Alpine Linux의 설계 목표는 대부분의 Linux 사용자의 요구를 충족할 수 있는 안전하고 가벼운 배포판을 제공하는 것입니다. musl 및 BusyBox를 기반으로 합니다. 오늘 알파인 리눅스 3.2.1이 기사에서는 이 Linux 배포판의 주목할만한 기능과 이 최신 릴리스의 설치 프로세스를 검토할 것입니다.

Alpine Linux는 매우 가벼운 Linux 배포판으로, 전체 설치 프로그램 패키지는 약 300MB에 불과하며 매우 적은 양의 컴퓨터 리소스를 소비합니다. 이상적으로는 작고 빠른 Linux 운영 체제입니다. 새 패키지 설치를 위한 자체 패키지 관리자가 함께 제공됩니다. APK로 알려져 있습니다. 이는 OpenRC 초기화 시스템을 사용하며 이 배포판을 위해 패키지가 컴파일되는 방식으로 운영 체제에 추가 보안 계층을 추가합니다.

다음은 릴리즈 노트 이 새 버전의 경우. 여기에는 보안 및 Musl과 관련된 많은 버그 수정이 포함되어 있습니다.

알파인 리눅스 3.2.1 설치

Alpine에는 대부분의 다른 Linux 배포판처럼 풍부한 그래픽 설치 프로그램이 없으며 텍스트 기반 설치 프로그램이 있지만 Alpine Linux를 사용하고 설치하는 것은 매우 쉽습니다.

이 OS 설치를 시작하는 방법에는 여러 가지가 있습니다.

(a)다운로드 알파인 리눅스 3.2.1 DVD/USB 드라이브에 굽고 이 DVD/USB를 사용하여 시스템을 부팅합니다.

(b) 다음과 같은 도구를 사용하여 현재 운영 체제에 가상 머신을 생성하고 이 운영 체제의 ISO를 사용하여 가상 머신을 부팅합니다.

어떤 방법을 선택하든 이 ISO를 사용하여 시스템을 부팅할 때 표시되는 첫 번째 화면은 다음과 같습니다.

여기서는 "root"를 입력하고 Enter를 누르십시오. 이 운영 체제의 명령줄로 이동합니다. 이 운영 체제의 설치를 시작하려면 여기에서 다음 명령을 실행하십시오.

설치 프로세스가 즉시 시작됩니다. 첫 번째 단계에서 키보드 레이아웃을 지정할 수 있습니다.

완료되면 Enter를 누르고 다음 단계에서 컴퓨터 호스트 이름을 입력하고 Enter를 누르십시오.

다음 단계에서 컴퓨터에 대한 이더넷 인터페이스를 지정하십시오.

여기서는 새 설치에 대한 루트 비밀번호를 설정할 수 있으며 비밀번호를 두 번 입력합니다.

이 단계에서 시간대를 선택하세요. 기본 선택을 유지하려면 Enter 키를 누르세요.

인터넷 검색에 프록시를 사용하는 경우 여기에서 지정하세요.

이제 패키지 관리자로 미러를 선택하고 가까운 위치를 지정하면 패키지 관리자가 시스템에서 더 빠르게 작동합니다.

이 설치를 수행할 하드 디스크를 선택하십시오.

이제 설치를 완료하는 데 몇 분이 걸립니다. 완료되면 시스템을 재부팅하고 새로운 Alpine 릴리스를 사용하십시오.

결론

아시다시피 새 릴리스는 버그 수정 및 보안 강화에 중점을 두고 있습니다. 리소스가 제한된 기존 컴퓨터에서 실행하기에 적합한 운영 체제입니다. 새 릴리스의 설치 프로그램은 32비트 및 64비트 아키텍처 모두에서 사용할 수 있습니다. 크기가 88MB에 불과한 "최소" 설치 패키지를 사용해 볼 수도 있습니다.

