Автор Тема: Alt-p9-lxqt-20190912-i586 и Athlon XP Barton (Прочитано 108071 раз)

Aleksey Shimanov · « **Ответ #255 :** 15.09.2021 08:33:06 »

Цитата: Speccyfighter от 14.09.2021 17:13:16

Но держать демон ssh поднимаемым по-умолчанию, с точки зрения безопасности, это очень неудачная мысль.

Почему?
В сервере он на автомате стартует после установки сервера.

Speccyfighter · « **Ответ #256 :** 15.09.2021 09:40:27 »

Цитата: Aleksey Shimanov от 15.09.2021 08:33:06

Цитата: Speccyfighter от 14.09.2021 17:13:16
Но держать демон ssh поднимаемым по-умолчанию, с точки зрения безопасности, это очень неудачная мысль.
Почему?
В сервере он на автомате стартует после установки сервера.

Угу. После установки.
Потому шо:

Код: [Выделить]

# rpm -q --scripts openssh-server
...
postinstall scriptlet (using /bin/sh):
...
if [ $1 -ge 2 ]; then
	/sbin/service sshd condreload ||:
else
	/sbin/chkconfig --add sshd ||:
fi
...

Но в xfce-sysv он по-умолчанию установлен и в stop. И выключен сборочным профилем:

Код: [Выделить]

# cat /image/.disk/info 
ALT p10 xfce-sysv/x86_64 build 2021-08-05

Код: [Выделить]

# ls -l /etc/rc[0-6].d/*sshd
lrwxrwxrwx 1 root root 14 авг  5 05:43 /etc/rc0.d/K26sshd -> ../init.d/sshd
lrwxrwxrwx 1 root root 14 авг  5 05:43 /etc/rc1.d/K26sshd -> ../init.d/sshd
lrwxrwxrwx 1 root root 14 авг  5 05:44 /etc/rc2.d/K26sshd -> ../init.d/sshd
lrwxrwxrwx 1 root root 14 авг  5 05:44 /etc/rc3.d/K26sshd -> ../init.d/sshd
lrwxrwxrwx 1 root root 14 авг  5 05:44 /etc/rc4.d/K26sshd -> ../init.d/sshd
lrwxrwxrwx 1 root root 14 авг  5 05:44 /etc/rc5.d/K26sshd -> ../init.d/sshd
lrwxrwxrwx 1 root root 14 авг  5 05:43 /etc/rc6.d/K26sshd -> ../init.d/sshd

Код: [Выделить]

# grep sshd ./mkimage-profile/distcfg.mk 
DEFAULT_SERVICES_DISABLE += ... sshd ...

Если надо, - включи и стартани.

Арбичев · « **Ответ #257 :** 15.09.2021 19:50:35 »

Цитата: Speccyfighter от 14.09.2021 17:13:16

Но держать демон ssh поднимаемым по-умолчанию, с точки зрения безопасности, это очень неудачная мысль.

Товарищ Speccyfighter!
Я готов согласиться с вашим тезисом. Но, тогда объясните мне, как действовать в следующей ситуации. Некий Вася Пупкин, проживающий в 20 километрах от ближайшего провайдера, приобрел у оного виртуальный сервер. По умолчанию на сервере демон ssh лежит. Васе Пупкину надо удаленно зайти на свой виртуальный сервер, чтобы сконфигурировать его. Как ему это сделать?

Skull · « **Ответ #258 :** 15.09.2021 20:19:06 »

Через vnc/spice ВМ KVM.

Aleksey Shimanov · « **Ответ #259 :** 16.09.2021 11:28:25 »

Цитата: Speccyfighter от 15.09.2021 09:40:27

Если надо, - включи и стартани.

При условии что ты находишься рядом с консолью...
А я человек ленивый, даже при нахождении сервера в 20 метрах, я все равно по удалёнке цепляюсь...

P.S. Самый безопасный сервер - выключенный сервер!!!

Speccyfighter · « **Ответ #260 :** 16.09.2021 17:26:00 »

Если админ не имеет и не хочет иметь базовых навыков, его нужно увольнять без выходного пособия.

Арбичев · « **Ответ #261 :** 16.09.2021 18:11:51 »

Цитата: Skull от 15.09.2021 20:19:06

Через vnc/spice ВМ KVM.

Если вы хотите сказать, что подключение к удаленному серверу через vnc/spice BM KVM безопаснее, чем подключение через ssh с ключом, пруф в студию - будем изучать.

Арбичев · « **Ответ #262 :** 16.09.2021 18:42:11 »

По моему багрепорту №40871 с 9 сентября нет никаких изменений. Вот решил продублировать информацию здесь - может у кого-то появится свежая мысль.

Привожу полную выдачу при неудачной загрузке:

Код: [Выделить]

stopped polld (pid 305)
stopped ueventd (pid 367)
stopped rdshell (pid 153)
[FAILED] Failed to start Enable File System Quotas.
[FAILED] Failed to start Light Display Manager.

