/aliases (после правки необходимо запустить от имени
root команду postalias).


Q: почему руту не дают собирать RPM? Выдается ошибка:
"rpmb: сборка пакетов запрещена для привилегированного пользователя"

A: сборка пакетов привелегированным пользователем является
потенциально небезопасной (плюс к тому, что правильно написанная
программа должна собираться от имени пользователя).

Для дополнительной информации обратитесь к содержимому
/usr/share/doc/rpm-*/README.ALT .


Q: у рута сломана локаль!

A: и не зря.  Системное администрирование -- достаточно
специфическая задача, требующая повышенного внимания и не
являющаяся "удобной" по своему определению.  

Крайне не рекомендуется выполнять ежедневную работу от имени root
-- а для администрирования должно хватить sudo и нормального
локализованного пользовательского аккаунта.

Если же вопрос стоит очень остро -- произведите поиск строки LANG
в файлах в домашнем каталоге администратора.


Q: CUPS не конфигурируется -- выдает ошибки даже после ввода
правильного пароля root!

A: для повышения безопасности CUPS теперь обычно работает от
имени пользователя вместо root, при этом он не может быть
переконфигурирован.  Есть два варианта для выполнения
конфигурирования и других административных задач:

A1: как предлагают разработчики:
service cups admrestart
(делаем административные дела)
service cups restart
(печатаем)

A2: вернуть все к старому варианту: в /etc/cups/cups.conf раскомментарить
runasuser no; 
noizvrat  yes;

Далее
service cups restart
(печатаем и админим в одной обойме)


Q: рута не пускают по ssh, пароль правильный!

A: в приличном обществе принято заходить по ssh пользователем и
лишь тогда делать sudo (или su).  Мотивация -- во-первых, для
административного доступа к системе требуется два пароля;
во-вторых, администрирование в этом случае не анонимно
(идентифицируется по первоначально вошедшему пользователю).

Если в силу каких-либо обстоятельств необходим ssh root login --
скорректируйте параметр PermitRootLogin в файле
/etc/openssh/sshd_config и выполните команду service sshd restart,
но считайте, что вас предупредили.

Если логин осуществляется с сетевой машины -- см. тж. ниже
(насчет hosts.allow).


Часть II.  notwork troubles

Q: почему после установки сервера и его активации (в ntsysv,
DrakConf, /etc/xinetd.d/*) он недоступен из сети?

A1: по умолчанию в ALT Linux xinetd сконфигурирован с опцией
only_from = 127.0.0.1, позволяющей доступ к сервисам,
запускающимся из-под xinetd, только с локальной машины.

Для обеспечения доступа из сети отредактируйте или
закомментируйте эту строку в /etc/xinetd.conf; в последнем случае
настоятельно рекомендуем ввести ограничения по необходимости в
индивидуальные файлы в каталоге /etc/xinetd.d/ .

A2: если проблема не в этом -- обратите внимание на настройки
файрвола (service iptables status или service ipchains status).

A3: проверьте содержимое файлов /etc/hosts.allow и /etc/hosts.deny


Q: Почта не ходит!!

A: по умолчанию в соответствии с политикой безопасности postfix
настроен на работу только с локальными почтовыми клиентами, а
также может отправлять почту на внешние SMTP-сервера. Если вам
необходимо получать или пересылать почту через данный сервер с
внешних хостов, отредактируйте файлы конфигурации posfix.  Для
нормальной работы postfix необходим доступ к корректно
настроенному серверу DNS.


Часть III.  общесистемное администрирование

Q: почему пуст /etc/shadow?  Неужели он не используется?!

A: хуже -- в ALT используется схема TCB, при которой "маленькие
тени" живут в per-user каталогах под /etc/tcb.  Это сперва может
показаться не вполне привычным, но существенно улучшает
безопасность системы и не является катастрофой для администратора
:-)


Q: проблемы с паролями при подключении ИБП APC с "фирменным" ПО
   PowerChutePlus.

A: в старых дистрибутивах пароли шифровались при помощи более
слабых алгоритмов, чем необходимо сейчас -- и, к сожалению, PC+
занимается самодеятельногстью по части обработки паролей, не
используя системные методы аутентификации.

Проблема в том, что он не понимает пароли, закодированные
blowfish.  Если создать пользователя, под которым работает
xpowerschute, и ему назначить пароль, отключив криптование через
blowfish, то все заработает, главное -- ему потом не менять
пароль при включенном blowfish.

Это можно сделать так:

1. Заменить "на секундочку" в файле /etc/pam.d/system-auth строку
password        sufficient      /lib/security/pam_unix.so nullok use_authtok blowfish shadow
на
password        sufficient      /lib/security/pam_unix.so nullok use_authtok md5 shadow

2. Переустановить пароль пользователя, под которым работает
PowerChutePlus, с помощью команды passwd

3. Вернуть файл /etc/pam.d/system-auth в прежнее состояние.