팔로우하고 좋아요를 눌러주세요:

Alpine Linux는 사용자 보안에 초점을 맞춘 가장 컴팩트하고 하드웨어가 가벼운 Linux 배포판 중 하나입니다. 많은 임베디드 시스템에서 흔히 볼 수 있습니다. Alpine Linux는 배포판에 중복 기능이 부담되지 않으면서 동시에 널리 사용되는 그래픽 환경의 설치를 지원하므로 컨테이너 생성, 서버 구성 또는 Linux 기본 학습과 같은 작업에 적합합니다.
배포판은 GNU coreutils 대신 BusyBox를 기반으로 합니다. Alpine은 최대한 효율적이고 유용하면서도 최소한의 기능으로 작업하기 위한 단순화된 옵션을 찾는 사용자에게 좋은 선택이 될 것입니다.

• 쉘 크기에 유익한 영향을 미치는 소수의 기본 구성 요소 - 커널이 없으면 기본 시스템의 무게는 약 5MB에 불과합니다.
• 콘솔 유틸리티를 통한 빠르고 쉬운 설치;
• 사용자가 편리한 시스템 구성 설정;
• 배포판은 최신 버전의 커널을 사용하며 시스템 보안을 강화하는 패치를 적용하는 기능도 제공합니다. 스택 오버플로 보호도 구현됩니다.

Alpine Linux에는 편안한 사용자 작업에 필요한 대부분의 패키지도 포함되어 있습니다. 여기에는 아직 포팅되지 않은 KDE를 제외한 GNOME, Firefox 및 기타 여러 가지가 포함됩니다. 배포판의 핵심에는 악용으로부터 보호하는 데 도움이 되는 grsec 및 PaX 패치가 내장되어 있습니다.

알파인 리눅스 다운로드 링크:

이름	버전	비트 심도	영상	크기	링크
알파인 익스텐디드	3.8.2	64비트	ISO	369MB	다운로드
알파인 익스텐디드	3.8.2	32비트	ISO	355MB	다운로드
알파인 스탠다드	3.8.2	64비트	ISO	104MB

간단한 3단계로 설치 빠른 시작

설치 핸드북

Alpine은 부팅할 수도 있고 안 할 수도 있습니다. 그냥 사용하세요. Alpine Linux 설치 프로세스는 매우 유연하여 실제로 다른 손상된 Linux 내에서 부팅할 수 있습니다. 모든 시스템에 설치를 위해 DVD 디스크나 USB가 필요하다고 생각하시나요? 하지만 Alpine에서는 DVD 디스크가 필요하지 않을 수도 있습니다., 전화 메모리에서도 부팅할 수 있을 정도로 많습니다. 확실히 더 정교할수록 더 복잡하고 더 많은 방법.

시스템의 적절한 설정이 필요하지만 집과 직장에 모든 생태계를 배포하는 경우.. 유일한 컴퓨터에... 메인 시스템(또는 병렬 시스템?)을 설정하려면 적절한 가이드가 필요합니다. ).

모든 Linux 설치와 마찬가지로 Alpine은 외부 장치(CD/DVD, USB 드라이브 등)에서 부팅하여 프로세스를 시작합니다.

Alpine은 Linux 커널을 사용하므로 최소한의 시스템을 초기화하기 위한 정보 수집 단계를 시작하면 setup-alpine이 파일을 복사하게 됩니다. 속성 설치를 진행하기 전에 시작된 이 최소 시스템은 원본 매체에서 시작된 디스크 없는 모드입니다.

설치 후 단계에서는 루트 암호를 선택하고 최종적으로 새로 설치된 시스템을 부팅하는 방법을 제공합니다.

알파인 시스템의 실행 모드 개요

알파인은 다음 중 어느 곳에서나 사용할 수 있습니다. 세 가지 모드가 설치 프로세스를 존중했습니다.:

디스크 없는 모드

설치 CD, USB 드라이브 또는 컴팩트 플래시 카드와 같은 읽기 전용 매체에서 부팅합니다.

팁: USB 또는 컴팩트 플래시 카드를 준비하려면 setup-bootable 스크립트를 사용할 수 있습니다. 자세한 내용은 위에 링크된 페이지를 참조하세요.

이 모드는 데스크탑, 개발 박스 및 가상 서버에 사용될 수 있습니다.

추가 문서

설치 후

• 패키지 관리(apk) (Alpine에서 패키지를 추가/제거하는 방법)
• 알파인 로컬 백업(lbu) (박스를 재부팅해야 할 경우를 대비해 수정 사항을 영구적으로 저장하세요)

알파인 리눅스사용자에게 서버 중심의 안전한 컴퓨팅 환경을 제공하는 오픈 소스 Linux 기반 운영 체제입니다. Busybox 및 musl 패키지를 기반으로 하는 가볍고 작고 간단한 Linux 배포판입니다.

여러 출판물에 배포됨

이 프로젝트는 여러 에디션으로 배포되며 각 에디션에는 고유한 목표와 능력이 있습니다. 메인 에디션은 가장 일반적으로 사용되는 패키지 중 일부를 포함하고 RAM(시스템 메모리)에서 직접 실행되는 서버 및 라우터를 대상으로 하는 Alpine Linux Standard라고 합니다. 두 번째 버전은 Alpine Linux Mini라고 하며 실제로는 Alpine Linux Standard의 최소 버전입니다. 일부 기본 패키지와 함께 제공되며 네트워크에서 운영 체제를 설치하는 데 사용할 수 있습니다.

세 번째 버전은 Alpine Linux VServer라고 하며 Vserver 호스트 패키지만 포함합니다. 네트워크 전문가는 이 알파인 기능을 사용하여 RAM에서 직접 실행되는 VServer 호스트를 배포할 수 있습니다. 로컬 드라이브에 설치할 수도 있습니다. 마지막으로 Alpine Linux Xen 버전은 사용자에게 Xen Dom0 Live CD 및 Xen 패키지를 제공합니다. 64비트 하드웨어 플랫폼에서만 지원됩니다.

32비트 및 64비트 아키텍처 지원

언급한 대로 이 프로젝트는 사용자에게 Live CD ISO 이미지로 배포된 여러 릴리스를 제공하고 32비트 및 64비트 아키텍처를 모두 지원합니다. Alpine Linux의 네트워크 구성은 Debian과 유사하지만 이전에 BusyBox 기반 운영 체제를 사용해 본 사용자는 이 배포판을 실행해서는 안 됩니다.

Alpine Linux 개발자는 운영 체제가 다른 운영 체제와 마찬가지로 작동하도록 BusyBox를 여러 가지 개선했습니다. 그래픽 환경이 없다는 점을 명심하십시오.

결론

자체 서버나 라우터, VServer 호스트, Xen 널 도메인 환경을 배포하는 데 이를 사용하든 Alpine이 도움을 드립니다. 또한 기능이 풍부한 ownCloud 서버를 배포하는 데에도 사용할 수 있습니다.

새로운 소식이 버전에서는:

• 모든 아키텍처에 대한 Netboot 지원
• arm64(aarch64) Raspberry Pi 이미지 추가
• Raspberry Pi 3 Model B+에 대한 지원 추가
• s390x에서 ISO 이미지 지원(KVM 설치)
• 강화 커널 지원 종료(비공식 Grsecurity)
• 크리스탈 언어 지원
• 중요한 업데이트:
• 리눅스 4.14
• 1.10으로 이동
• Node.js 8.11(LTS)
• 러스트 1.26
• 루비 2.5
• PHP 7.2
• GHC 8.4
• OCaml 4.06
• R 3.5
• JRuby 9.2

새로운 소식버전 3.7.0:

• 새로운 패키지의 새로운 기능과 참고 사항:
• EFI 지원;
• GRUB 부트 로더에 대한 설치 프로그램 지원
• 주요 업데이트:
• GCC 6.4
• LLVM 5.0
• 1.9로 이동
• Node.js 8.9(LTS)
• 펄 5.26
• 포스트그레SQL 10
• 러스트 1.22

새로운 소식버전 3.6.2:

• 이것은 linux-4.9.30 커널을 기반으로 하는 multii v3.6용 패치 버전이며 수정 사항이 포함되어 있습니다.

