Mental note: Fedora 17 chroot install

Alapok:
- Legyenek meg a fedora repok, a fedora-release rpm-bol lehet lesni (abban laknak)
- rpm --root=/mnt/fedo --initdb
- GPG kulcsokat elore importaljuk be, - || -
- Nagyon fontos, hogy az /etc/fstab -ban minden fizikai disket UUID-del vegyunk fel. Ez foleg a grub2 - systemd tengely tokeletes egyuttmukodes segiti elo.
- Az e2fsprogs csomag szukseg szerint modosithato, ami fontos, hogy mindig legyen fenn a gyokerhez tartozo fsck, hogy error nelkul bootoljon a gep (ennek hianyaban dob egy panaszt bootkor a systemd). Termeszetesen ha nem bootol majd a chroot, akkor elhagyhato, ahogy a grub2 is.

Akkor lassuk.

64 bit 


yum install --installroot=/mnt/fedo --releasever=17 \
            basesystem yum passwd e2fsprogs vim-enhanced dhclient kernel grub2 
cd /mnt/fedo
mount -t proc proc ./proc
mount -t sysfs sysfs ./sys
mount -o bind /dev ./dev
chroot . /bin/bash
touch /.autorelabel /.autofsck
passwd

# Ez csak hasznos.
cp -a /etc/skel/.bash* /root/

# A kovetkezo harom lepes csak disk eseteben kell
cat > /etc/fstab <<EOF
UUID=foobaar / ext3 defaults 0 1
UUID=baaazzz none swap defaults,sw 0 0
EOF
grub2-mkconfig -o /boot/grub2/grub.cfg
grub2-install --boot-directory=/boot /dev/sda

sync
exit

Es kesz.

A 32 bites annyival van nehezitve, hogy a yum es chroot parancsokat linux32 wrapperrel kell hivni, ugyanis kulonben a yum nem ismeri fel az architekturat. Cink, de ez van.

A hostname a /etc/sysconfig/network fajl HOSTNAME valtozojaval befolyasolhato. Itt erdemes meg a NETWORKING-et yes-re rakni, hogy legyen loopback interfesz.

( hrgy84 | 2012. 09. 14., p – 22:29 )

Elsore szokatlan volt, hogy az elso konzolon nincs terminal, a tobbin is on-demand jon elo, de jopofa megoldas, marad.

A plymouth-ra vonatkozo hibak eliminalasa meg TODO. annyira nem zavaro vegulis, csak sir miatta. Termeszetesen nem ugy akarom megoldani, hogy felrakom a plymouth-ot, az tul egyszeru.

Ha SELinux-ot is szeretnenk (szeretnenk?), akkor a kovi csomagok kellenek meg: selinux-policy-targeted libselinux selinux-policy libselinux-python libselinux-utils
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Szerintem érdemes mindig SELinux-ot használni. Jók a gyári modulok, és tele van sok könnyű, előre megadott beállítási lehetőséggel ("setenforce" paranccsal on-the-fly ki- és bekapcsolható): 


getsebool -a
getsebool -a | grep http
setsebool -P httpd_can_sendmail on
apropos selinux | grep http
man httpd_selinux

getenforce
setenforce 0
setenforce 1

Hat majd meglatjuk. Egyelore orulok a chroot setupnak, de a hosszutavu cel egy ertelmes LNMP/LNPP kornyezetben kitesztelni, ahol azert lehetnek gixerek. Gondolok itt elsosorban a PHP-FPM szabadossagaira, illetve a Nginx-PHP tengely kuloncsegeire.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Ne ilyen nincs sajna. A legjobb amit találtam - de csak a feniteket tárgyalja - az a CentOS wiki.

Ilyen szempontból a Suse-nek az AppArmor GUI-s gen cucca tetszik, hogy tudsz magadnak csinálni egy app-hoz szabályokat klikkelgetéssel. Hasonlóról nem tudok RHEL vonalon. Viszont admin-ként menedzselni nem is kell igazán, elég a fenitek - meg a restorecon parancsot kihagytam, ha default-ra akarsz visszaállítani egy mappán context-eket.

Szerk.: amire még nem sikerült rájönnöm, hogy olyan folyamathoz hogyan lehetne generáltatni az audit log-ba szabályokat, amelyhez egyáltalán nincs gyári modul. Mert ugye amihez van és dobál hozzáférés megtagadásokat, ahhoz működik a fenti. De audit2allow-val nem tudom lehetne-e egy teljesen új modult csinálni.

( hrgy84 | 2012. 09. 18., k – 22:24 )

Recommended additional pkgs:
- hostname ( :-) )
- system-config-network-tui (Nem tudom, mi kellene neki, de nem megy.)
- tar
- bzip2
- unzip
- eject
- rsyslog / syslog-ng

A listat kesobb meg bovitem, ha lehet, ne valaszolj ra
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

( hrgy84 | 2012. 09. 15., szo – 14:22 )

PHP porog ujra, de miattam: default nincs MariaDB a Fedoraban en meg azt szeretnek.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

( hrgy84 | 2012. 09. 18., k – 17:57 )

A system-config-network-tui csak elsore tunt jo otletnek, az interfeszeket sem latja. Kuka.
Nagyon hianyolok egy packagekit-mentes command-not-found megvalositast. Sokszor kene...
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal