私が尋ねずにDebianに自動的にネットワークサービスをインストールさせる方法について私が見逃したかもしれない賢明なアドバイスはありますか?
私はDebianベースのディストリビューションを使用しており、ネットワークサービスをインストールするとアクティブになり、すぐに起動します。特に私は現在Debian 9(stretch)を使用しています。
openssh-server
これは処理するのが難しいです。サーバーの実行を防ぐために特別なフックを追加しました。しかし、誰がそうであっても、残りのDebianは問題を完全に解決するように説得できないようです。例えば
- この問題は以下で議論された。Debian ユーザー。残念ながら、競争条件はまだ解決されていません。 Debian 管理者は、パッケージからコールを
policy-rc.d
ブロックするように設定することをお勧めします。かさばるものもあります。invoke-rc.d ssh start
postinstall
詳細、しかしそれは達成することができる。残念ながらそうではありません。競合状態を防ぎません。パッケージが実行するコマンドとは何の関係もありませんpolicy-rc.d
。update-rc.d ssh enable
これは、間違った時間に停電やシステムのクラッシュが発生する可能性があります。
この質問を提起する例はicinga2
whichRecommendedですmonitoring-plugins
。
たとえば、monitoring-plugins-standard
間接的な推奨事項がありますicinga-common-1.13.4-2
。あるいはcheck_dig
、意図的にインストールすることもできます。
その結果、インストールは私が信じた後でもインストールされmonitoring-plugins-standard
アクティブになります。rpcbind
rpcbind
Debian は、デフォルトのインストールからネットワーキング サービスを削除するために意図的に変更します。、結局Ubuntuの足跡に従います。
依存関係でインストールされたパッケージのリストを見ても、「rpcbind」は追加のネットワークサービスとは言えません。
私はまた、この特別な状況が修正可能なバグと見なされるべきかどうか疑問に思います。
# apt install monitoring-plugins
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following additional packages will be installed:
libnet-snmp-perl libradcli4 libtirpc1 monitoring-plugins-standard rpcbind
Suggested packages:
libcrypt-des-perl nagios-plugins-contrib qstat
The following NEW packages will be installed:
libnet-snmp-perl libradcli4 libtirpc1 monitoring-plugins monitoring-plugins-standard rpcbind
0 upgraded, 6 newly installed, 0 to remove and 0 not upgraded.
Need to get 432 kB of archives.
After this operation, 1,901 kB of additional disk space will be used.
Do you want to continue? [Y/n]
...
# systemctl status rpcbind
● rpcbind.service - RPC bind portmap service
Loaded: loaded (/lib/systemd/system/rpcbind.service; enabled; vendor preset: enabled)
Active: active (running) since Fri 2018-05-04 20:44:39 BST; 49s ago
Docs: man:rpcbind(8)
Main PID: 20930 (rpcbind)
Tasks: 1 (limit: 4915)
CGroup: /system.slice/rpcbind.service
└─20930 /sbin/rpcbind -f -w
May 04 20:44:39 brick systemd[1]: Starting RPC bind portmap service...
May 04 20:44:39 brick systemd[1]: Started RPC bind portmap service.
完全な公開:monitoring-plugins-standard
「一部のスクリプトは機能するためにはより多くのパッケージをインストールする必要があり、これは推奨事項に従って実装されています」と言い、monitoring-plugins-basic
「このパッケージは最小限の外部依存性を持つデフォルトのプラグインセットを提供します」
答え1
私は何百ものDebianサーバー(大規模ではありません)で構成されたネットワークを設定して維持します。
私はJumpbox VMを使用していますが、1日間席を空けてそこで何かを実行したり、自動化された管理タスクを設定したりできるので便利です。
そこで私は自動化されたスクリプトとAnsibleを実行し、管理者のためにRundeckを実行します。
rpcbind
特に有害なものだと思い出したら、システムアップデートで再び登場しました。カーネルアップデートで頻繁に発生するもう1つの問題は、firmware-linux-free
VmWare仮想マシンにカーネルアップデートが必要ないことです。また、複数のsystemd関連パッケージを-1に固定しましたが、-1に変更しても、複数のメジャーバージョンのアップグレードで再表示されるのを防ぎません。
これを制御するためにAnsibleポリシーを使用しますが、rpcbind
パッケージを-1に固定することはできません。
しかし、各サーバーのパッケージをrpcbind
-1に固定しても問題は解決しないと確信しています。 Debian は時間が経つにつれてますます複雑になりました。努力したことを誓うことができますが、確かではありません。
職場外で緊急に作業する必要がある場合や、携帯電話で何度も作業する必要がある場合は、VPN + sshを介してJumpboxにアクセスできることも便利です。興味深いことに、私は1日間のAWSカンファレンスの間に一度は電話で小さな緊急介入をしました。
ジャンプボックスの使用に強く反対している場合は、ラップトップ/ビジネス用コンピュータでいつでもスクリプト+ Ansibleを実行できます。 Ansibleは、クライアントVMにエージェントを必要としません。
他の訪問者からの関連質問: PowerShellの「一対多」リモート機能に対応するLinux