새로운 소식버전 3.5.2:

• 이것은 linux-4.4.52 커널을 기반으로 하는 multii v3.5용 패치 버전이며 수정 사항이 포함되어 있습니다.

새로운 소식버전 3.5.1:

• 루트로 ZFS 지원
• 삼바 4.5.3
• GTK+ 3.0 3.22.5
• 글립 2.50.2
• R, JRuby 및 OCaml 지원
• 향상된 Python3 지원
• xorg-서버 1.18.4
• 리브레오피스 5.2.3.3

새로운 소식버전 3.5.0:

• OpenSSL에서 LibreSSL로 전환
• aarch64 지원(uboot만 해당)
• 루트로 ZFS 지원
• PostgreSQL을 9.6.x로 업데이트합니다. 업그레이드 지침은 PostgreSQL 설명서를 참조하세요.
• 삼바 4.5.3
• GTK+ 3.0 3.22.5
• 글립 2.50.2
• R, JRuby 및 OCaml 지원
• 향상된 Python3 지원
• nodejs 패키지의 이름이 nodejs-current로 변경되었으며 커뮤니티 저장소로 이동되었습니다. nodejs-lts 패키지의 이름이 nodejs로 변경되었습니다. 이는 add nodejs apk를 사용하면 LTS 버전을 얻게 된다는 의미입니다.
• 버전 3.5에서 업데이트된 데스크톱 애플리케이션은 다음과 같습니다.
• xorg-서버 1.18.4
• 리브레오피스 5.2.3.3

새로운 소식버전 3.4.6:

• 이는 linux-4.4.30 커널을 기반으로 하는 musl 기반 패치 버전 v3.4이며 커널에 대한 중요한 보안 수정 사항이 포함되어 있습니다.

새로운 소식버전 3.4.5:

• 이는 linux-4.4.27 커널을 기반으로 하는 musl 기반 패치 버전 v3.4이며 커널 및 musl libc에 대한 중요한 보안 수정 사항이 포함되어 있습니다.

새로운 소식버전 3.4.4:

• 이것은 linux-4.4.22 커널을 기반으로 하는 Cartoon Branch v3.4의 패치 버전입니다.

새로운 소식버전 3.4.3:

• 이는 linux-4.4.17 커널을 기반으로 하는 musl 기반 v3.4 브랜치에서 릴리스된 핫픽스입니다.

새로운 소식버전 3.4.1:

