[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Генератор правил файрвола

Pavel V. Rochnyack -> debian-russian@lists.debian.org  @ Thu, 05 Jun 2008 17:21:59 +0700:

 >> Ты, кстати, не поверишь, но штатный способ отключения и смены периода
 >> ротации у savelog вполне себе есть.  Стандартнее, что называется, не
 >> бывает.  Имеется, в отличие от logrotate, в базовой поставке любого
 >> юникса, и не специфичен для ротации логов.
 >>   
 PVR> Было бы интересно узнать этот штатный способ отключения или смены периода
 PVR> ротации.
 PVR> Неужели переписывание скриптов ?

man crontab.

 >>  PVR> А качество как раз определяется мелочами. Удобством  и продуманностью до
 >>  PVR> мелочей.
 >>
 >> Кстати, в частности.  Вот ты, ратуя за ротацию сислогов логротейтом, все
 >> мелочи продумал?
 >>   
 PVR> logrotate в отличие от  того, что идет  в комплекте sysklogd,  конфигурабелен.
 PVR> Каждый пакет может поставить его себе в требования и положить соответствующий
 PVR> файлик в /etc/logrotate.d
 PVR> Каждый админ сможет поправить конфиг на своей системе под свои нужды, если
 PVR> таковые возникнут.

А если он в /etc/cron.daily - так его поправить уже и неспортивно?  Вот
видно же, что нет, не продумал ни одной мелочи...

 >>  PVR> Это нужно исправлять.
 >>
 >> У юниксовых сисадминов есть очень хорошее правило.  "Не сломалось - не чини."
 >>   
 PVR> Я не про технические исправления, а про общую концепцию.

Я тоже.  Впрочем, как тут уже кто-то заметил, ты и несломанное-то не
оттуда чинить начинаешь.  Если уж тебе сразу счастья хочется, так сразу
ставь syslog-ng.  У него и logrotate в Recommends, и сам он
конфигурируется куда развесистей.

 >> ) можно было бы и вручную десяток команд запустить.  Дело в том, что они
 >> _сложные_.  Поэтому усилия разработчика по их универсальному решению
 >> окупаются.  А усилия по универсальному решению задачи, которая решается
 >> в одну строчку на шелле, и про которую существует пять только
 >> распространенных мнений по поводу того, куда эту строчку вписать - нет.
 >> Каждый сам впишет туда, где ему больше нравится.
 >>
 PVR> Ага, и мы видим кучи наборов для конфигурирования файрволла через кучу
 PVR> различных промежуточных языков.
 PVR> (именно конфигураторы через промежуточные языки, обратите внимание)

Ну, если кому-то так удобнее?  Free software.  Нравится - пользуйся, не
нравится - не пользуйся.  У меня вон на старом сервере файрвол из
/etc/init.d/networking поднимается.  До вызова ifup.

А если у кого действительно сложные правила файрвола, то ему вынужденно
придется пользоваться промежуточным языком.  Правда, в отличие от ferm,
промежуточным языком более высокого уровня.  И скорее всего - общего
назначения, а не языком конфигуратора.  Просто потому что иначе оно
неуправляемым станет.  А неуправляемый файрвол - это, я вам скажу...  Я
это видел.

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

Если ничто уже не помогает, прочтите же, наконец, инструкцию!
Reply to: