Список следящего ПО (безопасная установка Debian)

Ряд общих соображений и советов на будущее только. УМВР, никогда не сталкивался с описанным в таких масштабах, хотя часто вмешиваюсь в систему напильником.

1. Grub поставлен как-то криво. Перед шифрованным физ.томом или на внешней флэшке нужно разбиение на разделы всё равно. Внутри разделов делайте, что хотите.

2. Есть, например, конфиг /etc/grub.d/custom, практически пустой по умолчанию. Только в него и можно добавлять свои строки. Остальные конфиги граба трогать нельзя, в них предупреждения есть, что они только для системных скриптов. Этот подход широко применяется ещё много для чего, когда системный юзерский конфиг разнесён с основным системным конфигом для автопарсинга, который может быть перетёрт при обновлении пакетов.

3. В /etc/rcS.d заменяется название первой буквы симлинка с "S" на "K" (пока Поттеринг всё не испортил). Так нормально отключаются любые демоны, в т.ч. и CUPS. Сами стартовые скрипты в /etc/rc[X]d напрямую править чревато.

4. Не следует увлекаться нестандартными опциями монтирования в fstab (readonly для /boot, noexec для /home и пр). Безопасность это практически никак не повышает, а проблемы штатной работе системы создать может.

5. Нельзя напрямую поставить своё перекомпиленное ядро. Надо собрать из него пакет. Ошибки в стабильном дистрибутивном ядре находят десятками, а поскольку большинство их них некритично, то релизят кумулятивный фикс с большими задержками.

6. Над рамдиском можно издеваться, перепаковывать. Но опять же, смотреть структуру, куда можно лазать, а куда нет. Т.к. при обновлении ядра рамдиск перепаковывается автоматом и там могут быть заменены системные модули. Если туда ставится что-то своё, то как и везде, надо выяснить, где находятся области (конфиги, каталоги), которые предназначены для ручной правки, а в каких областях ничего трогать нельзя.

Самый общий принцип: много конфигов в системе не для человека. Доступные для правки вынесены часто отдельно и многие вещи надо специально читать в манах и инструкциях как делаются, чтобы не было конфликта с системными опциями. Т.е., возможность кастомизации сохраняется, есть даже специальные утилиты, но надо знать особенности не просто системы, но её реализации в своём дистре.

Can't exec "/tmp/...
Очевидно, /tmp смонтирован с noexec.

По пунктам:

1. Grub (/boot) был поставлен на обычный дисковый раздел типа /dev/sdaX. Потом я его перенёс на другой раздел и перепрошил mbr. Вроде проблем не возникло, всё работает.

2. Я в курсе. Какую-то мелочь я исправлял в конфиге grub напрямую, да, но, как мне показалось, это не так страшно. Как я понял, максимум, при очередном обновлении я потеряю это изменение, но не более того.

3. Скрипты не правил. Отключал, как рекомендуется (как вы сказали).

4. Понял. Вроде не особо надеялся, но какие-то изменения оставил со старых времён. Сейчас дополнительные опции монтирования убрал.
   
   

   Очевидно, /tmp смонтирован с noexec.

   
   Да. Теперь исправил.

5. Своё ядро не ставил, всё по умолчанию было.

6. С ramdisk'ом никогда не работал, внутрь не лез. По большому счёту, про него вообще впервые слышу сейчас.

Я понимаю. Это, кстати, одна из тех особенностей, за которые я не люблю современные Linux'ы. В BSD (за исключением FreeBSD) можно было лезть руками практически всюду, и это работало напрямую и без глюков.

P.S. По-видимому, многие проблемы идут от того, что из ссылки в /comment67554 утянул чуть больше рекомендаций, чем следовало бы.

По-моему, в последнем стабильном Debian стартовые сервисы и поныне так отключаются. Что не так? Вы про systemd, которого по умолчанию ещё нет?

Про него.

Linux'ы есть разные. Помимо вездесущих Debian-based и RPM-based есть ещё и Slackware. Она гораздо ближе к UNIX'оидной старой школе.
Я вот для пробы 2-3 года назад поставил рядом со своим Slackware ещё и Debian и тоже был разочарован (помимо многого другого) тем, что между мной и системой встают "умные автоматы".

