jim perrin, em seu blog, faz o lançamento do "Hardening Centos" (reforçando ou endurecendo o CentOS, em tradução livre), com várias recomendações para tornar o CentOS ainda mais seguro. Uma boa leitura, está muito bem organizado.
http://wiki.centos.org/HowTos/OS_Protection
divirtam-se.
Tinha tbm um programa que faz hardening, tem tbm suporte para distros red hat, mas testei no CentOS 5 e não deu certo. Conclusão. Pelo Item da wiki ai pode se fazer manual mesmo e aprende para que serve tal arquivo de configuração. Legal, até bloqueia aquele "modo interativo de inicialização" :D
2009/7/15 irado furioso com tudo irado@bsd.com.br
jim perrin, em seu blog, faz o lançamento do "Hardening Centos" (reforçando ou endurecendo o CentOS, em tradução livre), com várias recomendações para tornar o CentOS ainda mais seguro. Uma boa leitura, está muito bem organizado.
http://wiki.centos.org/HowTos/OS_Protection
divirtam-se.
-- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Se as pessoas são boas só por temerem o castigo e almejarem uma recompensa, então realmente somos um grupo muito desprezível Albert Einstein _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
Heheh e eu que pensei que não veria um problema desses no CentOS ou RedHat J rsrsrsrs logicamente que não confirmei.
yum remove kernel-devel-2.6.18-128.1.10.el5 kernel-2.6.18-128.1.10.el5 kernel-headers-2.6.18-128.1.10.el5
Dependencies Resolved
============================================================================ =====================
Package Arch Version Repository Size
============================================================================ =====================
Removing:
kernel i686 2.6.18-128.1.10.el5 installed 40 M
kernel-devel i686 2.6.18-128.1.10.el5 installed 15 M
kernel-headers i386 2.6.18-128.1.10.el5 installed 2.1 M
Removing for dependencies:
apr-devel i386 1.2.7-11 installed 836 k
apr-util-devel i386 1.2.7-7.el5 installed 198 k
gcc i386 4.1.2-44.el5 installed 9.6 M
gcc-c++ i386 4.1.2-44.el5 installed 6.5 M
gcc-gfortran i386 4.1.2-44.el5 installed 6.9 M
glibc-devel i386 2.5-34 installed 4.6 M
glibc-headers i386 2.5-34 installed 2.0 M
httpd-devel i386 2.2.3-22.el5.centos.1 installed 514 k
mod_perl-devel i386 2.0.4-6.el5 installed 177 k
systemtap i386 0.7.2-3.el5_3 installed 3.0 M
Transaction Summary
============================================================================ =====================
Install 0 Package(s)
Update 0 Package(s)
Remove 13 Package(s)
Is this ok [y/N]:
Certas coisas não tem explicação. Mas para todas as outras existe o rpm -e --nodeps. :)
2009/7/15 Marcelo Gondim gondim@linuxinfo.com.br
Heheh e eu que pensei que não veria um problema desses no CentOS ou RedHat J rsrsrsrs logicamente que não confirmei.
yum remove kernel-devel-2.6.18-128.1.10.el5 kernel-2.6.18-128.1.10.el5 kernel-headers-2.6.18-128.1.10.el5
Dependencies Resolved
=================================================================================================
Package Arch Version Repository Size
=================================================================================================
Removing:
kernel i686 2.6.18-128.1.10.el5 installed 40 M
kernel-devel i686 2.6.18-128.1.10.el5 installed 15 M
kernel-headers i386 2.6.18-128.1.10.el5 installed 2.1 M
Removing for dependencies:
apr-devel i386 1.2.7-11 installed 836 k
apr-util-devel i386 1.2.7-7.el5 installed 198 k
gcc i386 4.1.2-44.el5 installed 9.6 M
gcc-c++ i386 4.1.2-44.el5 installed 6.5 M
gcc-gfortran i386 4.1.2-44.el5 installed 6.9 M
glibc-devel i386 2.5-34 installed 4.6 M
glibc-headers i386 2.5-34 installed 2.0 M
httpd-devel i386 2.2.3-22.el5.centos.1 installed 514 k
mod_perl-devel i386 2.0.4-6.el5 installed 177 k
systemtap i386 0.7.2-3.el5_3 installed 3.0 M
Transaction Summary
=================================================================================================
Install 0 Package(s)
Update 0 Package(s)
Remove 13 Package(s)
Is this ok [y/N]:
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
Oi,
On Wed, Jul 15, 2009 at 12:56, Marcelo Gondimgondim@linuxinfo.com.br wrote:
yum remove kernel-devel-2.6.18-128.1.10.el5 kernel-2.6.18-128.1.10.el5 kernel-headers-2.6.18-128.1.10.el5
Você não deve remover o pacote kernel-headers, esse pacote é instalado apenas uma vez (não uma vez para cada kernel) e é um pré-requisito para os pacotes de desenvolvimento (glibc-devel, gcc, etc.).