• 바르틀로미에 피오트로프스키 (2):
• 메인/nginx: 1.10.1로 업데이트(CVE-2016-4450)
• main/nginx-lua: 삭제, main/nginx와 병합
• 카를로 랜드미터(1):
• Community/claws-mail: 재구축 대 libetpan
• 프란체스코 콜리스타(1):
• main/libnet: 올바르게 감지되도록 고정된 링크 계층 방법
• 야쿠브 지루트카 (4):
• travis: 이메일 알림 비활성화
• main/qemu-openrc: 0.4.1로 업데이트
• main/qemu: qemu-bridge-helper 및 qemu 그룹 gid에 대한 chown/chmod 수정
• main/busybox-initscripts: tun/tap 수정, 그룹을 netdev로 변경
• 칼레 리트바넨(2):
• 메인/zabbix: 3.0.3으로 업데이트
• main/py-django: 1.8.12로 업데이트
• 레오나르도 아레나 (7):
• main/owncloud: 연락처를 0.0.0.91로 업데이트합니다. 수정 #5702
• main/php5-pear-auth_sasl: 새 포트
• main/roundcubemail: 수정 사항은 상황에 따라 다름
• main/roundcubemail: 오타 수정
• main/vlc: 버전 2.2.4(CVE-2016-5108)로 보안 업데이트. 수정 #5715
• Community/drupal7: 7.44로 보안 업데이트. 수정 #5746
• main/xen: 4.6.3으로 보안 업데이트. 수정 #5775
• 나타나엘 코파 (50):
• main/lighttpd: 패치 그룹을 생성합니다.
• main/mariadb: 서버 라이브러리용 libs 하위 패키지 추가
• main/syslinux: gcc5에 대한 업스트림 수정 사항 추가
• main/syslinux: gcc5 패치 수정
• main/mariadb: mysql_config를 -dev로 이동합니다.
• Community/openjdk8: libjli.so를 jre-base와 함께 제공
• 커뮤니티/도커: 모든 아치 활성화
• main/mkinitfs: 3.0.5로 업데이트
• main/alpine-baselayout: 종료 시 경고 수정
• main/busybox-initscripts: udhcpcd에서 비활성화된 게이트웨이 및 DNS를 지원합니다.
• main/xen: Linux hvm에서 xorg segfaul 수정
• main/util-linux: 홈페이지 URL 수정
• main/util-linux: 백포트용 libblkid cdrom 패치
• main/musl: getaddrinfo에 대한 오류 반환 코드 수정
• main/alpine-conf: 3.4.1로 업데이트
• 커뮤니티/동기화: 0.13.6으로 업데이트
• main/djbdns: 소스에서 사전 설정 제거
• main/gnats: 소스 목록에서 사전 설정 제거
• main/openssl: CVE-2016-2177, CVE-2016-2178에 대한 보안 수정 사항
• 메인/외국인: CVE-2016-0718에 대해 재구축
• main/busybox: df 크기 보고서 수정
• main/mkinitfs: ttyMFD/ttyUSB 직렬 콘솔을 수정하고 115200 속도를 사용합니다.
• 커뮤니티/firefox-esr: 45.2.0으로 업데이트
• main/jansson: CVE-2016-4425에 대한 보안 수정 사항
• main/bkeymap: 콜막 키보드 추가
• main/linux-grsec: sysctl syscall 지원 제거
• 메인/linux-grsec: 4.4.13으로 업데이트
• main/dahdi-linux-grsec: 커널 4.4.13-r0에 대해 재구축
• main/linux-vanilla: sysctl syscall 비활성화
• main/devicemaster-linux-grsec: 커널 4.4.13-r0에 대해 재구축
• main/drbd9-grsec: 커널 4.4.13-r0에 대해 재구축
• main/ipfw-grsec: 커널 4.4.13-r0에 대해 재구축
• main/open-vm-tools-grsec: 커널 4.4.13-r0에 대해 재구축
• main/xtables-addons-grsec: 커널 4.4.13-r0에 대해 재구축
• 메인/linux-바닐라: 4.4.13으로 업데이트
• 메인/php5: 5.6.23으로 업데이트
• 메인/linux-바닐라: 4.4.14로 업데이트
• 커뮤니티 / go: paxmark go on arm
• Community/go: paxmark 수정
• 메인/linux-grsec: 4.4.14로 업데이트
• main/dahdi-linux-grsec: 커널 4.4.14-r0에 대해 재구축
• main/devicemaster-linux-grsec: 커널 4.4.14-r0에 대해 재구축
• main/drbd9-grsec: 커널 4.4.14-r0에 대해 재구축
• main/ipfw-grsec: 커널 4.4.14-r0에 대해 재구축
• main/open-vm-tools-grsec: 커널 4.4.14-r0에 대해 재구축
• main/xtables-addons-grsec: 커널 4.4.14-r0에 대해 재구축
• main/haproxy: 1.6.6으로의 보안 업데이트(CVE-2016-5360)
• main/py-pygments: CVE-2015-8557에 대한 보안 수정 사항
• 메인/linux-rpi: 4.4.14로 업데이트
• ==== 3.4.1 릴리스 ====
• 프셰미슬라프 파웰치크 (11):
• main/lighthttpd: lighttpd 사용자의 메인 그룹을 수정합니다.
• main/dovecot: .pre-install에서 메인 그룹을 올바르게 설정합니다.
• main/(npre, postgrey): .pre-install에 메인 그룹을 올바르게 설치합니다.
• main/ympd: da4e96aacef5에서와 같이 .pre-install의 인수 순서를 변경합니다.
• main/znc: da4e96aacef5에서와 같이 .pre-install의 인수 순서를 변경합니다.
• main/aports-build: da4e96aacef5에서와 같이 .pre-install의 인수 순서를 변경합니다.
• main/atheme-iris: a60b9f07dee0에서와 같은 일관성 문제를 수정합니다.
• main/: 그룹을 추가하고 .pre-* 스크립트에서 기본으로 사용합니다.
• main/: patch.pre-install에 대한 pkgrel 오류를 수정했습니다.
• Community/[various]: 그룹을 추가하고 .pre-* 스크립트에서 기본 그룹으로 사용합니다.
• Community/[various]: fixes.pre-install 스크립팅을 위해 pkgrel을 범프합니다.
• 스크럼피잭 (1):
• main/linux-rpi: USB 가젯을 지원하기 위해 dwc2 커널 모듈을 추가합니다.
• 소렌 템펠 (1):
• 커뮤니티/동기화: 0.13.5로 업데이트
• 테드 트래스크 (1):
• main/acf-openssh: 0.11.1로 업데이트
• 티모 테라스 (7):
• 커뮤니티 / fbida: 에지에서 백포트
• Community/docker: armhf를 일시적으로 비활성화합니다.
• main/rtmpdump: 나가는 블록 크기를 조정하여 성능을 향상시킵니다.
• main/bmd-tools: 2016-06-22 스냅샷으로 업데이트
• 메인/linux-rpi: 4.4.12로 업데이트
• main/linux-rpi: 구성 업데이트
• main/linux-rpi: 4.4.13으로 업데이트, 새로운 rpi 수정, dtb 설치
• 발레리 카르텔 (1):
• main/nginx: 오래된 패키지 "nginx-initscripts"와의 충돌 수정

