Administrace komentářů

To ale už hodně překrucuješ. Výtka ohledně init systému se týkala Ubuntu, které míchá dohromady instalaci balíčku, povolení služby při spuštění systému a explicitní spuštění služby. Místo tří odlišných úkonů (a jejich protikladů) má jenom jeden pár úkonů. To je nebezpečné, protože uživatel instalující Apache nemusí ani náhodou chtít, aby mu ten Apache někde otevřel nějaký port a začal něco dělat. Dokonce to nechce ve většině případů, řekl bych. Chce si napřed jen nainstalovat balíček, tweaknout trochu konfiguraci (nebo ji přenést odjinud), pak teprve službu párkrát explicitně spustit a zastavit a po čase třeba (až vše funguje, jak má) povolit spouštění té služby při startu. Přesně tohle Ubuntu nedovede a jakýkoliv zastaralý balíček, který si nainstaluju, se mi bude spouštět a klidně může začít poslouchat na síti. (Implicitně možná jenom na localhostu, tedy pokud na daném stroji nejsou zapomenuté nějaké starší konfiguráky, ale ani tohle přece nemusím nutně chtít.) Než tady zase někdo začne kázat o spáse v podobě firewallu, rád bych připomněl, že zabezpečení by mělo mít víc vrstev a nemělo by se v žádném okamžiku spoléhat na jednu jedinou. Ano, firewall je v pořádku. Ale firewall plus žádné nechtěné služby je přece jen o stupínek lepší. (AppArmor taktéž přispívá svou vrstvou, pravda, ale ve srovnání se SELinuxem na Fedoře je to takový slabší odvar.) Nejvtipnější je, když některé balíčky dovedou přidat výjimky do pravidel firewallu, zcela automaticky. To pak celý slavný (a u některých distribucí téměř povinný) firewall najednou ztrácí smysl.

Zpět k Debianu. O init systému Debianu jsem se nikdy nijak moc nevyjadřoval, protože o skriptech z roku 1990 už bylo řečeno asi tak vše. Zkrátka no comment. No a nedávný přechod na systemd (s asi tak čtyřletým zpožděním za okolním světem) je něco, co mě nijak zásadně nepřekvapuje a co jsem rovněž nikde nekritizoval. Jen jsem se v jednom vlákně pousmál nad žabomyšími válkami mezi různými frakcemi v „komunitě“ kolem Debianu a podotkl jsem, že například Arch víc než rok podporoval možnost volby mezi init skripty a systemd (čímž se uživatelům i celé distribuci jako takové otevřelo dost dlouhé časové okno k vyzkoušení a zhodnocení systemd) a že ještě i poté měl systemd v Archu zajištěnou zpětnou kompatibilitu s init skripty a dokázal tedy spouštět i služby z dosud neaktualizovaných balíčků, které měly pouze init skripty. Proto jsem se poškleboval některým výrokům ohledně šílené apokalypsy, nutnosti okamžitě konvertovat tisíce balíčků a tak dále a tak podobně. Řekl bych na to: Ale no tak, pánové, podívejte se, jak to už dávno vyřešily jiné distribuce, a zkuste si z toho vzít ponaučení.