LINUX.ORG.RU

Чем отличается fedora workstation от fedora server и какие в ней могут быть неожиданности?

 ,


0

1

С удивлением увидел такую прикольную штуку:

$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml 
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Fedora Workstation</short>
  <description>Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
  <service name="samba-client"/>
  <port protocol="udp" port="1025-65535"/>
  <port protocol="tcp" port="1025-65535"/>
</zone>

Немного обалдел от такой безопасности. Это в Workstation по умолчанию, ага. Рядом лежит FedoraServer.xml, там всё нормально. Почитал листы рассылки, пишут, мол юзеры тупые, не смогут открыть порт, мы лучше сами им всё откроем.

Чего ещё для тупых юзеров в таком роде придумали в workstation? Есть ли где-то список отличий между server и workstation? Как минимум ещё одно отличие, которое я видел - в server выбирается xfs по умолчанию, в workstation - ext4, но это мелочь.

★★★★★

С удивлением увидел такую прикольную штуку:

продолжайте наблюдения.

ukr_unix_user ★★★★ ()

Чего ещё для тупых юзеров в таком роде придумали в workstation?

GNOME, Btrfs по умолчанию, куча ненужных сервисов Systemd, Pipewire.

Korchevatel ★★★★★ ()
Ответ на: комментарий от EXL

Ну это если совсем по умолчанию оставить. Я разметку сам делаю, но всё равно когда создаю /, в разных инсталляторах выбирается разная ФС по умолчанию. Но это мелочь, повторюсь.

Legioner ★★★★★ ()
Ответ на: комментарий от Legioner

открытые порты вроде не такая уж и проблема, так как сервисы, работающие на этих портах, не должны пускать без авторизации

r0ck3r ★★★★★ ()
Ответ на: комментарий от r0ck3r

Это не то, чтобы проблема, это неожиданность. Даже в винде порты закрыты, если не выбрать «доверенная сеть» в настройках адаптера. Я вообще не ожидал такой подставы, я привык, что порты в firewall-cmd по умолчанию всегда закрыты и мне в голову не приходило, что их могут по умолчанию открыть. По-моему это просто глупость.

А про авторизацию - с чего ты взял? Я могу пускать любой софт на своём компьютере. На этих портах обычно какой-то разрабатываемый софт запущен. Конечно надо на 127.0.0.1 биндить, это понятно, но всё равно полагаешься, что фаервол работает.

PS забавный пример: эклипс слушает на трёх портах. Ты на 100% уверен, что он там слушает и что туда ничего плохого не может прилететь? Я вот понятия не имею, зачем он на них слушает.

Legioner ★★★★★ ()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от Legioner

А ты не полагайся что за тебя всё настроили. И firewall-cmd лучше снеси (вместе с федорой), прописывай сам правила в ядерных таблицах, так всё прозрачнее.

Если прога слушает 0.0.0.0 значит она хочет быть доступной из инета, и будет доступной если ты явно ей не запретишь или не спрячешь за натом.

firkax ★★ ()
Ответ на: комментарий от firkax

А ты не полагайся что за тебя всё настроили.

А компиляй LFS читая сорсы, ага.

И firewall-cmd лучше снеси (вместе с федорой), прописывай сам правила в ядерных таблицах, так всё прозрачнее.

Я адаптируюсь к системе. В дебиане так и делаю. В федоре положено использовать firewall-cmd.

Если прога слушает 0.0.0.0 значит она хочет быть доступной из инета

Нет, ей просто пофиг.

и будет доступной если ты явно ей не запретишь или не спрячешь за натом.

Нет, если система настроена адекватно, то она доступной из инета не будет, пока я не разрешу подключения в фаерволе компьютера, в фаерволе роутера и не прокину порты. Каждый пункт здесь важен.

Legioner ★★★★★ ()

А зачем в воркстейшен редакции закрывать порты по умолчанию? Компьютер в офисе стоит в сетке, которая настраивается как надо соответствующим специалистом.

Princesska ★★★★ ()

В общем копал-копал, примерно так выходит.

Тип установки определяется пакетом вида fedora-release-identity-xxx. Он устанавливает файл /usr/lib/os-release, а, например, postinstall-скрипт firewalld уже по этому файлу определяет, какой тип, и прописывает тот или иной симлинк.

Legioner ★★★★★ ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.