On Wed, Jul 15, 2009 at 13:08, Lucas Timm LHlinuxhelper@gmail.com wrote:
Mas para todas as outras existe o rpm -e --nodeps. :)
Péssimo conselho...
HTH, Filipe
Em Wed, 15 Jul 2009 13:56:45 -0300 "Marcelo Gondim" gondim@linuxinfo.com.br, conhecido consumidor de drogas (BigMac's com Coke) escreveu:
Heheh e eu que pensei que não veria um problema desses no CentOS ou RedHat J rsrsrsrs logicamente que não confirmei.
karaka gondim.. pensei que esse tipo de coisas só existisse na Debian.
esse tipo de coisa o que ? o sistema de pacotes funcionar ?
2009/7/15 irado furioso com tudo irado@bsd.com.br
Em Wed, 15 Jul 2009 13:56:45 -0300 "Marcelo Gondim" gondim@linuxinfo.com.br, conhecido consumidor de drogas (BigMac's com Coke) escreveu:
Heheh e eu que pensei que não veria um problema desses no CentOS ou RedHat J rsrsrsrs logicamente que não confirmei.
karaka gondim.. pensei que esse tipo de coisas só existisse na Debian.
-- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Coitado: está cego de paixão e, ainda por cima, é cego mesmo. _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
Olá, Eu estava esperando pra ver se minha dúvida era respondida, mas como não foi...
Eu não entendi esse tópico, alguém pode me explicar? As possibilidades: vcs queriam apagar o Kernel usando o YUM? Queriam q o CentOS avisasse q isso não é legal? A bronca é por ele remover tb as dependências? O Debian não deixa q tu apagues o Kernel? Enfim, deve ter mais gente na mesma situação q eu.
Abraços,
André Gugliotti Hydra Studio (54) 3282-8591 (11) 3717-3916 (Grande São Paulo) andre@hydrastudio.net MSN: fale@hydrastudio.net Skype: hydrastudio
Fabio Rampazzo Mathias escreveu:
esse tipo de coisa o que ? o sistema de pacotes funcionar ?
2009/7/15 irado furioso com tudo <irado@bsd.com.br mailto:irado@bsd.com.br>
Em Wed, 15 Jul 2009 13:56:45 -0300 "Marcelo Gondim" <gondim@linuxinfo.com.br <mailto:gondim@linuxinfo.com.br>>, conhecido consumidor de drogas (BigMac's com Coke) escreveu: > Heheh e eu que pensei que não veria um problema desses no CentOS ou > RedHat J rsrsrsrs logicamente que não confirmei. karaka gondim.. pensei que esse tipo de coisas só existisse na Debian. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Coitado: está cego de paixão e, ainda por cima, é cego mesmo. _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org <mailto:CentOS-pt-br@centos.org> http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
Em Fri, 17 Jul 2009 09:44:23 -0300 André Gugliotti - Hydra Studio andre@hydrastudio.net, conhecido consumidor de drogas (BigMac's com Coke) escreveu:
A bronca é por ele remover tb as dependências?
mais ou menos.. é que, conforme a solicitação original, pedia-se eliminação (ou coisa assim) dos headers do kernel. Com isso o yum, "espertíssimamente" propôs a retirada de outras coisas inúteis, como os compiladores.
eu havia visto isso na Debian (vc pede pra eliminar o exim e propôe remoção TAMBÉM do ssh)
então a idéia: o que tem a ver eu querer remover uma goiabeira do quintal e ter a proposta de remover, junto, o cavalete de água ou os portões da garagem? ou ainda, se quero tirar minhas luvas, não vejo necessidade de remover TAMBÉM os meus anulares.
de qualquer forma, o trédi tá esgotado, mudou demais o foco.
