filesystem
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Nie, 21 Lut 1999, 21:39:14 CET
On Sun, 21 Feb 1999, Wojciech Slusarczyk wrote:
> On Sun, 21 Feb 1999, Marcin 'Qrczak' Kowalczyk wrote:
>
> > /etc/X11 i /usr/src są chyba niczyje.
> Zaraz zerkne .. i poprawie ..
>
> > /var/spool/mail ma prawa 775 i root.mail, przez co skrzynki pocztowe są
> > narażone na zniszczenie, jeśli MUA nie są sgid mail. Czy to jest świadome,
> > tzn. wszystkie MUA powinny być sgid mail? Alternatywnym rozwiązaniem jest
> > 1777 ma /var/spool/mail (wiem, że niektórym się to nie podoba).
>
> Tia .. no mailx burzy sie o zakladanie locka w tym podkatalogu wiec ma
> sgid, pine nie ma -- burzy sie ale dziala, mutt tez dziala ..
>
> 1777 to odpada w przedbiegach ..
To by trzeba patchnąć pine.
Tak wogóle przy okazji filesystem to /var/spool/mail ma należeć jeżeli już
to do smtpdaemon. To samo /home/{ftp,httpd} - te do ftpdaemon i webserwer
(nie httpd jak jest obecnie w devel .. to tylko mieszać będzie przy
przejściu z RH). Mowa o pseudopakietach. Tak samo z katalogami do gophera,
petidomo, qmaila - te też nie powinny należeć do filesystem tylko do
poszczegółnych pakietów, których częścią powinny być te katalogi. Z
filesystem wyrzuciłem także /usr/tmp (jeżeli coś tego jeszcze używa to do
poprawki), takoż samo /var/adm (gdyby to był jakiś katalog .. ale to jest
sym link na /var/log). To samo z katalogami /usr/X11R6. Te powinny należeć
do XFree86 (zapewne także XFree86-lib).
Po za tym jeszcze jedna sprawa i za to wiem, że będę ścigany boi sam to
proponowałem ale wywalić na dłuższą metę trzeba root.man na manach i
katalogu ze źródłami z manami. Zostaje tylko root.man na katalogach gdzie
ma zapisywać sformatowane pliki man (czyli w /var/catman który należy do
pakietu man).
Sam powyższe wprowadzałem i promowałem. Teraz dopiero doszło do mnie, że
to jest niepotrzebne i potencjalnie szkodliwe. Sgid nam man był robiony
wyłącznie z myślą o zapisie wstępnie sformatowanych plików i niech tak
zostanie. Oddzielanie w grupę plików w specu o ile to wreszcie wejdzie od
któregoś oficjalnego rpm-a i tak będzie się robiło poprzez ręczne
zaznaczanie:
%group nazwa
/pliki
%endgroup
lub jakoś tak. Jakiś konkretny gid na plikach tu nic nie pomoże.
Nic to .. wycofać się z błędu nigdy nie za późno. Przepraszam ..
Jeszcze jedna rzecz, z krórej prawdopodobnie dobrze byłoby się wycofać.
Chodzi o pakiet setup i nowych użytkowników w passwd i grupy w group.
Użytkownicy i grupy od qmaila, zmailera i innych trzeba by też usunąć żeby
było to usuwane/dodawane przez pakiety z qmailem, zmailerem i innymi.
W Debianie jest taki programik do bezpiecznego updateowania
passwd/group/shadow. Trzeba by to wciagąć do PLD.
Także same pakiety w %verifyscript mogłyby sprawdzać czy odpowiednie wpisy
w tych plikach są i w razie czego korygować do postaci wymaganaej przez
dany pakiet.
Co do tej części to jeszcze trzeba się tak czy inaczej zastanowić czy i
jak to zrobić.
Po za tym nie wiem kto wpadł na pomysł przesunięcia /etc/shadow do shadow.
To też jest trafione i plik jest do cofnięcia do setup .. chyba, że ktoś
potrafi podać powód czegoś takiego (?). {De}rejestracja shella w
/etc/shells jest czymś niezależnym od narzędzi do shadow, a sam plik jest
potrzebny przy {de}instalacji pakiertów z shellami. Ja tu nie wiedzę
powodu przesunięcia do shadow, a widzę, że /etc/shells tak czy inaczej nie
może należeć do innego pakietu niż właśnie setup.
Przy okazji. Wczoraj próboiwałem zainstalować devel na dość skomplikowanej
maszynce (pod względem pełnionych funkcji). Zgrzyt zębów i kupa straconego
czasu. Kilka drobiazgów:
* /etc/inittab nie ma noreplace w %config - skutek: inittab jest zupełnie
nowy po instalacji (całe szczęście, że miał %config i zachowała się
kopia). Na tej maszynce mam ponad 20 łącz dzierżawionych podnoszonych z
inittaba.
* ktoś wpadł na pomysł żeby w instalowamym inittab wyłączyć shutdown na
ctrl-ald-del. Po przypadkowym restarcie na innej maszynce na której jest
ponad 40GB zasobów i braku kompletu pakietów koniecznych do przejścia na
2.2 nie mogłem się zalogować. Zalogowanie się z zewnątrz też nie było
mozliwe. Jedyne co mogłem robić to wykonać synca z sysreq i reset
sprzętowy. Czy mam pisać ile czasu zajeły mi trzy kolejne restarty ?
Wyłączanie salutu na trzy palce to można robić potem domyślnie to
_musi być_. Można co najwyżej dodać w /etc/inittab zamiast
bezpośredniego wołania shutdown skrypt który sprawdzi przy okacji
zmienną (np. CTRL-ALT-DEL_ALLOW_SHUTDOWN={yes|no}) z
pliku np. /etc/sysconfig/system.
* /etc/sysconfig/network - po mimo, ze jest %config(noreplace) to chyba
dlatego, że jest "Obsoletes: initscripts" plik ten nie jest zachowywany
(przyczyna braku łaczności z zewnętrzem w punkcie powyżej .. w
/etc/sysconfig/network jest GW IP),
* po instalacji rc-scripts (-U) /etc/sysconfig/network był pusty, a przy
starcie wszystko się waliło ponieważ skrypty do sieci po mimo ustawień
do ipv6 koniecznie coś chciały robić z siecią (brak
/etc/sysconfig/network oznacza, że NETWORK=no)
To jest ewidentnie do poprawki. Przy braku w plikach /etc/sysconfig/*
zmiennych podsatwowym założeniem powinno być to, że te zmienne są nie
ustawione lub mają jakieś domyślne wartości które umożliwią z duzym
prawdopodobieństwem w miarę prawidłowe podniesienie sie systemu).
Wogóle przejrzałem sobie jeszcze raz rc-scripts i tak mnie naszło, że w
zasadzie pakiet ten nie na za berdzo racji bytu. I tak nie może onbejć się
bez SySVinit i w zasadzie większość stuffu z rc-scripts powinna już
należeć do włąsnie tego pakietu. W osobny pakiet można wydzielić to co
jest potrzebne do podnoszenia sieci czyli w zasadzie wypadałoby
Co do jeszcze skryptów startowych i propozycji pliki
/etc/sysconfig/system. to mam tu olejny pomysł podpatriny z Debiana, żeby
dodać w tym pliku RUN_SULOGIN_ON_ERROR={yes|no} (lub coś podobnego) co
umozliwiłoby łatwe i eleganckie włączanie/wyłaczanie sulogi przy chocby
błedach z fsck przy starcie.
Błędów znalazłem jeszcze więcej i w ostateczności czym prędzej na razie
cofnąłem stan maszynki do stanu poprzedniego. Muszę jeszcze to wszystko
raz przemyśleć i przejrzeć kilka karteluszków na których robiłem sobie
jakieś najpotrzebniejsze notatki (siet nie miałem ze sobą wczoraj
pilota :>).
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl