Krotkie podsumowanie glosowania
Wojciech Slusarczyk
wojtek w mailbox.chemo.tuniv.szczecin.pl
Wto, 9 Lut 1999, 20:33:02 CET
Hej,
Nie to zeby mi sie nudzilo i dlatego asmiecam liste kolejnym
postem, ale pragnalbym skomentowac wynik referendum ... ;)
Negatywnie na pytanie pierwsze odpowiedziala wiekszos (ale nie
calkowita ) respondentow. Pragne wszystkich obecnych uzytkownikow i
milosnikow RedHatow (a sam sie na nim wychowywalem) zapewnic, ze bedziemy
sie starali zapewnic mozliwosc upgradeu z wersji 5.2 i wyzszych dla osob
pragnacych przejsc na PLD. Zawrocenie z drogi wyznaczonej przez RH, nie
oznacza calkowitego i bezmyslnego (wg niektorych osob) odciecie sie od tej
dystrybucji, ale opracowywanie wlasnych/podpatrzonych u innych rozwiazan,
to sa nasze rc-script'y i dostosowanie wszystkich servisow podnoszonych
w /etc/rc.d/ do nich -- na RH nie pojda juz bez przerobek, to jest wymiana
czesci pakietow np. cytowany przez kloczka hc-cron, to jest mrtd zamiast
gated, to jest adduser zamiast etcskel+shadow-utils i wiele innych. Owszem
w tych pakietacha sa wypelniane pola obsoletes i requires w ten sposob aby
umozliwic plynne przejscie z RH, to jest dorabianie starych pakietow i
wrzucenie ich do supported ale przyjdzie czas ze zmiany beda na tyle duze,
iz trzeba bedzie zrezygnowac z tego gdzyz bedzie to kula u nogi i wiecej
czasu bedziemy marnowali na 'wsteczne dopasowywanie' jak na rozwoj
wlasnej dystrybucji ... i z tym trzeba sie liczyc juz teraz.
Na pytanie drugie nieznaczna wiekszosc wypowiedziala sie negatywnie,
przyznam ze upadla jedna z moich koncepcji (moze to i dobrze) i zmieniamy
zatem bezdyskusyjnie te uprawnienia ... Problem jest chy na 750 czy 755 ?
Wsrod przeciwnikow 700 sporo glosow padlo aby byly to 750 -- aby np.
uzytkownik bedacy w uprzywilejowanej grupie mogl wykonac np.
/etc/*/servis status (co oczywiscie mozna w inny sposob sprawdzic), ale
zachowana zostaje zasada prywatnosci roota czyli mozliwosc modyfikowania
wybranych tych skryptow i startowania w nich swoich skryptow/programikow
startowania z roznymi -- innymi niz standardowe opcjami roznych servisow,
itp (np. accton -f /home/users/jadzia/internet/strony ...)
Na pytanie 3 prawie jednoglosnie wszyscy wypowiedzieli sie za extrasami, z
czego jestem b. zadowolony gdyz nie ma w tej chwili takiej drugiej
dystrybucji i raczej dlugo nie bedzie... Najlepszym IMHO rozwiazaniem
byloby tak jak sobie mymazyl kloczek aby dystrybucja byla 'modularna'
tzn. aby w takim instalatorze mozna bylo sobie wybrac opcje np. socks5 i
komplecik binarek idzie likowany z jego bibliotekami i binarki te maja
wsparcie dla socksa... Mysle ze taka idea powinna przyswiecac dalszym
pracom lecz jeszcze nie teraz, na dzien dzisiejszy to jest porywanie sie
z 'motyka na ksiezyc' -- nie mamy jeszcze az takich mocy przerobowych i
trzeba by bylo rozwalic wszystko co jest w danej chwili i zaczynac od
poczatku wlacznie z instalatorem -- a tego raczej nikt nie chce, chyba ze
zalezy mu na rozwaleniu calego projektu ... Ktos zadal pytanie trzy trzeba
zgody jakiegos ministra na uzywanie kerberosa w Polsce -- odpowiedz nie,
Uzytkownik nie musi uzywac tego oprogramowania ani konfigurowac zadnego
krolestwa itp ... Kerberos w PLD = podstawowe programy sieciowe takie jak
telnet, rsh, rlogin itp ... ktore sa w miejscu starch progs. BSD, po
prostu zmienilismy producenta z BSD na MIT'a ... i tyle. Demony telnetd,
klogind itp tez sa kerberosowe, co nie oznacza ze nie mozna ich uzywac
jak 'mlotka' -- czyli tak samo jak zwylkych progsow sieciowych ... Kazde
odstepstwo od tej regoly = blad i koniecznosc poprawiania przez nas
tych bledow -- to jest troche tak jak wymienic rolnikowi pistolet na
kapiszony na na karabin maszynowy... Uzywac nie musi ale jak zajdzie
potrzeba .... ;) BTW Nie spotkalem sie z dystrybucja Linuxa wyposazona
w kerberosa ale z drugiej strony wszystkie Solarisy, HP-unixy, Digital
Unixy, i BSD maja ....
