RFD: blues i tmpwatcha

Marcin Król krol w wsb-nlu.edu.pl
Pon, 1 Lis 2004, 21:57:16 CET 

> Właśnie o tym rozmawiamy. To nie Ty masz robić takie cyrki, żeby
> zabezpieczyć dane, tylko pakiety powinny być robione z głową, tj. nie
> mogą kasować czegoś, co może być komuś potrzebne z miejsca, które nie
> jest z definicji (FHS) oznaczone do czyszczenia.

Wybacz, ale nie ma i nie bedzie rzeczy bez bledow, chocbys nie wiem jak 
sie staral. W zwiazku z czym wobec oprogramowania/pakietow uwazam 
stosowanie zasady ograniczonego zaufania za jak najbardziej na miejscu.
Nawet jezeli cos jest przygotowane przeze mnie, nie ufam temu "bo ja to 
zrobilem". Czlowiek niestety popelnia bledy i oprogramowaniu/pakietowi 
na maszynie to ja moge zaufac dopiero gdy dziala bez bledow przez X 
czasu, gdzie wielkosc X zalezy od roznych czynnikow.

> Tak jest może w windowsie. Ja nie będę zmieniał /srv, /mnt czy
> /usr/local dlatego, że ktoś mógłby tam narobić mi syfu.

Twierdzil bys tak samo gdybys nie byl developerem? Postaw sie na miejscu 
szarego admina uzywajacego PLD. Wierzylbys w 100%, ze zadna paczka nie 
skaszani Ci czegos w systemie? Nie podjabys zadnych srodkow 
zabezpieczajacych przed takim wypadkiem? Szczerze watpie. Poza tym 
uwazam, ze admin powinien spodziewac sie problemow z kazdej strony i byc 
przed nimi przynajmniej w jakims stopniu zabezpieczonym (moze jestem 
paranoikiem, nie wiem).

> W distro ma być
> porządek i są miejsca, gdzie nic nie ma prawa mi grzebać.

To co "ma byc" nie pokrywa sie niestety zazwyczaj z tym co jest. W sumie 
to pozostaje mi pogratulowac Ci 101% zaufania do systemu ktorego 
uzywasz. Odwazny jestes :) Ja tam wole spodziewac sie najgorszego, zeby 
gdy przyjdzie co do czego zalatwic sprawe w godzine i jechac do domu, a 
nie siedziec w serwerowni przez dwie noce. I jak juz wspomnialem, nie ma 
sily ktora by mnie sklonila do takiego pelnego zaufania.

> Mi się generuje 1GB logów ze squidów dziennie. Czy to znaczy, że mogę
> w logrotate ustawić jeden dzień trzymania ich, albo wyłączyć całkiem to
> logowanie by default?

To znaczy, ze jako admin z glowa na karku powinienes wybrac wlasciwe dla 
Ciebie/twojej firmy rozwiazanie, a nie liczyc, ze dystrybucja wybierze 
je (lub nie) za Ciebie. Czyli, porownujac do omawianego tmpwatch: 
zamiast liczyc, ze _napewno_ mi tmpwatch nie wyczysci 
/var/spool/amavis/virusmails (z Twoich wypowiedzi wnioskuje ze tak 
zakladasz), powinienes zadbac o to aby Ci nie wyczyscil, np jak ja, 
backupujac to w innej lokacji (pamietaj, nie patrz tu z punktu 
developera "poprawie sobie w pakiecie zeby napewno nie czyscil").

> Jak komuś nie zależy, to może ją sobie wyłączyć. Dokładnie tak samo, jak
> z logami.

Blad. Nie mozemy dawac mozliwosci "albo trzymasz wiecznie, albo wogole". 
  Stad sugerowalem wpisy obecne w konfiguracji, ale zakomentowane by 
default co wydaje sie godzic wszystkie mozliwosci.

M.

Więcej informacji o liście dyskusyjnej pld-discuss-pl