07.11.2014 15:33, Eugene Grosbein пишет:
On 07.11.2014 20:04, skele...@lissyara.su wrote:
Проблема, действительно, есть. Осложняется текущей политикой: при повышенном
securelevel
система должна пускать локальных юзеров уже после того, как запущены все
сервисы,
см. комментарии в /etc/rc.d/LOGIN
В Porters Handbook сказано, что практически все сервисы, запускаемые портами,
должны использовать REQUIRE: LOGIN, если нет особых причин делать иначе.
squid в том числе использует REQUIRE: LOGIN.
Получается конфликт зависимостей: при повышенном securelevel нельзя пускать
юзеров
до старта сервисов, но надо запустить sshd до старта squid. Можно было бы
выделить
новый класс сервисов, которые таки можно запускать после LOGIN и переместить
в него squid, но заставить всех маинтейнеров портов разом переделать свои порты
нереально.
Более реально создать новый барьер SLOGIN по типу LOGIN, для того чтобы
критические скрипты типа fsck/mount/syslogd запускались до него
и sshd был бы предпоследним из них, а последним securelevel.
А остальные, включая все те, что REQUIRE: LOGIN (squid и почти все остальные
портовые),
строго после нового барьера SLOGIN.
Предполагается, что большинство портовых сервисов можно запускать до разрешения
логина локальных пользователей, а исключениям можно будет прописать запуск до
SLOGIN.
Только вот кто возьмется за анализ зависимостей существующих системных скриптов
в /etc/rc.d и корректно раскидает их на такие группы?
А если у меня kern.securelevel=-1 и я не планирую никогда его менять,
как мне правильно подправить REQUIRE для ssh, что бы он стартовал раньше
портовых демонов?
