Features
Версия от 11:50, 14 февраля 2012; MichaelShigorin (обсуждение | вклад) (→server/security: +PIE/FORTIFY_SOURCE)
Особенности ALT Linux
Здесь предлагается публиковать заметки об особенностях уже выпущенных дистрибутивов ALT Linux (и нестабильной ветки Sisyphus — из неё рождаться следующему дистрибутиву).
Крайне рекомендуется рядом с каждым пунктом списка особенностей указывать список версий дистрибутивов, в которых эти особенности замечены.
Принятые сокращения
- ALS — ALT Linux Server
- ALD — ALT Linux Desktop
- ALJ — ALT Linux Junior
- ALC — ALT Linux Compact
- ALM — ALT Linux Master
Далее может следовать номер версии. Например, ALM2.4 — ALT Linux 2.4 Master. Привязки по времени можно посмотреть здесь.
Также используется сокращённое обозначение веток Mxx — например, M40 для ветки 4.0.
Не помеченное, как правило, относится ко всем дистрибутивам ALT Linux («издревле»).
Особенности
общего плана
- Обширное русскоязычное сообщество
- Существенно доработанный RPM — изначально
- Адаптированный вариант apt-get как высокоуровневое средство управления пакетами — Spring 2001+
- Несколько вариантов ядер
- Сборка пакетов из git-репозиториев в hasher
- Система alternatives родом из Debian
- Инитскрипты с использованием start-stop-daemon (из Owl, в оригинале из Debian) — ALC2.3+
- Аккуратная разбивка софта на подпакеты вместо крупнопанельной а-ля Red Hat, более строгие зависимости
- Отличное качество сборки многих пакетов[1] (патчи, дефолтные конфиги, readme, локализация)
- Мощная модульная система управления настройками системы Alterator — ALC3.0+
- На основе бранчей и репозитория Sisyphus возможна сборка собственных специализированных дистрибутивов и LiveCD/LiveFlash; все инструменты (spt, mkimage) для их создания открыты.
- Неплохая безопасность и вирусоустойчивость текущих дистрибутивов.
server/security
- Пакеты собраны с PIE и FORTIFY_SOURCE=2; при сборке доступны strlcat(3) и strlcpy(3) — M40+
- Сервисы в chroot с широким применением разделения/понижения привилегий (privsep)
- Отключение core-файлов
- Сервисы по умолчанию обычно отключены и/или слушают на 127.0.0.1
- Поддержка системы виртуализации OpenVZ «из коробки» — ALS4.0
- tcb(5) вместо shadow (пароли в /etc/tcb/, см. тж. пакет tcb-utils) — ALM2.0+
- etcnet в качестве современного iproute2-based средства управления сетевыми интерфейсами — ALC3.0+
- sshd по умолчанию сконфигурирован не пускать обобщённого root — издревле; в M40+ — пускает, но по ключу
- OpenWall/altsec-патч в ядре — ALM2.0+; отсутствует в M40
- sudo использует фиксированный PATH, включающий /sbin и /usr/sbin[2]. — ALM2.4+
- control(8) обеспечивает контроль для доступа к различным системным сервисам; это штатный способ системно управлять SUID/SGID-битами на бинарниках из пакетов с сохранением такого состояния при обновлении.[3]. — ALM2.4+
О команде
YAS> Впрочем, я уже понял, что в YAS> определённый момент перед пользователем ALT встаёт выбор -- менять YAS> дистрибутив или становиться мантейнером. Я бы сформулировал это немного по другому ... В определенный момент времени, когда пользователи других дистрибутивов начинают думать о замене дистрибутива, пользователи ALT приходят к осознанию необходимости что-либо собирать и пересобирать из исходников. Если у них это получается, и их труд нужен не только им, они становятся маинтейнерами ... И действительно, лучше дополнить ALT, чем каждый раз искать дистр, в котором есть то, что вам нужно... И потом материться, из-за того, что в неком дистре есть то, чего не было в предыдущем, но нет того, что было ... Сперва "сам себе режисер"... А потом и другим помощь :)
Dmitriy L. Kruglikov в community@
Главное, что следует понять мантейнеру ALT Linux Team - что он не сам по себе, а участник команды. Не надо стесняться обращаться за помощью, если в чем-то не можешь разобраться или не уверен.
damir@ в devel@
Ссылки
- В Википедии и Wikipedia
- Сравнение дистрибутивов Linux
- ALT Linux на ohloh.net
- Международные проекты на старом сайте
Сравнения с другими дистрибутивами
Примечания
- ↑ Пояснение по части качества
- ↑ Например, работает sudo ifconfig
- ↑ К примеру, чтобы разрешить всем вызывать su, можно дать команду control su public