Вход:  Пароль:  
FreeSource: AltLinux/Policy/Services ...
Free Source | Каталог | Изменения | НовыеКомментарии | Пользователи | Регистрация |
Эта страница была перенесена на altlinux.org. Текст на freesource.info заморожен.

Сервисы

О чём речь

Предлагается к обсуждению и доработке драфт полиси по упаковке программ, которые для возможности использования должны принимать сетевые подключения (в силу того, что это всегда может быть связано с ненулевым риском атаки на уязвимое место).


С учётом того, что забыть выключенным нужный сервис (разве что кроме sshd) несколько сложнее, чем забыть включенным ненужный — лучше по возможности и разумности держать в пакетах умолчание «выключен». Аналогично по части доступа — рассмотрите уместность такового по умолчанию только с петлевого интерфейса (loopback, lo) 127.0.0.1 или изменением штатного адреса привязки (bind, listen) сервиса с 0.0.0.0 на 127.0.0.1, либо аналогичным ограничением средствами сервиса (менее надёжно, поскольку уязвимость иногда может быть в коде, который успеет выполниться до контроля доступа).


В случае неочевидных действий, необходимых для конфигурирования сервиса в рабочем режиме, следует описать их хотя бы парой строк в файле README.ALT, уложенном в каталог с документацией пакета; возможно и упоминание в %description вида

или

в случаях, когда предвидятся проблемы у разворачивающих сервис системных администраторов.


Внося такие изменения, следует и отметить их в changelog (хотя при обновлении уже установленного пакета, предоставляющего сконфигурированный и включенный сервис, они не должны иметь действия).


Если эта практика будет принята, то следует упомянуть о ней в официальной документации на страничке с кратким сборником отличий дистрибутива.

SysV initscripts

Для сервисов, запускаемых посредством инитскриптов в %_initdir (/etc/rc.d/init.d/), образцом является /etc/rc.d/init.d/template, а рекомендуемым видом строчки chkconfig — подобный:


Первый аргумент либо задаёт список уровней исполнения (runlevels), в которых данный сервис будет запущен автоматически (например, 345), либо является прочерком (-), что указывает на состояние «выключен по умолчанию».

xinetd based

Для сервисов, стартующих из-под xinetd, рекомендуемым является включение в файл конфигурации, укладываемый в /etc/xinetd.d/, строчки

и по вкусу (для достаточно недоверенных сервисов?) --

Ссылки


Страницы, ссылающиеся на данную: AltLinux/Policy
Altlinux/Policy


 
Файлов нет. [Показать файлы/форму]
Комментариев нет. [Показать комментарии/форму]