etcnet, bind

[SkvITy]

А эта штука вообще работает?
Всплыло что после реста сети service network restart перестает обрабатывать запросы bind.
Дистр все тетже стартер 10.
Или 10 еще в преальфе?

[Skull]

Уже много лет etcnet работает. Стартеркиты  никогда и не позиционировались, как готовые дистрибутивы.

[SkvITy]

Стартеры пакеты берут из другого репозитория?

[Александр Ерещенко]

Стартеры пакеты берут из другого репозитория?

Из того же. НО. Стартеркиты в отличие от дистрибутивов прежде всего не отличаются "вылизанностью" настроек (ну может за некоторым исключением). Это именно стартовый набор с минимально необходимыми пакетами согласно заявленному функционалу для дальнейшей донастройки опытным пользователем уже под свои нужды.
Формально они буквально не для дистрибьюции, т.е. не предназначены для официального распространения.

[asy]

Всплыло что после реста сети service network restart перестает обрабатывать запросы bind.

А при чём тут etcnet? Bind в ALT работает от пользователя, соответственно повиснуть на интерфейсе он может только в момент запуска, пока не сбросил привилегии. Вы вышибли из-под него интерфейсы, а потом хотите, чтобы он работал?

[SkvITy]

Вы вышибли из-под него интерфейсы, а потом хотите, чтобы он работал?

Да, в любом другом дистрибутиве почему то работает. Если это не бага, а фича, то какие еще сервисы отваливаются от сети? Апач, постгря, заббикс?

[asy]

Вы вышибли из-под него интерфейсы, а потом хотите, чтобы он работал?

Да, в любом другом дистрибутиве почему то работает.

Ну значит он там работает с лишними привилегиями. С учётом статистики по количеству CVE для Bind, нельзя сказать, что это хорошо. Вообще вот обсуждение поведения и, сразу, ссылка на комментарий, описывающий суть: https://bugzilla.altlinux.org/show_bug.cgi?id=33300#c28. Кстати дальше написано, что какая-то ручка добавлена.

Если это не бага, а фича, то какие еще сервисы отваливаются от сети? Апач, постгря, заббикс?

Очевидно все, у которых аналогичный сброс привилегий происходит. Не знаю, я интерфейсы на серверах не дёргаю.

И да, я ранее ошибся: не пользователь меняется, а именно привилегии сбрасываются.

[SkvITy]

Ясно, спасибо.

какая-то ручка добавлена

А как это использовать? Брать bind из сизифа?

[rits]

Да, в любом другом дистрибутиве почему то работает. Если это не бага, а фича, то какие еще сервисы отваливаются от сети? Апач, постгря, заббикс?

bind точно отваливается, возможно не подхватиться файл /etc/rc.d/rc.firewall, изначально отсутствует, но если его создать, он будет вызываться из /etc/rc.d/rc.sysinit. А значит правила фаервола для прозрачного сквида, если этот файл используется, тоже могут упасть и все полезут на прямую. Тут видимо на каждый  программный чих, костылей много пришлось бы писать, да и не всегда bind используется. По этому, возможно нужно самостоятельно, что либо поправить под свои задачи используя правила etcnet в скриптах до или после поднятия сетевых интерфейсов.
Я предпологаю, что и в "готовых" продуктах без костылей не обойтись, если из одной репы нужно получить разный функционал в дистрах.
Безопастники и админы, как ветеринары с зоотехниками по роду своей деятельности, дружат редко )
Может bind из чрута вывести? Это как то с помощью команды control делается. У альтов, в инструкции для доменов, bind тоже рекомендуют из чрутов выводить.

[asy]

Ясно, спасибо.

какая-то ручка добавлена

А как это использовать? Брать bind из сизифа?

Если посмотреть на https://packages.altlinux.org/en/sisyphus/srpms/bind/, то видно, что версия одна на репозитории до p9 включительно. Я дописал в баге выдержку из changelog той версии, когда добавили. Посмотрите в /etc/sysconfig/bind, там написано, что раскомментировать.

[asy]

Да, в любом другом дистрибутиве почему то работает. Если это не бага, а фича, то какие еще сервисы отваливаются от сети? Апач, постгря, заббикс?

bind точно отваливается, возможно не подхватиться файл /etc/rc.d/rc.firewall

Это не имеет отношения к описанной проблеме.

[SkvITy]

Спасибо

Посмотрите в /etc/sysconfig/bind

[root@ns02 sysconfig]# cat /etc/sysconfig/bind

Спойлер

# ISC named startup options
# Use -4 for ipv4 only behaviour. See named(8) for details.
EXTRAOPTIONS=""
# Starting with bind 9.10, chrooted mode is under control(1).
#CHROOT="-t /"
# As of bind 9.11.19-alt3 the dropping of Linux capabilities is under control(1).
RETAIN_CAPS="-r" #как я понял
[root@ns02 sysconfig]#

А где можно почитать что эти параметры значат?

[asy]

А где можно почитать что эти параметры значат?

Хороший вопрос... Как по мне, то вот именно тут всё понятно.

EXTRAOPTIONS добавляются в параметры запуска как есть. CHROOT задаёт корень для chroot, по умолчанию в ALT он /var/lib/bind. RETAIN_CAPS - это когда надо не сбрасывать привилегии.

Собственно /etc/init.d/bind:

Код: [Выделить]

start_daemon --lockfile "$LOCKFILE" --expect-user named -- named $EXTRAOPTIONS $CHROOT $RETAIN_CAPS

[SkvITy]

RETAIN_CAPS - это когда надо не сбрасывать привилегии.

Спасибо

[rits]

Это не имеет отношения к описанной проблеме.

Подскажи, чем service network restart от ... reload отличаются?
На bind будет влиять?