Благодарности
~~~~~~~~~~~~~
Вячеслав Диконов <sdiconov@mail.ru>
Любимов А.В. <avl@l14.ru>
Власенко Олег <cornet@altlinux.ru>
Alexander Bokovoy <a.bokovoy@sam-solutions.net>
Dmitry V. Levin <ldv@alt-linux.org>

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [sisyphus] Re: README.ALT wanted
  2002-04-14 19:49       ` Michael Shigorin
@ 2002-04-14 20:36         ` cornet
  2002-04-14 20:53           ` Michael Shigorin
  2002-04-15  6:06         ` [sisyphus] Re: [devel] " Dmitry V. Levin
  2002-04-15  7:46         ` [sisyphus] " Artem K. Jouravsky
  2 siblings, 1 reply; 19+ messages in thread
From: cornet @ 2002-04-14 20:36 UTC (permalink / raw)
  To: sisyphus

Michael Shigorin wrote:
> 
> On Thu, Apr 11, 2002 at 11:18:28AM +0400, Dmitry V. Levin wrote:
> > > И вообще хорошо бы "альтовости" повыносить в отдельный
> > > checklist (/README.ALT), дабы людям было легче портироваться.
> > > Примерный список Q&A -- думаю, по сервисам и "чего не дают
> > > руту".
> > Ok, давайте попробуем "вспомнить все", пока еще не поздно.
> Последняя версия в аттаче.
> 
> Добавлено:
> - администрирование CUPS (про admrestart и NoIzvrat)
> - ssh root@host
> - "почта не ходит" (postfix+dns, <-cornet)

Опечатка:
-- внешних хостов, отредактируйте файлы конфигурации posfix.  Для
++ внешних хостов, отредактируйте файлы конфигурации postfix.  Для

поправка:
-- нормальной работы postfix необходим доступ к корректно
++ нормальной работы postfix с внешней почтой необходим доступ к корректно

> - ls -l /etc/shadow
> - PowerChutePlus и пароли
> 
> ---
> 
> m-r & sisyphus readers: устраиваю жуткий спам, считая его в ваших
> же интересах.  Если есть дополнения -- срочно шлите!
> 
> Кто-то может вспомнить "приколы" с серверами, локалью etc?
> Если актуален вопрос вида "Q: как перенести старые пароли из
> RH6/*BSD/courier?" -- пишите ответ.
> 
> Игрушки (вроде UT) -- наверное, недистроспецифично и скорее
> подходит для более отдельного фака?
> 
> Имеет ли смысл вписать каким-то боком ссылку на man pam_console?
> Это скорее RH[-based] specific, но может быть более чем
> неочевидно.
> 
> --
>  ---- WBR, Michael Shigorin <mike@altlinux.ru>
>   ------ Linux.Kiev http://www.linux.kiev.ua/
> 
>   ----------------------------------------------------------------
>                  Name: README.ALT
>    README.ALT    Type: Plain Text (text/plain)
>              Encoding: 8bit
> 
>    Part 1.2Type: application/pgp-signature

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru



^ permalink raw reply	[flat|nested] 19+ messages in thread

* [sisyphus] Re: README.ALT wanted
  2002-04-14 20:36         ` cornet
@ 2002-04-14 20:53           ` Michael Shigorin
  2002-04-14 21:30             ` cornet
  0 siblings, 1 reply; 19+ messages in thread
From: Michael Shigorin @ 2002-04-14 20:53 UTC (permalink / raw)
  To: sisyphus


[-- Attachment #1.1: Type: text/plain, Size: 264 bytes --]

On Mon, Apr 15, 2002 at 12:36:31AM +0400, cornet wrote:
> > - "почта не ходит" (postfix+dns, <-cornet)
> Опечатка:
Вам видней :-)  См. аттач (или версии уже писать?)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #1.2: README.ALT --]
[-- Type: text/plain, Size: 5420 bytes --]

Часть I.  root squashed

Q: почему руту не ходит почта?

A: в силу того, что читать почту под этим аккаунтом крайне не
рекомендуется (вариант -- запрещено по политике безопасности
дистрибутива), при инсталяции создается почтовый алиас,
переправляющий почту на первого зарегистрированного пользователя
(подразумевается, что это тот же человек, который устанавливал
систему).

Если это не устраивает (нужен другой пользователь), загляните в
/etc/postfix/aliases (после правки необходимо запустить от имени
root команду postalias).


Q: почему руту не дают собирать RPM? Выдается ошибка:
"rpmb: сборка пакетов запрещена для привилегированного пользователя"

A: сборка пакетов привелегированным пользователем является
потенциально небезопасной (плюс к тому, что правильно написанная
программа должна собираться от имени пользователя).

Для дополнительной информации обратитесь к содержимому
/usr/share/doc/rpm-*/README.ALT .


Q: у рута сломана локаль!

A: и не зря.  Системное администрирование -- достаточно
специфическая задача, требующая повышенного внимания и не
являющаяся "удобной" по своему определению.  

Крайне не рекомендуется выполнять ежедневную работу от имени root
-- а для администрирования должно хватить sudo и нормального
локализованного пользовательского аккаунта.

Если же вопрос стоит очень остро -- произведите поиск строки LANG
в файлах в домашнем каталоге администратора.


Q: CUPS не конфигурируется -- выдает ошибки даже после ввода
правильного пароля root!

A: для повышения безопасности CUPS теперь обычно работает от
имени пользователя вместо root, при этом он не может быть
переконфигурирован.  Есть два варианта для выполнения
конфигурирования и других административных задач:

A1: как предлагают разработчики:
service cups admrestart
(делаем административные дела)
service cups restart
(печатаем)

A2: вернуть все к старому варианту: в /etc/cups/cups.conf раскомментарить
runasuser no; 
noizvrat  yes;

Далее
service cups restart
(печатаем и админим в одной обойме)


Q: рута не пускают по ssh, пароль правильный!

A: в приличном обществе принято заходить по ssh пользователем и
лишь тогда делать sudo (или su).  Мотивация -- во-первых, для
административного доступа к системе требуется два пароля;
во-вторых, администрирование в этом случае не анонимно
(идентифицируется по первоначально вошедшему пользователю).

Если в силу каких-либо обстоятельств необходим ssh root login --
скорректируйте параметр PermitRootLogin в файле
/etc/openssh/sshd_config и выполните команду service sshd restart,
но считайте, что вас предупредили.

Если логин осуществляется с сетевой машины -- см. тж. ниже
(насчет hosts.allow).


Часть II.  notwork troubles

Q: почему после установки сервера и его активации (в ntsysv,
DrakConf, /etc/xinetd.d/*) он недоступен из сети?

A1: по умолчанию в ALT Linux xinetd сконфигурирован с опцией
only_from = 127.0.0.1, позволяющей доступ к сервисам,
запускающимся из-под xinetd, только с локальной машины.

Для обеспечения доступа из сети отредактируйте или
закомментируйте эту строку в /etc/xinetd.conf; в последнем случае
настоятельно рекомендуем ввести ограничения по необходимости в
индивидуальные файлы в каталоге /etc/xinetd.d/ .

A2: если проблема не в этом -- обратите внимание на настройки
файрвола (service iptables status или service ipchains status).

A3: проверьте содержимое файлов /etc/hosts.allow и /etc/hosts.deny


Q: Почта не ходит!!

A: по умолчанию в соответствии с политикой безопасности postfix
настроен на работу только с локальными почтовыми клиентами, а
также может отправлять почту на внешние SMTP-сервера. Если вам
необходимо получать или пересылать почту через данный сервер с
внешних хостов, отредактируйте файлы конфигурации postfix.  Для
нормальной работы postfix с внешней почтой необходим доступ к
корректно настроенному серверу DNS.


Часть III.  общесистемное администрирование

Q: почему пуст /etc/shadow?  Неужели он не используется?!

A: хуже -- в ALT используется схема TCB, при которой "маленькие
тени" живут в per-user каталогах под /etc/tcb.  Это сперва может
показаться не вполне привычным, но существенно улучшает
безопасность системы и не является катастрофой для администратора
:-)


Q: проблемы с паролями при подключении ИБП APC с "фирменным" ПО
   PowerChutePlus.

A: в старых дистрибутивах пароли шифровались при помощи более
слабых алгоритмов, чем необходимо сейчас -- и, к сожалению, PC+
занимается самодеятельногстью по части обработки паролей, не
используя системные методы аутентификации.

Проблема в том, что он не понимает пароли, закодированные
blowfish.  Если создать пользователя, под которым работает
xpowerschute, и ему назначить пароль, отключив криптование через
blowfish, то все заработает, главное -- ему потом не менять
пароль при включенном blowfish.

Это можно сделать так:

1. Заменить "на секундочку" в файле /etc/pam.d/system-auth строку
password        sufficient      /lib/security/pam_unix.so nullok use_authtok blowfish shadow
на
password        sufficient      /lib/security/pam_unix.so nullok use_authtok md5 shadow

2. Переустановить пароль пользователя, под которым работает
PowerChutePlus, с помощью команды passwd

3. Вернуть файл /etc/pam.d/system-auth в прежнее состояние.



Благодарности
~~~~~~~~~~~~~
Вячеслав Диконов <sdiconov@mail.ru>
Любимов А.В. <avl@l14.ru>
Власенко Олег <cornet@altlinux.ru>
Alexander Bokovoy <a.bokovoy@sam-solutions.net>
Dmitry V. Levin <ldv@alt-linux.org>

