Freesco, NND, CDN, EOS

A dlaczego? Może jakieś uzasadnienie? I jeśli można to zamawiam logiczne.

Moje uzasadnienie jest takie. Dotychczas standardowy firewall się nie zmieniał. User dostawał ten plik w świeżo instalowanym NND - jak to się mówi elegancko po naszemu Out Of The Box. Kwestia upgrade wchodziła w grę tylko wówczas, gdy faktycznie ktoś instalował nowy kernel i nowe iptables, ewentualnie robił jakiś upgrade wersji sprzed jakiegoś czasu. Jeśli sam tam dopisywał jakieś regułki, to niejako był zobowiązany o tym pamiętać.
Jeśli teraz zdecydujemy się na taką zmianę, dość daleko idącą, to dwa podstawowe pliki będą podlegac wymianie - firewall i rc.conf. W takim razie ja byłbym za tym, żeby w tym konkretnym wypadku nie wysyłać nikomu plików do /dev/null.

_________________
Belfer.one.PL
Audio Cafe

To po co go podmieniać? Po co skoro nigdy się nie zmienił?



Następnym razem dodam jasno i wyraźnie : to mała ironia. Myślałem, że mały uśmieszek obok wypowiedzi wystarczy. Teraz już wiem, że nie.



Mylisz się. Moim celem było poruszyć jeden z odwiecznych problemów podmiany firewalla. Nikt nie powiedział, że to jedyny i największy problem, chociaż do takich właśnie rozmiarów przez na prawdę słabą argumentację rozdmuchaliście.Ale priorytetem nie jest i nie wpływa znacząco na jego funkcjonalność. Dlatego po prostu nie ma sensu o tym dalej dyskutować. Nadal jest NIE, BO TO DZIAŁKA ADMINA DANEGO SERWERA/ROUTERA. To już któryś raz propozycja zmiany czegokolwiek kończy się fiaskiem, bo tak jest i inaczej nie będzie. Ja przedstawiłem swoje wszystkie argumenty, Wy bronicie się swoimi i nie ma szansy na zmianę zdania.

Nawiasem mówiąc dlatego niektórzy stronią od Linuksa, bo nie wiedzą co ich czeka , bo kupując książkę o linuksie nic nie znaleźl, że ugreade iptables podmieni ich poklejone wypociny z całego miesiąca zwane firewallem - to ironia i żart...chociaż troszkę prawdy w tym jest.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Bo to, że się do tej pory nie zmienił wcale nie implikuje, ze nigdy się nie zmieni.
Gdyby, tak jak sugerujesz, ten plik był zabezpieczony przed nadpisaniem wprowadzenie takiej zmiany jaka jest obecnie w pakiecie iptables w testing zrzucałoby całą pracę na admina - autor pakietu nie miałby takiej możliwości.



Myślę, że odwracasz kota ogonem... a nawet jeśli nie, to Twoja ironia w tym miejscu była kompletnie nietrafiona, bo ja pisałem o jednym a Ty o czym innym.



Nic nie rozdmuchalismy. O ile pamiętam, choć mogę się mylić, nikt poza Tobą nie zgłaszał nigdy problemu, że ma podmieniony firewall, Ty zresztrą też chyba nie, a to co piszesz jest tylko czysto teoretycznym rozważaniem. Tak mi się wydaje bo na pewno nie wiem - jesteś mistrzem w unikaniu konkretów.



a kogo jeśli nie admina danego serwera? Już o to cię pytałem - kto ma dbac o pliki na danym serwerze? Oczywiście nie odpowiedziałeś... jak zresztą wiele razy w różnych dyskusjach. Unikasz jasnych odpowiedzi jeśli pytanie Ci z jakichś powodów nie odpowiada.

Napisz mi, proszę, dlaczego autor pakietu ma dbać o to, aby jakiś plik (firewall jest tylko przykładem) nie został nadpisany przy upgradzie pakietu? Co powstrzymuje admina przed dopisaniem jednej linijki do pacman.conf?
Skąd, jako autor pakietu, mam wiedzieć, że jakiś plik został poddany edycji przez admina Jana Kowalskiego z Pacanowa?



Niewiele tych argumentów masz. Nadal nie napisałeś dlaczego admin nie może sam sobie zabezpieczyć pliku firewall jeśli go zmienia, bo jeśli go nie zmienia to nie ma problemu, prawda? Dlaczego od nas wymagasz zabezpieczenia pliku, a od admina nie jeśli to on - admin plik edytował a nie my?
Nie ma szansy na zmianę, bo nie ma po temu przesłanek innych niż te że Ty to proponujesz. W praktyce wygladałoby to tak, że w przyszłym wydaniu iso musielibysmy zmienić pakiet pacman dopisując plik firewall do pacman.conf (a i tak dotychczasowe instalacje nie zmieniłyby się, bo plik pacman.conf jest zabezpieczony przed nadpisaniem) tylko dlatego, że admin nie może sobie jedej linijki sam dopisać. I co najważniejsze cały problem nie dotyczy wszystkich, a tylko tych którzy swoje firewalle sami pozmieniali.



odpowiem motoryzacujnie - czy jeśli zostawisz otwraty samochód na ulicy i ktoś co go ukradnie to będziesz miał pretensje do producenta samochodu że nie zrobił zamka który autoamtycznie się sam zamyka?