2009/7/17 irado furioso com tudo irado@bsd.com.br:
então a idéia: o que tem a ver eu querer remover uma goiabeira do quintal e ter a proposta de remover, junto, o cavalete de água ou os portões da garagem? ou ainda, se quero tirar minhas luvas, não vejo necessidade de remover TAMBÉM os meus anulares.
Péssima comparação. O que o "yum" vai propor é de remover software que não iria funcionar sem aquela dependência.
Por exemplo, se você quer escavar o jardim, mas tem uma árvore no meio, vai ter que retirar a árvore antes de escavar o jardim, não dá pra deixar a árvore lá sobre o nada. E se você quer cortar a sua mão fora, não vai ter utilidade pra luva, pode se livrar dela ao mesmo tempo... O que o "yum" fez foi apontar isso pra você, que se você for remover tal software, tais outros vão deixar de funcionar, então ele recomenda que, se você realmente quer continuar, deve desinstalá-los também.
Filipe
Só mais um comentário sobre essa questão do CentOS e seus repositórios...
A preocupação primeira do CentOS é a estabilidade, já q é um sistema para servidores. Daí, ele não incorpora nada q não esteja estável e suficientemente testado. Tanto é q (acho q não mudou de dias pra cá) o PHP dele é o 5.1 e deu. O Magento (e-commerce) só roda com o PHP 5.2 e mais uma série de requisitos. Tanto os meus servidores de produção, como o de testes usam o CentOS e bah, foi uma dificuldade pra conseguir conciliar via YUM, já q os repositórios oficiais não tinham e o repositório do Remy (famillecollet) não tinha a mesma versão do php-mcrypt q eu precisava. Eu vejo isso tb como uma proteção contra técnicos inexperientes, já q se tu não forçares a barra, certos pacotes com pouca rodagem não serão instalados.
Se por um lado isso é ruim e trabalhoso, por outro é a certeza de q os pacotes do sistema são confiáveis. Abraços,
André Gugliotti Hydra Studio (54) 3282-8591 (11) 3717-3916 (Grande São Paulo) andre@hydrastudio.net MSN: fale@hydrastudio.net Skype: hydrastudio
Olá André,
Na verdade o que achei estranho foi ele querer remover gcc e outros. Tanto estranho que nessa atualização que teve agora eles atualizaram o headers. Não sei se continua fazendo a mesma coisa, pois não testei depois dessa última atualização. Só vi isso porque eu tenho um Firewall que com o kernel mais atual eu tenho uns kernel panics muito doidos e com a versão mais antiga do kernel eu não tenho. Mandei mensagem no bugtraq do CentOS e tudo e não vi resposta ou comentário sobre esse problema. Logo minha solução foi deixar a versão antiga infelizmente. O que faço é sempre remover o kernel mais novo instalado e fazer o update, com isso o kernel mais recente é instalado e no rotate mantém meu kernel mais antigo é mantido. Quando fui remover o kernel, o devel e o headers do mais recente que eu havia instalado deu esse problema de dependência e aí excluí o headers e foi de boa. Outra coisa que tenho reparado são problemas de dependências entre rpmforge e o CentOS com relação à alguns pacotes. Tem vezes que na atualização algumas coisas quebram e aí tenho que instalar ou remover algum pacote manualmente. O mesmo também acontece com o repositório epel. Atualmente mesmo teve atualização do amavisd-new e na atualização não foi instalado o pacote perl-Mail-DKIM.noarch o resultado foi um senhor erro do Perl ao re-startar o amavis e o mesmo não levantou. Esses problemas eu tenho reparado constantemente e como o repositório oficial do CentOS não possui todas as aplicações que costumo usar em servidores de Correio e Web sou obrigado à usar os repositórios do rpmforge e epel. :) mas sinto que a qualidade e integração entre pacotes do rpmforge, epel e o repositório do CentOS não estão sempre legais. Eu ainda uso o yum-priorities e seto as prioridades dos repositórios.
De: centos-pt-br-bounces@centos.org [mailto:centos-pt-br-bounces@centos.org] Em nome de André Gugliotti - Hydra Studio Enviada em: sexta-feira, 17 de julho de 2009 09:44 Para: Portuguese (Brazilian) CentOS mailing list Assunto: Re: [CentOS-pt-br] Dependencias todos podem ter problemas :)
Olá, Eu estava esperando pra ver se minha dúvida era respondida, mas como não foi...