Pytanie 4,5 zostalo tez znaczna wiekszoscia glosow przeglosowane. Dla
uspokojenia obecnych uzytkownikow RH chcialbym zapewnic, ze nie oznacz to
bezmyslengo wykonania chmod 750 /etc/* /usr/* /var/* lecz tylko na tych
katalogach/plikach ktore nie sa do szczescia potrzebne uzytkownikowi i w
najmniejszym szczegole nie zakloca komfortowej pracy w jego przestrzeni.
Ktos powiedzial NIE -- bo jak dasz 750 na /etc/pam.d to czesc programow
przestanie chodzic a jak dasz 750 na /etc/tcp.d to ... -> odpowiadam aby
sie nie obawial i sprobowal PLD zainstalowac, a poza tym nie palnujemy
na hosts.{allow,deny} takich modow zakladac gdyz czesc programow nie jest
do tego jeszcze przygotowana ....
Pytanie 6 Ktos powiedzial, ze "tak czesto to sie zmienia, ze ..." -> Nic
podobnego na razie ciagniemy na snapach ... wyjdzie gtk-1.2/glib-1.2,
wyjdzie stabilny gimp itp i robimy stop! Potem do nastepnej stabilnej
wersji trzeba bedzie cale m/mordzie upgradowac ...
Pytanie 7 -- Tutaj raczej komentarz jest zbedny -- zachowalismy sie tak
jak wszystkie inne dystrybucje.
Pytanie 8 Tutaj bylo najwiecej kontrowersji i obaw w szczegolnosci tego ze
na PLD 'rzekomo wykonuje sie bezmyslnie' duze chmod -s /bin/* /sbin/* itp
... Otorz nic takiego nie ma miejsca ! Prosze zajzec czasami do pakietow
z PLD i samemy sprawdzic czasami czy potrzebujecie 4711 na loginie, na
mouncie, na procmailu, na pwdb_chkpwd i wielu innych ? Minimalizacja
Suidow wiaze sie nie tylko z wyodrebnianiem ich do podpakietow jak to jest
w wypadku perla czy util-linux-suid, to sa tez cofniecia w/w uprawnien z
np. z takiego mc (cons.saver) ktore nie potrzebuje juz tego, to sa
operacje polegajace na wymianie 4711 na 2711 (ping,traceroute,mtr) przez
drobne plomby w kernelu + ustawianie odpowiedznich grup, etc.
Jezeli padnie w tym miejscu kolejne flagowe pytanie
"Czemu to ma sluzyc ?! " ;)
Odpowiadam od razu -- wyrobieniu sobie 'marki' i nawykow (przez calosciowe
podejscie do sprawy) oraz ograniczeniu organizowania przez rozne grona
osob konkursow z nagrodami na najkrotszego root-exploita na PLD ...
Nic nie jest doskonale ale do tej doskonalosci trzeba dazyc i patrzec w
przyszlosc ...
Pytanie 9 Prawie jednomyslnie wszyscy wypowiedzieli sie za PLD opartym na
GNU libc-2.1 i kernelami 2.2 -- owszem jeszcze duzo pracy zostalo i sa
jeszcze zgrzyty w wypadku kilku programow ale IMHO prosze zauwazyc ze juz
czesc osob od roku czasu pracuje na takim ukladzie, mamy praktyke i
oprogramowanie sprawdzone i testowane nie zaczynamy od wielkiej
niewiadomej a wrecz przeciwnie czyscimy niedorbki i jestesmy przygotowani
do puszcecia stabilnego PLD ...
na razie,
--
Wojtek Slusarczyk (091)4494148
Technical University of Szczecin
PGP KeyServer pgpkeys.mit.edu
Więcej informacji o liście dyskusyjnej pld-devel-pl