RHEL6b1

Az elmúlt hetet volt szerencsém 'hivatalból' a RHEL 6 beta 1 próbálgatásával tölteni. Okés, hogy már 2 hónapos a cucc és igen, jövő héten valszeg jön a beta 2 (legalábbis a bostoni RH Summitra küldött szerencsésebb kollégák szerint megígérték), de most jutott rá idő. A nagy cégek majmai lassan őrölnek, viszont legalább tűrt kategiórából támogatott (cégcsoport szinten választható OS) kategóriába kerül a linux. És a RHEL6 lesz az első fecske. Azért ez eredmény.

Ami eddig kiderült:
- a minimál install végre tényleg egészen minimális (legalábbis az eddigiekhez képest, kb. 400 csomag a defa install, ezt le lehet nyomni 300 közelébe)
- még így is túl sok vacak települ fel és indul el
- még mindig túl sok a csomagok közötti függőség
- sendmail helyett végre postfix a defa SMTP
- a kickstart-ban vannak változások a RHEL5-höz képest (nem sok, de nem használható fel 1-az-1-ben az 5-ös kickstart file)
- ha egy gépre SAN-os diskek vannak kötve + vannak lokális diskek is, akkor az anaconda telepítés közben tökön szúrja magát és eldől multipath hibára hivatkozva (érdekesség: a "Basic storage install" menüpontban csak a SAN diskek látszanak, csak az "Advanced űberbrutál jajj neked storage" menüpontot választva jelennek meg a RAID kontrollerre kötött belső diskek)

1-2 hét múlva nekilátunk CIS megfelelőséget tesztelni (a RHEL5 out-of-the-box, de kikapcsolt SELinux-szal 80-85%-ot hozott, a 'hiányzó rész' jó része meg szerintem amúgy is erős vita tárgya).

Ilyen meg nálunk miért nincs?

( Hunger | 2010. 06. 27., v – 15:42 )

Az utolsó(előtti) sor zárójeles témájáról nincs kedved mesélni?

Még ősszel csináltunk ilyen jellegű próbákat Symantec CCS-sel.

A CCS egy sima user nevében kulccsal belépett a teszt szerverre, majd elkezdett vizsgálódni (fstab-ban mount opciók, file permission-ok, defa jelszó erősség, kernel paraméterek, stb. stb.) és a végén dobott egy riportot.

A riportban egyrészt összefoglalta, hogy mi a helyzet (itt adta a megfelelőségi százalékot is), meg tartalmazott egy listát, aminek a sorai az ideálistól való eltéréseket mutaták. A tételek súlyozva voltak és volt rájuk megoldási javaslat is téve.

A találatok egy része tényleg elfogadható volt, egy része szerintem viszont csak elméleti kötözködés (most nem tudok konkrét példát így fejből, de ilyen jellegű is volt köztük, hogy pl. a /etc/crontab ne legyen olvasható 'others' által, stb.)

A SELinuxot meg azért tartjuk jelenleg kikapcsolva, mert nincs rá erőforrás, h az összes általunk futtatott midtier és backend szoftver összes nyűgét kitaláljuk, meg ahhoz már vmi központosított SELinux management infrastruktúra is kellene, ha komolyan akarjuk venni a dolgot. Viszont úgy tűnik, hamarosan mégiscsak neki kell állnunk. :)

És kötelező szopatnotok magatokat azzal a förmedvénnyel? Mi minden telepítést azzal kezdünk, hogy sikoltva kapcsoljuk ki az SELinuxot, majd reboot az install után. :)

Azóta meg különösen "kedvelem", hogy a pár hete lerakott RHCE vizsgámon majdnem emiatt szívtam meg a Dovecot-telepítést. Szerencsére van setroubleshootd, ahol is kiderült, hogy az /etc/passwd nem a megfelelő contexttel bír (egy szimpla jelszóváltás felülvágta, brávó!), ezért a dovecot-auth nem fér hozzá.

--
Wir sind erfaßt, sind infiziert,
Jedes Gespräch wird kontrolliert.

( uid_228 | 2010. 06. 27., v – 18:05 )

- a egy gépre SAN-os diskek vannak kötve + vannak lokális diskek is, akkor az anaconda telepítés közben tökön szúrja magát és eldől multipath hibára hivatkozva

Ahahaha, Enterspájz Binux. :))

--
Wir sind erfaßt, sind infiziert,
Jedes Gespräch wird kontrolliert.