Чем отличается fedora workstation от fedora server и какие в ней могут быть неожиданности?

0

1

С удивлением увидел такую прикольную штуку:

$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml 
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Fedora Workstation</short>
  <description>Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
  <service name="samba-client"/>
  <port protocol="udp" port="1025-65535"/>
  <port protocol="tcp" port="1025-65535"/>
</zone>

Немного обалдел от такой безопасности. Это в Workstation по умолчанию, ага. Рядом лежит FedoraServer.xml, там всё нормально. Почитал листы рассылки, пишут, мол юзеры тупые, не смогут открыть порт, мы лучше сами им всё откроем.

Чего ещё для тупых юзеров в таком роде придумали в workstation? Есть ли где-то список отличий между server и workstation? Как минимум ещё одно отличие, которое я видел - в server выбирается xfs по умолчанию, в workstation - ext4, но это мелочь.

Ссылка

←	Установка на MacBookPro 2,2 c EFI32

Проблема с GRUB. (Kali Linux)

→

С удивлением увидел такую прикольную штуку:

продолжайте наблюдения.

ukr_unix_user ★★★★
(29.06.21 17:29:04 MSK)

Ссылка

Чего в этом плохого? Не понял

r0ck3r ★★★★★
(29.06.21 17:31:28 MSK)

в workstation - ext4, но это мелочь.

Да ладно, там выбирается Btrfs.

EXL ★★★★★
(29.06.21 17:31:45 MSK)

Чего ещё для тупых юзеров в таком роде придумали в workstation?

GNOME, Btrfs по умолчанию, куча ненужных сервисов Systemd, Pipewire.

~~Korchevatel~~ ★★★★★
(29.06.21 17:33:57 MSK)

Ссылка

Можешь сравнить kickstart

https://pagure.io/fedora-kickstarts/blob/main/f/fedora-disk-server.ks

https://pagure.io/fedora-kickstarts/blob/main/f/fedora-disk-workstation.ks

Ну и вот сюда глянуть

https://src.fedoraproject.org/rpms/fedora-release/blob/rawhide/f/fedora-release.spec#_735

alpha ★★★★★
(29.06.21 17:33:59 MSK)

Ссылка

Ответ на: комментарий от r0ck3r 29.06.21 17:31:28 MSK

1025+ порты открыты.

~~Legioner~~ ★★★★★
(29.06.21 17:37:08 MSK) автор топика

Ответ на: комментарий от EXL 29.06.21 17:31:45 MSK

Ну это если совсем по умолчанию оставить. Я разметку сам делаю, но всё равно когда создаю /, в разных инсталляторах выбирается разная ФС по умолчанию. Но это мелочь, повторюсь.

~~Legioner~~ ★★★★★
(29.06.21 17:41:04 MSK) автор топика

Ссылка

Ответ на: комментарий от Legioner 29.06.21 17:37:08 MSK

открытые порты вроде не такая уж и проблема, так как сервисы, работающие на этих портах, не должны пускать без авторизации

r0ck3r ★★★★★
(29.06.21 17:48:49 MSK)

Ответ на: комментарий от r0ck3r 29.06.21 17:48:49 MSK

Это не то, чтобы проблема, это неожиданность. Даже в винде порты закрыты, если не выбрать «доверенная сеть» в настройках адаптера. Я вообще не ожидал такой подставы, я привык, что порты в firewall-cmd по умолчанию всегда закрыты и мне в голову не приходило, что их могут по умолчанию открыть. По-моему это просто глупость.

А про авторизацию - с чего ты взял? Я могу пускать любой софт на своём компьютере. На этих портах обычно какой-то разрабатываемый софт запущен. Конечно надо на 127.0.0.1 биндить, это понятно, но всё равно полагаешься, что фаервол работает.

PS забавный пример: эклипс слушает на трёх портах. Ты на 100% уверен, что он там слушает и что туда ничего плохого не может прилететь? Я вот понятия не имею, зачем он на них слушает.

~~Legioner~~ ★★★★★
(29.06.21 17:53:06 MSK) автор топика
Последнее исправление: Legioner 29.06.21 18:02:09 MSK (всего исправлений: 1)

Ответ на: комментарий от Legioner 29.06.21 17:53:06 MSK

А ты не полагайся что за тебя всё настроили. И firewall-cmd лучше снеси (вместе с федорой), прописывай сам правила в ядерных таблицах, так всё прозрачнее.

Если прога слушает 0.0.0.0 значит она хочет быть доступной из инета, и будет доступной если ты явно ей не запретишь или не спрячешь за натом.

firkax ★★★★★
(29.06.21 18:07:21 MSK)

Ответ на: комментарий от firkax 29.06.21 18:07:21 MSK

А ты не полагайся что за тебя всё настроили.

А компиляй LFS читая сорсы, ага.

И firewall-cmd лучше снеси (вместе с федорой), прописывай сам правила в ядерных таблицах, так всё прозрачнее.

Я адаптируюсь к системе. В дебиане так и делаю. В федоре положено использовать firewall-cmd.

Если прога слушает 0.0.0.0 значит она хочет быть доступной из инета

Нет, ей просто пофиг.

и будет доступной если ты явно ей не запретишь или не спрячешь за натом.

Нет, если система настроена адекватно, то она доступной из инета не будет, пока я не разрешу подключения в фаерволе компьютера, в фаерволе роутера и не прокину порты. Каждый пункт здесь важен.

~~Legioner~~ ★★★★★
(29.06.21 18:24:56 MSK) автор топика

Ссылка

А зачем в воркстейшен редакции закрывать порты по умолчанию? Компьютер в офисе стоит в сетке, которая настраивается как надо соответствующим специалистом.

Princesska ★★★★
(29.06.21 18:30:31 MSK)

Ссылка

В общем копал-копал, примерно так выходит.

Тип установки определяется пакетом вида fedora-release-identity-xxx. Он устанавливает файл /usr/lib/os-release, а, например, postinstall-скрипт firewalld уже по этому файлу определяет, какой тип, и прописывает тот или иной симлинк.

~~Legioner~~ ★★★★★
(29.06.21 19:22:22 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Установка на MacBookPro 2,2 c EFI32

General

Проблема с GRUB. (Kali Linux)

→

Похожие темы