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [sisyphus] Re: README.ALT wanted
  2002-04-14 20:53           ` Michael Shigorin
@ 2002-04-14 21:30             ` cornet
  0 siblings, 0 replies; 19+ messages in thread
From: cornet @ 2002-04-14 21:30 UTC (permalink / raw)
  To: sisyphus

Michael Shigorin wrote:
> 
> On Mon, Apr 15, 2002 at 12:36:31AM +0400, cornet wrote:
> > > - "почта не ходит" (postfix+dns, <-cornet)
> > Опечатка:
> Вам видней :-)  См. аттач (или версии уже писать?)

Ok, теперь нормально :-))

-- 
Власенко Олег.
Отдел технической поддержки ALT Linux Team.
mailto:cornet@altlinux.ru



^ permalink raw reply	[flat|nested] 19+ messages in thread

* [sisyphus] Re: [devel] Re: README.ALT wanted
  2002-04-14 19:49       ` Michael Shigorin
  2002-04-14 20:36         ` cornet
@ 2002-04-15  6:06         ` Dmitry V. Levin
  2002-04-15  7:46         ` [sisyphus] " Artem K. Jouravsky
  2 siblings, 0 replies; 19+ messages in thread
From: Dmitry V. Levin @ 2002-04-15  6:06 UTC (permalink / raw)
  To: ALT Devel Mailing list, devel, ALT Linux Sisyphus mailing list,
	ALT Linux Spring mailing list

[-- Attachment #1: Type: text/plain, Size: 1143 bytes --]

On Sun, Apr 14, 2002 at 10:49:59PM +0300, Michael Shigorin wrote:
> > > И вообще хорошо бы "альтовости" повыносить в отдельный
> > > checklist (/README.ALT), дабы людям было легче портироваться.
> > > Примерный список Q&A -- думаю, по сервисам и "чего не дают
> > > руту".
> > Ok, давайте попробуем "вспомнить все", пока еще не поздно.
> Последняя версия в аттаче.
> 
> Добавлено:
> - администрирование CUPS (про admrestart и NoIzvrat)
> - ssh root@host
> - "почта не ходит" (postfix+dns, <-cornet)
> - ls -l /etc/shadow
> - PowerChutePlus и пароли

Этот пункт (Q: проблемы с паролями при подключении ИБП APC с "фирменным"
ПО) морально устарел; нет, проблемы вряд ли кончились, но предложения по
их устранению надо обновить.

> /etc/openssh/sshd_config и выполните команду service sshd restart,

reload?


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [sisyphus] I: base utilities for network analisys are now chrooted
  2002-04-10 13:20     ` Sergey V. Degtiarenko
@ 2002-04-15  6:56       ` Dmitry V. Levin
  0 siblings, 0 replies; 19+ messages in thread
From: Dmitry V. Levin @ 2002-04-15  6:56 UTC (permalink / raw)
  To: ALT Linux Sisyphus mailing list

[-- Attachment #1: Type: text/plain, Size: 1396 bytes --]

On Wed, Apr 10, 2002 at 05:20:04PM +0400, Sergey V. Degtiarenko wrote:
> >>>По окончании сегодняшней синхронизации в Сизифе основные средства
> >>>анализа сети chroot'изированы.
> >>>.........
> >>>Насколько мне известно, ущерба функциональности ни одной из этих программ
> >>>не нанесено.
> >>
> >>Не работает resolv через NIS,NISPLUS.
> >>
> >>Вылечилось добавлением библиотеки libnsl.so.1 в /var/resolv/lib
> >
> >libnsl.so.1 - принято.
> >
> >>и директории /var/resolv/var/nis с содержимым из /var/nis.
> >
> >А что там за содержимое?
> 
> В катоалоге лежат cache-файлы NIS_COLD_STARТ и NIS_COLD_START.no_nisplus
> создаются утилитами NIS+, либо сопируются с другой (Solaris) машины.

Проверка показала, что glibc использует только NIS_COLD_STARТ.

> >>Может также потребоваться /var/resolv/var/yp/binding (у меня он пустой).
> >
> >А там что? Я не специалист по NIS/NIS+.
> Не знаю. NIS не использую. Но resolv, судя по strace, лезет туда за 
> файлами <<YOU-NISDOMAIN>>.2

Да, именно так.

В chrooted-resolv-0.2-alt1 все должно быть готовым к работе.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* [sisyphus] Re: README.ALT wanted
  2002-04-14 19:49       ` Michael Shigorin
  2002-04-14 20:36         ` cornet
  2002-04-15  6:06         ` [sisyphus] Re: [devel] " Dmitry V. Levin
@ 2002-04-15  7:46         ` Artem K. Jouravsky
  2 siblings, 0 replies; 19+ messages in thread
From: Artem K. Jouravsky @ 2002-04-15  7:46 UTC (permalink / raw)
  To: sisyphus, mandrake-russian; +Cc: devel

On Sun, Apr 14, 2002 at 10:49:59PM +0300, Michael Shigorin wrote:
[snip]
> Часть II.  notwork troubles
             ^^^^^^^
[snip]

-- 
Best wishes,
Artem K. Jouravsky,
iFirst Ltd, System Administrator.
-----------------------
Who was that masked man?