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Wybacz, ale nie spodziewałem się takiego uzasadnienia. Nie na tym poziomie rozmowy. Pofantazjować możemy sobie na innym forum. Dla mnie to już koniec tematu, uczciwie powiem, że już niedoczytałem nawet do końca Twojego postu po tak nieudanym początku. Tak już definitywnie na zakończenie: do mnie nie przemawia twierdzenie "Brak argumentu to też argument".

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Sorry Albercik, ale pieprzysz bez sensu. Argument jest jak najbardziej konkretny, dowód leży od jakiegoś czasu w repozytorium testing, gdzie w pakiecie iptables plik firewall uległ dość istotnym zmianom.
O innych zmianach w tym pliku dyskutujemy w tym wątku... Nie wiem co miałeś na myśli pisząc o fantazjowaniu, bo chyba nie zakładasz że ten plik jest niezmienny i taki pozostanie na wieki wieków...

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

1. skrypt ładujacy nowe pliki firewala powinien:
a. zabezpieczyc kopie starego firewala (z unikataowa nazwa by nie nadpisywac starych kopii - patrz mrtg)
b. zabezpieczyc reguly zapisane przez save jak w p. a
c. poinformowac uzytkownika o ty ze jesli mial zapisane jakies reguly to sa one tam czy tam i musi je sobie recznie przekopiowac.
d. na podstawie wpisow w rc.conf utworzyc (jesli ich nie ma) nowe zmnienne tamże, stare wpisy typu WWW=1 moga tymczasowo zostac w rc.conf
2. W instalatorze NND:
Trzeba dać napis, żeby wpuszczać tylko w krawatach. Klient w krawacie jest mniej awanturujący się.
3. jesli ktos użył opcji save to sam sobie jest winien
4. poniewaz tych opisow co sa w skryptach instalatorow pacmanowych i tak nikt nie czyta to kazdy pakiet powinien w katalogu /root/opis_pakietow. tworzyc plik z kopia tego opisu o czym powinien informowac uzytkownika zmuszajac go po tej informacji do wpisania:
"tak zrozumialem pouczenie"


Amen

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Mis to już wystarczająco jasno chyba uzasadnił, parę postów wcześniej.


rc.conf nie zostanie zastąpiony (!) bo jest dopisany do NoUpgrade
a firewall będzie, co wytłumaczył Mis w tym poście:
http://forum.freesco.pl/viewtopic.php?p=108156#108156

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

MAC!EK - Mis' pisał o ogólnej zasadzie, że admin powinien się wykazać pewną dozą samodzielności w zabezpieczaniu własnych plików. Poza tym też trochę nie do końca słusznie ten post przywołujesz, bo Mis' napisał o sytuacji, kiedy się instaluje nowy pakiet - należy wówczas przejrzeć pliki i zastanowić się, czy faktycznie jakiś z nich nie powinien podlegać ochronie. W przypadku firewalla, który jest częścią iptables nie mamy takiej sytuacji. Iptables dostajesz wraz z zainstalowanym systemem. Jeśli user się tym wcześniej nie zainteresował i nie miał potrzeby, to tym razem jestem za tym (zaznaczam jednorazowo) by dać opcję zachowania starego pliku pod inną nazwą, ale nie jestem wcale za tym, by z tego robić regułę.
Należy rozważyć, to co napisał zciech, choć nie do końca się zgadzam. Upgrade iptables nie ruszy bowiem iptables.rules, więc jeśli ktoś to ma, to nie zauważy żadnej zmiany (sądzę, że nie ma problemu bo w większości wypadków oznacza to, że używa własnego firewalla).
Natomiast zauważyłem inny problem. Faktycznie należy wówczas pomyśleć o dodaniu nowych wpisów do rc.conf. A może cały pomysł po prostu przenieść do następnej wersji NND. I jedynie dać informację na stronie dotyczącą upgrade iptables?

_________________
Belfer.one.PL
Audio Cafe

Mi wydaje się słuszny argument że skrypt firewall to taki sam plik systemowy jak pliki binarne czy pliki rc.S rc.M itd.
Zasada że do backup=() w pakiecie dodajemy configi należące do pakietu, a do NoUpgrade standardowo dodane są newralgiczne pliki systemu takie jak lilo.conf, passwd.
Takim plikiem nie jest skrypt firewall, ponieważ userzy mają swoje regułki w iptables.save bądź też dla łatwości w rc.local(często dodają tam przekierowania portów).
Jeżeli udostępnimy mechanizm forwardowania z poziomu nndconf, to tworzony plik konfiguracji przekierowań będzie backupowany, a skrypt firewall będzie nadal zastępowany. Aby łatwo wprowadzić nową wersję do systemów userów.

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

I ta argumentacja mnie przekonuje.

_________________
Belfer.one.PL
Audio Cafe