Bug 28186

Summary: Уточнение минимального списка сервисов, запускаемых после установки
Product: ALT Linux Centaurus Reporter: enp <enp>
Component: СоставAssignee: Anton V. Boyarshinov <boyarsh>
Status: NEW --- QA Contact: QA p6 <qa-p6>
Severity: normal    
Priority: P3 CC: aen, evg, ldv, mike
Version: 7.0   
Hardware: all   
OS: Linux   
Bug Depends on:    
Bug Blocks: 27685    

Description enp 2012-12-05 14:51:03 MSK 
После установки с выключенными галочками я не увидел в системе пакета su, зато получил (как впрочем и в предыдущих Кентаврах):

USER     PID   COMMAND      FD TYPE       LOCAL IP:PORT        REMOTE IP:PORT  STATE
root     4930  sshd          3 tcp       10.7.1.17:22          10.7.1.15:58929 ESTAB
root     2199  rpcbind       8 tcp         0.0.0.0:111           0.0.0.0:0     LISTEN
rpcuser  2249  rpc.statd     9 tcp         0.0.0.0:46379         0.0.0.0:0     LISTEN
root     2394  named        22 tcp       127.0.0.1:953           0.0.0.0:0     LISTEN
root     4916  sshd          3 tcp         0.0.0.0:22            0.0.0.0:0     LISTEN
root     2394  named        20 tcp       127.0.0.1:53            0.0.0.0:0     LISTEN
root     2394  named        21 tcp       10.7.1.17:53            0.0.0.0:0     LISTEN
_avahi   2931  avahi-daemon 14 udp         0.0.0.0:51946         0.0.0.0:0     CLOSE
_avahi   2931  avahi-daemon 13 udp         0.0.0.0:5353          0.0.0.0:0     CLOSE
root     2249  rpc.statd     5 udp       127.0.0.1:729           0.0.0.0:0     CLOSE
rpcuser  2249  rpc.statd     8 udp         0.0.0.0:54165         0.0.0.0:0     CLOSE
root     2199  rpcbind       7 udp         0.0.0.0:644           0.0.0.0:0     CLOSE
root     2199  rpcbind       6 udp         0.0.0.0:111           0.0.0.0:0     CLOSE
root     2394  named        512 udp       127.0.0.1:53            0.0.0.0:0     CLOSE
root     2394  named        513 udp       10.7.1.17:53            0.0.0.0:0     CLOSE

Существует множество сценариев, в которых ничего из перечисленного, кроме sshd, не требуется. Может к 7.0 сделать действительно минимальный вариант?
Comment 1 AEN 2013-04-18 11:56:23 MSK 
Существует много сценариев, но программа установки не должна их все предусматривать для этого существует возможность сделать иные дистрибутивы. 2enp:  хорошо бы описать хотя бы один распространенный сценарий, при котором все это не нужно.
2boyarsh: отсутствие su это, возможно, блокер. 
На усмотрение RM.
Comment 2 enp 2013-04-18 13:21:05 MSK 
(В ответ на комментарий №1)

> Существует много сценариев, но программа установки не должна их все
> предусматривать для этого существует возможность сделать иные дистрибутивы.

Иные дистрибутивы не смогут стать СПТ, а иначе б я и не беспокоился ;)

> 2enp:  хорошо бы описать хотя бы один распространенный сценарий, при котором
> все это не нужно.

Сценарий, в котором не нужны rpcbind/rpc.statd/avahi-daemon/named? Честно говоря, мне труднее представить сценарий, в котором они нужны. Ни на одном из поддерживаемых мною серверов (RDBMS, Web, VoIP, специализированное ПО для внутреннего употребления) они не запущены. Если сервер живет не внутри корпоративной инфраструктуры, а где-то на хостинге, то я вообще не могу придумать ни одной уважительной причины их запускать.

Да и вообще мы переворачиваем ситуацию с ног на голову: любые сервисы должны запускаться при необходимости, а не в надежде на то, что они кому-то понадобятся. Когда-то была практика (не знаю, сохранилась ли) опускать sshd на десктопах по дефолту и это никого не смущало.

> 2boyarsh: отсутствие su это, возможно, блокер. 

> На усмотрение RM.

Разумеется. Но я очень прошу его сделать несколько лишних chkconfig off в том случае, если ни одна галочка при установке не выбрана.
Comment 3 enp 2013-05-08 11:27:35 MSK 
А еще в рассылках регулярно появляются мнения о том, что и dbus на сервере не очень полезен (из последнего - http://lists.altlinux.org/pipermail/devel/2013-May/197376.html).
Comment 4 AEN 2013-05-08 14:55:50 MSK 
(В ответ на комментарий №3)
> А еще в рассылках регулярно появляются мнения о том, что и dbus на сервере не
> очень полезен (из последнего -
> http://lists.altlinux.org/pipermail/devel/2013-May/197376.html).

Уточнил название, давайте обсудим что можно/нужно сделать.
// Надеюсь, что su уже в комплекте.
Comment 5 Michael Shigorin 2013-05-13 15:22:43 MSK 
(В ответ на комментарий №3)
> что и dbus на сервере не очень полезен
Отключенный относительно безвреден, suid/sgid binaries там нет.

По server-mini могу заметить, что комплектация без dbus сейчас не содержит и wpa_supplicant, что не совсем приятное ограничение (разве что вынести его в дополнительно устанавливаемые пакеты).
Comment 6 enp 2014-11-21 08:30:04 MSK 
Вчера пришлось устанавливать и настраивать сервер, к которому требование наличия сертификата ФСТЭК для устанавливаемого дистрибутива было обязательным. По привычке я рекомендовал Альт, но дефолтная инсталляция со всеми выключенными галочками - это просто чудовищно, может потому что отвык :)

Я понимаю, что изменить что-то быстро и особенно для сертифицированных решений совершенно нереально, поэтому для следующих подобных инсталляций либо буду либо собирать что-то на основе своего m-p-l и пакетной базы c6 (я понимаю, что это уже не сертифицированное решение, но вряд ли у сертифицирующих органов достаточно квалификации, чтобы это установить), либо буду смотреть на другие дистрибутивы (у CentOS 6.5 минимальная комплектация была приемлемой, может и у клонов окажется не сильно хуже).

Но в отношении с7 и p8 надежда есть? Предлагать помощь глупо, это не технический вопрос, у mike@ (пусть на m-p) давным давно все хорошо, исправить m-p-d гораздо легче, чем наворотить то, что сейчас есть - как мне кажется.
Comment 7 Michael Shigorin 2014-11-21 12:26:41 MSK 
Если хочешь, посмотри подключаемое и выскажись по нему:
http://git.altlinux.org/people/boyarsh/packages/?p=mkimage-profiles-desktop.git;a=blob;f=use.mk.in;h=35754e2025e6328940537dd304547b26090c0ddb;hb=1311a32154a6961691e16679e8983a9b69b6386f#l258

Мне кажется, что тактически разумнее накидать и зафиксировать скрипт зачистки, который делает как минимум chkconfig до состояния "слушает только sshd".

А решать профильным образом уже после переезда Centaurus на m-p, что я надеюсь сделать возможным к 8.0, но оказалось неразумным к 7.0 и тем более к 6.0.

Сертифицирующие органы могут спросить номерной экземпляр установочного носителя.
Comment 8 enp 2014-11-21 16:07:39 MSK 
(В ответ на комментарий №7)
> Если хочешь, посмотри подключаемое и выскажись по нему:
> http://git.altlinux.org/people/boyarsh/packages/?p=mkimage-profiles-desktop.git;a=blob;f=use.mk.in;h=35754e2025e6328940537dd304547b26090c0ddb;hb=1311a32154a6961691e16679e8983a9b69b6386f#l258

Речь о use-spt? Не вижу связи, честно говоря, между перечисленным и сейчас обсуждаемым, кроме слова СПТ :)

> Мне кажется, что тактически разумнее накидать и зафиксировать скрипт зачистки,
> который делает как минимум chkconfig до состояния "слушает только sshd".

Да, тоже вариант, или даже копия уже установленной и зачищенной системы.

> А решать профильным образом уже после переезда Centaurus на m-p, что я надеюсь
> сделать возможным к 8.0, но оказалось неразумным к 7.0 и тем более к 6.0.

Вот, именно это я надеялся услышать!

> Сертифицирующие органы могут спросить номерной экземпляр установочного
> носителя.

Им даже можно предъявить этот носитель - он в любом случае будет. Но есть ли способ доказать, что система установлена именно с него или наоборот?