^ permalink raw reply	[flat|nested] 19+ messages in thread

* [sisyphus] Re: README.ALT wanted
  @ 2002-04-15  8:39           ` Michael Shigorin
  2002-04-15  9:25             ` Dmitry V. Levin
  0 siblings, 1 reply; 19+ messages in thread
From: Michael Shigorin @ 2002-04-15  8:39 UTC (permalink / raw)
  To: sisyphus

[-- Attachment #1: Type: text/plain, Size: 293 bytes --]

On Thu, Apr 11, 2002 at 12:45:33PM +0400, cornet wrote:
> > /etc/postfix/aliases (после правки необходимо запустить от имени
> > root команду postalias).
[fixed] (postalias /etc/postfix/aliases)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [sisyphus] Re: README.ALT wanted
  2002-04-15  8:39           ` [sisyphus] Re: README.ALT wanted Michael Shigorin
@ 2002-04-15  9:25             ` Dmitry V. Levin
  2002-04-15 10:20               ` Michael Shigorin
  0 siblings, 1 reply; 19+ messages in thread
From: Dmitry V. Levin @ 2002-04-15  9:25 UTC (permalink / raw)
  To: sisyphus

[-- Attachment #1: Type: text/plain, Size: 581 bytes --]

On Mon, Apr 15, 2002 at 11:39:54AM +0300, Michael Shigorin wrote:
> > > /etc/postfix/aliases (после правки необходимо запустить от имени
> > > root команду postalias).
> [fixed] (postalias /etc/postfix/aliases)

Тогда уж просто "newaliases".


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* [sisyphus] Re: README.ALT wanted
  2002-04-15  9:25             ` Dmitry V. Levin
@ 2002-04-15 10:20               ` Michael Shigorin
  2002-04-16  9:52                 ` Dmitry V. Levin
  0 siblings, 1 reply; 19+ messages in thread
From: Michael Shigorin @ 2002-04-15 10:20 UTC (permalink / raw)
  To: sisyphus


[-- Attachment #1.1: Type: text/plain, Size: 363 bytes --]

On Mon, Apr 15, 2002 at 01:25:00PM +0400, Dmitry V. Levin wrote:
> > > > /etc/postfix/aliases (после правки необходимо запустить от имени
> > > > root команду postalias).
> > [fixed] (postalias /etc/postfix/aliases)
> Тогда уж просто "newaliases".
Или так.  [done]

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #1.2: README.ALT --]
[-- Type: text/plain, Size: 6344 bytes --]

Часть I.  root squashed

Q: почему руту не ходит почта?

A: в силу того, что читать почту под этим аккаунтом крайне не
рекомендуется (вариант -- запрещено по политике безопасности
дистрибутива), при инсталяции создается почтовый алиас,
переправляющий почту на первого зарегистрированного пользователя
(подразумевается, что это тот же человек, который устанавливал
систему).

Если это не устраивает (нужен другой пользователь), загляните в
файл /etc/postfix/aliases; после правки необходимо выполнить от
имени root следующую команду:

	newaliases


Q: почему руту не дают собирать RPM? Выдается ошибка:
"rpmb: сборка пакетов запрещена для привилегированного пользователя"

A: сборка пакетов привелегированным пользователем является
потенциально небезопасной (плюс к тому, что правильно написанная
программа должна собираться от имени пользователя).

Для дополнительной информации обратитесь к содержимому
/usr/share/doc/rpm-4.0.4/README.ALT .


Q: у рута сломана локаль!

A: У пользователя root настроена локаль POSIX в целях устранения
возможных проблем с системными сервисами, использующими этот
пользовательский account для своего запуска. В частности, последствия
применения не-POSIX локали для root становятся видны в файлах протоколов
syslog в виде локализованных дат, которые не воспринимаются большинством
анализаторов системных протоколов.

Крайне не рекомендуется выполнять ежедневную работу от имени root
-- а для администрирования должно хватить sudo и нормального
локализованного пользовательского аккаунта.

Специфические настройки локали для любого пользователя (в том
числе и root) можно изменить в файле ~/.i18n .


Q: CUPS не конфигурируется -- выдает ошибки даже после ввода
правильного пароля root!

A: для повышения безопасности CUPS теперь обычно работает от
имени пользователя вместо root, при этом он не может быть
переконфигурирован.  Есть два варианта для выполнения
конфигурирования и других административных задач:

A1: как предлагают разработчики:

	service cups admrestart

(делаем административные дела)

	service cups restart

(печатаем)

A2: вернуть все к старому варианту: в /etc/cups/cups.conf
раскомментировать

	runasuser no; 
	noizvrat  yes;

Далее

	service cups restart

(печатаем и админим в одной обойме)


Q: рута не пускают по ssh, пароль правильный!

A: обычно принято заходить по ssh пользователем и лишь тогда
делать sudo (или su).  Мотивация -- во-первых, для
административного доступа к системе требуется два пароля;
во-вторых, администрирование в этом случае не анонимно
(идентифицируется по первоначально вошедшему пользователю).

Если в силу каких-либо обстоятельств необходим ssh root login --
скорректируйте параметр PermitRootLogin в файле
/etc/openssh/sshd_config и выполните команду

	service sshd reload

-- но считайте, что вас предупредили.

Если логин осуществляется с сетевой машины -- см. тж. ниже
(насчет hosts.allow).


Часть II.  notwork troubles

Q: почему после установки сервера и его активации (в ntsysv,
DrakConf, /etc/xinetd.d/*) он недоступен из сети?

A1: по умолчанию в ALT Linux xinetd сконфигурирован с опцией
only_from = 127.0.0.1, позволяющей доступ к сервисам,
запускающимся из-под xinetd, только с локальной машины.

Для обеспечения доступа из сети отредактируйте или
закомментируйте эту строку в /etc/xinetd.conf; в последнем случае
настоятельно рекомендуем ввести ограничения по необходимости в
индивидуальные файлы в каталоге /etc/xinetd.d/ .  После внесения
изменений в конфигурацию xinetd необходимо учесть их командой

	service xinetd reload

A2: если проблема не в этом -- обратите внимание на настройки
файрвола, которые можно получить при помощи команд

	service iptables status

(для Linux 2.4) или (для Linux 2.2)

	service ipchains status

A3: проверьте содержимое файлов /etc/hosts.allow и /etc/hosts.deny


Q: Почта не ходит!!

A: по умолчанию в соответствии с политикой безопасности postfix
настроен на работу только с локальными почтовыми клиентами, а
также может отправлять почту на внешние SMTP-сервера. Если вам
необходимо получать или пересылать почту через данный сервер с
внешних хостов, отредактируйте файлы конфигурации postfix.  Для
нормальной работы postfix с внешней почтой необходим доступ к
корректно настроенному серверу DNS.


Часть III.  общесистемное администрирование

Q: почему пуст /etc/shadow?  Неужели он не используется?!

A: в ALT Linux используется реализация Trusted Computing Base
(TCB), выполненная Rafal Wojtczuk и Solar Designer в рамках
проекта Openwall GNU/*/Linux. В этой модели каждый пользователь
имеет собственный shadow-файл, хранящийся в
/etc/tcb/имя_пользователя/shadow, доступ к которому имеют только
сам пользователь (чтение/запись) и программы, исполняющиеся с
sgid auth. В результате, доступ к паролям конкретного
пользователя не приводит к возможности скомпрометировать всю
систему.  О преимуществах и недостатках этой модели подробно
описано в tcb(5).  Для всех приложений, работающих в системах с
поддержкой NSS (например, ALT Linux) и использующих только чтение
паролей системными средствами, схема TCB прозрачна.


Q: проблемы с паролями при подключении ИБП APC с "фирменным" ПО
   PowerChutePlus.

A: в старых дистрибутивах пароли шифровались при помощи более
слабых алгоритмов, чем необходимо сейчас -- и, к сожалению, PC+
занимается самодеятельногстью по части обработки паролей, не
используя системные методы аутентификации.

Проблема в том, что он не понимает пароли, закодированные
blowfish.  Если создать пользователя, под которым работает
xpowerschute, и ему назначить пароль, отключив криптование через
blowfish, то все заработает, главное -- ему потом не менять
пароль при включенном blowfish.

Это можно сделать так:

1. Заменить "на секундочку" в файле /etc/pam.d/system-auth строку
password        required        /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb
на
password        required        /lib/security/pam_tcb.so use_authtok shadow fork prefix=$1$ count=8 write_to=tcb

2. Переустановить пароль пользователя, под которым работает
PowerChutePlus, с помощью команды passwd

3. Вернуть файл /etc/pam.d/system-auth в прежнее состояние.



Благодарности
~~~~~~~~~~~~~
Вячеслав Диконов <sdiconov@mail.ru>
Любимов А.В. <avl@l14.ru>
Власенко Олег <cornet@altlinux.ru>
Alexander Bokovoy <a.bokovoy@sam-solutions.net>
Dmitry V. Levin <ldv@alt-linux.org>

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [sisyphus] Re: README.ALT wanted
  2002-04-15 10:20               ` Michael Shigorin
@ 2002-04-16  9:52                 ` Dmitry V. Levin
  2002-04-16 10:08                   ` Michael Shigorin
  0 siblings, 1 reply; 19+ messages in thread
From: Dmitry V. Levin @ 2002-04-16  9:52 UTC (permalink / raw)
  To: ALT Devel Mailing list, ALT Linux Sisyphus mailing list

[-- Attachment #1: Type: text/plain, Size: 1032 bytes --]

On Mon, Apr 15, 2002 at 01:20:53PM +0300, Michael Shigorin wrote:
> Часть III.  общесистемное администрирование
 
Q: Были внесены изменения в конфигурационные файлы; как синхронизировать
   эти изменения во всех многочисленных chrooted environments,
   используемых в системе?

A: Запустите команду
   /sbin/update_chrooted conf

Q: А если были изменены системные библиотеки?

A: Обычно это происходит в ходе обновления пакетов; в этом случае
   синхронизация библиотек и обновление /etc/ld.so.cache произойдет
   автоматически. В противном случае следует запустить команды
   /sbin/ldconfig
   /sbin/update_chrooted lib

P.S. /sbin/update_chrooted раньше назывался /usr/sbin/update_chrooted.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* [sisyphus] Re: README.ALT wanted
  2002-04-16  9:52                 ` Dmitry V. Levin
@ 2002-04-16 10:08                   ` Michael Shigorin
  0 siblings, 0 replies; 19+ messages in thread
From: Michael Shigorin @ 2002-04-16 10:08 UTC (permalink / raw)
  To: ALT Devel Mailing list, ALT Linux Sisyphus mailing list; +Cc: Stanislav Ievlev


[-- Attachment #1.1: Type: text/plain, Size: 365 bytes --]

On Tue, Apr 16, 2002 at 01:52:49PM +0400, Dmitry V. Levin wrote:
> > Часть III.  общесистемное администрирование
> Q: Были внесены изменения в конфигурационные файлы; как синхронизировать
[skip]
[done]

Последняя версия -- в аттаче.  Станислав, заберите, пожалуйста.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #1.2: README.ALT --]
[-- Type: text/plain, Size: 6911 bytes --]

Часть I.  root squashed

Q: почему руту не ходит почта?

A: в силу того, что читать почту под этим аккаунтом крайне не
рекомендуется (вариант -- запрещено по политике безопасности
дистрибутива), при инсталяции создается почтовый алиас,
переправляющий почту на первого зарегистрированного пользователя
(подразумевается, что это тот же человек, который устанавливал
систему).

Если это не устраивает (нужен другой пользователь), загляните в
файл /etc/postfix/aliases; после правки необходимо выполнить от
имени root следующую команду:

	newaliases


Q: почему руту не дают собирать RPM? Выдается ошибка:
"rpmb: сборка пакетов запрещена для привилегированного пользователя"

A: сборка пакетов привелегированным пользователем является
потенциально небезопасной (плюс к тому, что правильно написанная
программа должна собираться от имени пользователя).

Для дополнительной информации обратитесь к содержимому
/usr/share/doc/rpm-4.0.4/README.ALT .


Q: у рута сломана локаль!

A: У пользователя root настроена локаль POSIX в целях устранения
возможных проблем с системными сервисами, использующими этот
пользовательский account для своего запуска. В частности, последствия
применения не-POSIX локали для root становятся видны в файлах протоколов
syslog в виде локализованных дат, которые не воспринимаются большинством
анализаторов системных протоколов.

Крайне не рекомендуется выполнять ежедневную работу от имени root
-- а для администрирования должно хватить sudo и нормального
локализованного пользовательского аккаунта.

Специфические настройки локали для любого пользователя (в том
числе и root) можно изменить в файле ~/.i18n .


Q: CUPS не конфигурируется -- выдает ошибки даже после ввода
правильного пароля root!

A: для повышения безопасности CUPS теперь обычно работает от
имени пользователя вместо root, при этом он не может быть
переконфигурирован.  Есть два варианта для выполнения
конфигурирования и других административных задач:

A1: как предлагают разработчики:

	service cups admrestart

(делаем административные дела)

	service cups restart

(печатаем)

A2: вернуть все к старому варианту: в /etc/cups/cups.conf
раскомментировать

	runasuser no; 
	noizvrat  yes;

Далее

	service cups restart

(печатаем и админим в одной обойме)


Q: рута не пускают по ssh, пароль правильный!

A: обычно принято заходить по ssh пользователем и лишь тогда