Eu não entendi esse tópico, alguém pode me explicar? As possibilidades: vcs queriam apagar o Kernel usando o YUM? Queriam q o CentOS avisasse q isso não é legal? A bronca é por ele remover tb as dependências? O Debian não deixa q tu apagues o Kernel? Enfim, deve ter mais gente na mesma situação q eu.
Abraços,
André Gugliotti Hydra Studio (54) 3282-8591 (11) 3717-3916 (Grande São Paulo) andre@hydrastudio.net MSN: fale@hydrastudio.net Skype: hydrastudio
Fabio Rampazzo Mathias escreveu:
esse tipo de coisa o que ? o sistema de pacotes funcionar ?
2009/7/15 irado furioso com tudo <irado@bsd.com.br mailto:irado@bsd.com.br>
Em Wed, 15 Jul 2009 13:56:45 -0300 "Marcelo Gondim" <gondim@linuxinfo.com.br <mailto:gondim@linuxinfo.com.br>>, conhecido consumidor de drogas (BigMac's com Coke) escreveu: > Heheh e eu que pensei que não veria um problema desses no CentOS ou > RedHat J rsrsrsrs logicamente que não confirmei. karaka gondim.. pensei que esse tipo de coisas só existisse na Debian. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Coitado: está cego de paixão e, ainda por cima, é cego mesmo. _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org <mailto:CentOS-pt-br@centos.org> http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
_______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
Olá,
2009/7/17 Marcelo Gondim gondim@linuxinfo.com.br:
Quando fui remover o kernel, o devel e o headers do mais recente que eu havia instalado deu esse problema de dependência [...]
O kernel-headers não deve ser desinstalado com o kernel e o kernel-devel, o pacote "kernel-headers" é diferente do pacote "kernel" em que existe apenas um pacote "kernel-headers" instalado enquanto que podem existir vários pacotes "kernel" instalados na máquina. A princípio não deveria haver nenhum problema em rodar um kernel mais antigo com um kernel-headers mais atual, na verdade o kernel-headers só vai ser utilisado para compilações, e é raro que vai haver uma diferença gritante entre duas versões dentro da mesma família (por exemplo, CentOS 5.2 e CentOS 5.3).
Se você realmente quer fazer o downgrade do pacote kernel-headers, você pode fazê-lo com o yum usando o plug-in "allowdowngrade" (ou algo parecido) ou só baixar o pacote antigo e instalá-lo com "rpm -Uvh --oldpackage" para fazer o downgrade. Isso não vai quebrar nenhuma dependência.
NUNCA USE --force OU --nodeps A MENOS QUE VOCÊ SAIBA O QUE ESTÁ FAZENDO, E MESMO QUE SAIBA, PROVAVELMENTE VAI ESTAR FAZENDO ALGUMA COISA ERRADA.
Não se esqueça, se você usar --force ou --nodeps e quebrar algo, você vai ter que se contentar em ficar com as peças do que quebrou... (If you break it you got to keep the pieces.)
coisa que tenho reparado são problemas de dependências entre rpmforge e o CentOS com relação à alguns pacotes.
O CentOS se preocupa em prover um repositório confiável sem problemas de dependências (embora como não se paga nada não tem garantia nenhuma), já o RPMforge não se preocupa com isso, e inclusive o próprio fundador Dag Wieers diz que pretende deixar pacotes com problema no repositório para ver se alguém vai arrumá-los quando encontrar o erro. Recentemente houve um upgrade em massa dos módulos Perl no RPMforge que deixou o repositório com problemas de dependências por vários dias (alguns provavelmente ainda existem). Para fazer as atualizações dos pacotes/repositórios que funcionam, é aconselhável usar a opção --skip-broken do yum (disponível no CentOS 5).
mas sinto que a qualidade e integração entre pacotes do rpmforge, epel e o repositório do CentOS não estão sempre legais.
RPMforge e EPEL normalmente não funcionam juntos, existem conflitos entre pacotes de um e de outro, e a maioria dos casos de problemas de dependências na lista do CentOS são causados pela mistura desses dois...
Eu ainda uso o yum-priorities e seto as prioridades dos repositórios.
Sim, isso é recomendável, porém não vai resolver 100% dos problemas entre esses dois repositórios.
HTH, Filipe
discuss-pt-br@lists.centos.org
-
André Gugliotti - Hydra Studio -
Fabio Rampazzo Mathias -
Filipe Brandenburger -
irado furioso com tudo -
Lucas Timm LH -
Marcelo Gondim -
Vitor Afonso Strabello