Система не грузится с ядром по умолчанию. По умолчанию стоит ядро
5.10.52-un-def-alt1

Speccyfighter · « **Ответ #263 :** 16.09.2021 19:50:09 »

Угу. Привет от Леннарта и systemd. Вы не обижайтесь. Это беззлобно и по-дружески. Этой ошибке сто лет в субботу:
https://forum.altlinux.org/index.php?topic=34128.msg246324#msg246324
На неё же в том же 2015-ом нарывались и дебианщики:
https://debianforum.ru/index.php?topic=9594.0

Арбичев · « **Ответ #264 :** 16.09.2021 20:24:59 »

Мне очень странно, что с ядром 5.4.х грузится, а с ядром 5.10.х - не хочет!

Арбичев · « **Ответ #265 :** 18.09.2021 12:59:21 »

Цитата: Speccyfighter от 16.09.2021 19:50:09

Угу. Привет от Леннарта и systemd. Вы не обижайтесь. Это беззлобно и по-дружески. Этой ошибке сто лет в субботу:
https://forum.altlinux.org/index.php?topic=34128.msg246324#msg246324
На неё же в том же 2015-ом нарывались и дебианщики:
https://debianforum.ru/index.php?topic=9594.0

Дык у меня как бы fstab не содержит той ошибки, о которой речь идет по вашей ссылке:

Код: [Выделить]

[root@homeserver ~]# cat /etc/fstab
proc		/proc			proc	nosuid,noexec,gid=proc		0 0
devpts		/dev/pts		devpts	nosuid,noexec,gid=tty,mode=620	0 0
tmpfs		/tmp			tmpfs	nosuid				0 0
UUID=7f7fa8ad-61b5-431b-94c5-2a886e03a545	/	ext4	relatime	1	1
UUID=A3DE-635C	/boot/efi	vfat	umask=0,quiet,showexec,iocharset=utf8,codepage=866	1	2
UUID=1e49767b-a9c0-4da8-aeb9-5c918c5792b1	/home	ext4	nosuid,relatime,usrquota,grpquota	1	2
UUID=581fced4-0a62-44bb-b6ee-9d8350ea6496	swap	swap	defaults	0	0
UUID=2021-07-27-04-25-08-00	/media/ALTLinux	udf,iso9660	ro,noauto,user,utf8,nofail,comment=x-gvfs-show	0 0
[root@homeserver ~]#

Арбичев · « **Ответ #266 :** 18.09.2021 13:17:05 »

И вот это несколько отличается от того, что у них в 2015 году было:

Код: [Выделить]

[root@homeserver ~]# mount | grep 'on /home '
/dev/mapper/Server-Home on /home type ext4 (rw,nosuid,relatime,quota,usrquota,grpquota)

Не хватает параметра "data=ordered". Тем не менее, у него-то не было проблем с загрузкой.

Speccyfighter · « **Ответ #267 :** 18.09.2021 15:17:10 »

Цитата: Арбичев от 18.09.2021 13:17:05

И вот это несколько отличается от того, что у них в 2015 году было:

Код: [Выделить]
[root@homeserver ~]# mount | grep 'on /home ' /dev/mapper/Server-Home on /home type ext4 (rw,nosuid,relatime,quota,usrquota,grpquota)
Не хватает параметра "data=ordered". Тем не менее, у него-то не было проблем с загрузкой.

Там выше по ссылке, дебианист отправил в disable сервис quota.service. Не трогая сервис quotaon.service.
Посмотрите сервисы у себя. Я не использую системы на systemd и смотреть его внутренности и разгребать его косяки, у меня желание близкое к нулю. И в деталях не скажу.

Арбичев · « **Ответ #268 :** 18.09.2021 18:35:29 »

Что-то я посмотрел:

Код: [Выделить]

[root@homeserver ~]# systemctl --failed
  UNIT               LOAD   ACTIVE SUB    DESCRIPTION              
● quotaon.service    loaded failed failed Enable File System Quotas
● virtualbox.service loaded failed failed VirtualBox kernel modules

LOAD   = Reflects whether the unit definition was properly loaded.
ACTIVE = The high-level unit activation state, i.e. generalization of SUB.
SUB    = The low-level unit activation state, values depend on unit type.

2 loaded units listed.
[root@homeserver ~]#

По сервису quotaon.service информация такая же.

Арбичев · « **Ответ #269 :** 18.09.2021 18:45:28 »

Вот еще что надыбал:

Код: [Выделить]

[root@homeserver ~]# service quota status
service: quota: Unrecognized service
[root@homeserver ~]# rpm -q quota
quota-4.05.0.3.f2eb-alt1.x86_64
[root@homeserver ~]# service quotaon status
failed
[root@homeserver ~]# systemctl disable quota.service
Failed to disable unit: Unit file quota.service does not exist.
[root@homeserver ~]#

Форум сообщества
Альт Линукс