делать sudo (или su).  Мотивация -- во-первых, для
административного доступа к системе требуется два пароля;
во-вторых, администрирование в этом случае не анонимно
(идентифицируется по первоначально вошедшему пользователю).

Если в силу каких-либо обстоятельств необходим ssh root login --
скорректируйте параметр PermitRootLogin в файле
/etc/openssh/sshd_config и выполните команду

	service sshd reload

-- но считайте, что вас предупредили.

Если логин осуществляется с сетевой машины -- см. тж. ниже
(насчет hosts.allow).


Часть II.  notwork troubles

Q: почему после установки сервера и его активации (в ntsysv,
DrakConf, /etc/xinetd.d/*) он недоступен из сети?

A1: по умолчанию в ALT Linux xinetd сконфигурирован с опцией
only_from = 127.0.0.1, позволяющей доступ к сервисам,
запускающимся из-под xinetd, только с локальной машины.

Для обеспечения доступа из сети отредактируйте или
закомментируйте эту строку в /etc/xinetd.conf; в последнем случае
настоятельно рекомендуем ввести ограничения по необходимости в
индивидуальные файлы в каталоге /etc/xinetd.d/ .  После внесения
изменений в конфигурацию xinetd необходимо учесть их командой

	service xinetd reload

A2: если проблема не в этом -- обратите внимание на настройки
файрвола, которые можно получить при помощи команд

	service iptables status

(для Linux 2.4) или (для Linux 2.2)

	service ipchains status

A3: проверьте содержимое файлов /etc/hosts.allow и /etc/hosts.deny


Q: Почта не ходит!!

A: по умолчанию в соответствии с политикой безопасности postfix
настроен на работу только с локальными почтовыми клиентами, а
также может отправлять почту на внешние SMTP-сервера. Если вам
необходимо получать или пересылать почту через данный сервер с
внешних хостов, отредактируйте файлы конфигурации postfix.  Для
нормальной работы postfix с внешней почтой необходим доступ к
корректно настроенному серверу DNS.


Часть III.  общесистемное администрирование

Q: почему пуст /etc/shadow?  Неужели он не используется?!

A: в ALT Linux используется реализация Trusted Computing Base
(TCB), выполненная Rafal Wojtczuk и Solar Designer в рамках
проекта Openwall GNU/*/Linux. В этой модели каждый пользователь
имеет собственный shadow-файл, хранящийся в
/etc/tcb/имя_пользователя/shadow, доступ к которому имеют только
сам пользователь (чтение/запись) и программы, исполняющиеся с
sgid auth. В результате, доступ к паролям конкретного
пользователя не приводит к возможности скомпрометировать всю
систему.  О преимуществах и недостатках этой модели подробно
описано в tcb(5).  Для всех приложений, работающих в системах с
поддержкой NSS (например, ALT Linux) и использующих только чтение
паролей системными средствами, схема TCB прозрачна.


Q: проблемы с паролями при подключении ИБП APC с "фирменным" ПО
   PowerChutePlus.

A: в старых дистрибутивах пароли шифровались при помощи более
слабых алгоритмов, чем необходимо сейчас -- и, к сожалению, PC+
занимается самодеятельногстью по части обработки паролей, не
используя системные методы аутентификации.

Проблема в том, что он не понимает пароли, закодированные
blowfish.  Если создать пользователя, под которым работает
xpowerschute, и ему назначить пароль, отключив криптование через
blowfish, то все заработает, главное -- ему потом не менять
пароль при включенном blowfish.

Это можно сделать так:

1. Заменить "на секундочку" в файле /etc/pam.d/system-auth строку
password        required        /lib/security/pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb
на
password        required        /lib/security/pam_tcb.so use_authtok shadow fork prefix=$1$ count=8 write_to=tcb

2. Переустановить пароль пользователя, под которым работает
PowerChutePlus, с помощью команды passwd

3. Вернуть файл /etc/pam.d/system-auth в прежнее состояние.


Q: Были внесены изменения в конфигурационные файлы; как
синхронизировать эти изменения во всех многочисленных chrooted
environments, используемых в системе?

A: Запустите команду

	/sbin/update_chrooted conf


Q: А если были изменены системные библиотеки?

A: Обычно это происходит в ходе обновления пакетов; в этом случае
синхронизация библиотек и обновление /etc/ld.so.cache произойдет
автоматически. В противном случае следует запустить команды

	/sbin/ldconfig
	/sbin/update_chrooted lib

P.S. /sbin/update_chrooted раньше назывался
/usr/sbin/update_chrooted .



Благодарности
~~~~~~~~~~~~~
Вячеслав Диконов <sdiconov@mail.ru>
Любимов А.В. <avl@l14.ru>
Власенко Олег <cornet@altlinux.ru>
Alexander Bokovoy <a.bokovoy@sam-solutions.net>
Dmitry V. Levin <ldv@alt-linux.org>