есть ещё и Slackware

Кстати тоже о нём подумал. Из всех дистрибутивов это наверное самый консервативный и соответствующий unix-way. И по словам разработчика, он не планирует переход с init на systemd. Вообще, отношение к systemd очень показательно, как лакмусовая бумажка. Очевидно, что это сложное, ненужное и небезопасное ПО с тоталитарными замашками. Кто этого не видит, разменивает стабильность и безопасность на модные фишки и погоню за "современностью", тот по большому счёту глупец или просто хомячок-виндузятник по ментальности. Ну а идеал это конечно LFS. К слову сказать, пользуюсь сейчас RPM дистрибутивом (CentOS c upstart), проблем описанных unknownом практически не замечаю. Grub там старый и беспроблемный, chkconfig для переключения уровней запуска работает, рамдиск существенно изменён, многие системные конфиги нормально редактируются. Репозиторий довольно беден, но я им не пользуюсь, т.к. ставлю из исходников, поэтому данной проблемы не замечаю.

Я тоже думаю о смене дистрибутива. Правда пока не знаю, в сторону чего смотреть. Понятное дело – Gentoo, но у меня нет времени на него, да и знаний тоже. Попробую Slackware поставить на днях.
unknown, а ты же на Debian сидишь вроде, какие мысли на этот счет? Ну т.е. если бы пришлось мигрировать, чтобы ты выбрал для себя? Спасибо.

Никаких

Firefox и openoffice (libreoffice) тоже самостоятельно собираете?

Конкрентно Firefox и LibreOffice уже были после установки системы. Другие GUI-программы (основанные на GTK, wxWidgets и т.п.) ставил и согласен что это сложнее и дольше чем консольные (если вы об этом). Поэтому предпочитаю пользоваться последними при наличии выбора.

Тогда еще несколько вопросов по существу дистра.
Почему Патрик выпилил Гном?
И правда ли что:
– по причине того что пакетный менеджер не разрешает зависимостей между пакетами то в один пакет уже все включено?
– из коробки ловится практически всё железо?

Если вопросы по CentOS, то

1. Начиная с 6 версии есть два основных варианта установки: MinimalCD и обычный десктопный. Первый главным образом предназначен для серверов (использую его на VPS). В десктопном Гном есть, 2 версия. На самом деле предопределённых вариантов установки в инсталляторе больше (порядка пяти или вроде того если использовать образ на DVD), можно вообще все пакеты вручную выбрать. Пользуюсь этим дистрибутивом не так давно, около полугода. Так что специалистом по нему не являюсь. До него 6 лет была Fedora, поэтому трудностей при переходе на CentOS не испытывал, всё было знакомо. С Федоры решил уйти, т.к. новые версии стали слишком нестабильны, а сама система из-за повышающейся сложности, обилия нового и ненужного для меня ПО стала превращаться в чёрный ящик.

2. Никаких проблем с пакетным менеджером не замечал, все зависимости автоматически разрешаются. В пакет обычно входит только то что нужно. Хотя в некоторых случаях бывают не совсем логичные связи. Например cron почему-то зависит от postfix. В принципе это объяснимо, но не вполне разумно, на мой взгляд. Никаких особых проблем это не доставляет, в других дистрибутивах скорей всего есть аналогичные случаи.

3. Про всё железо ничего сказать не могу, на моём всё работает.

Не знаю. Гном меня не волнует.
Нет. Если нужны пакеты не входящие в Slackware (в дефолтный, полный install) это документируется. Пример. Обратите внимание на "This requires:".
Поддержка железа зависит больше от версии ядра, а не от дистра.
Но в Slackware немного лучше, да.
Пример: Моя WiFi карта в Debian'е требует сперва прописать non-free репозитарий в /etc/apt/sources.list, затем установить пакет с firmware. В Slackware — из коробки (пакет с firmware ставится по дефолту).
Видимо нет.