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

* Re: [sisyphus] I: base utilities for network analisys are now chrooted
  2002-04-09 19:04 [sisyphus] I: base utilities for network analisys are now chrooted Dmitry V. Levin
  2002-04-10  8:47 ` Sergey V. Degtiarenko
  @ 2002-04-22 18:10 ` Dmitry V. Levin
  2 siblings, 0 replies; 19+ messages in thread
From: Dmitry V. Levin @ 2002-04-22 18:10 UTC (permalink / raw)
  To: devel, ALT Linux Sisyphus mailing list

[-- Attachment #1: Type: text/plain, Size: 572 bytes --]

On Tue, Apr 09, 2002 at 11:04:09PM +0400, Dmitry V. Levin wrote:
> По окончании сегодняшней синхронизации в Сизифе основные средства
> анализа сети chroot'изированы.

Теперь к ним добавился nmap (2.54BETA32-alt2), можно тестировать.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.com/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

^ permalink raw reply	[flat|nested] 19+ messages in thread

end of thread, other threads:[~2002-04-22 18:10 UTC | newest]

Thread overview: 19+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-04-09 19:04 [sisyphus] I: base utilities for network analisys are now chrooted Dmitry V. Levin
2002-04-10  8:47 ` Sergey V. Degtiarenko
2002-04-10  9:17   ` Dmitry V. Levin
2002-04-10 13:20     ` Sergey V. Degtiarenko
2002-04-15  6:56       ` Dmitry V. Levin
2002-04-10 14:16   ` Dmitry V. Levin
2002-04-13  8:54         ` [sisyphus] LTSP и ALT (was: [devel] README.ALT wanted) Michael Shigorin
2002-04-15  8:39           ` [sisyphus] Re: README.ALT wanted Michael Shigorin
2002-04-15  9:25             ` Dmitry V. Levin
2002-04-15 10:20               ` Michael Shigorin
2002-04-16  9:52                 ` Dmitry V. Levin
2002-04-16 10:08                   ` Michael Shigorin
2002-04-14 19:49       ` Michael Shigorin
2002-04-14 20:36         ` cornet
2002-04-14 20:53           ` Michael Shigorin
2002-04-14 21:30             ` cornet
2002-04-15  6:06         ` [sisyphus] Re: [devel] " Dmitry V. Levin
2002-04-15  7:46         ` [sisyphus] " Artem K. Jouravsky
2002-04-22 18:10 ` [sisyphus] I: base utilities for network analisys are now chrooted Dmitry V. Levin

ALT Linux Sisyphus discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
		sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
	public-inbox-index sisyphus

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sisyphus


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git