새로운 소식버전 3.4.0:

• 이는 musl을 기반으로 하는 v3.3 브랜치에서 릴리스된 수정 사항입니다. Raspberry Pi 3를 사용하여 부팅 문제를 해결합니다.

새로운 소식버전 3.3.1:

• Joao Arruda (1): main/acf-provisioning-polycom: 5.3.2로 업데이트 Leonardo Arena (12): main/roundcubemail: 1.1.4로 보안 업데이트 main/owncloud: 8.1.5 main/linux-grsec로 업데이트: 보안 수정 사항 main/xtables-addons-grsec: 커널 4.1.15-r1에 대해 재구축 main/dahdi-linux-grsec: 커널 4.1.15-r1에 대해 재구축 main/ipfw-grsec: 커널 4.1.15-r1 main/에 대해 재구축 devicemaster-linux-grsec: 커널 4.1.15-r1에 대해 재구축 main/linux-grsec: 보안 수정(CVE-2015-7872, CVE-2015-7885) main/dahdi-linux-grsec: 커널 4.1.15에 대해 재구축- r2 main / xtables-addons-grsec: 커널 4.1.15-r2 main / ipfw-grsec: 커널 4.1.15-r2 main / open-vm-tools-grsec: 커널 4.1.15 -r2 Natanael에 대해 재구축 Copa (5): main/devicemaster-linux-grsec: 커널 4.1.15-r2에 대해 재구축 main/mkinitfs: 업스트림 수정 사항 제거 main/mkinitfs: initramfs 수정 main/mkinitfs: 3.0.2 ==== 릴리스 3.3으로 업데이트. 1 ==== Ted Trask (2): main/acf-weblog: 0.10.5로 업데이트 main/lua-xml: T AG 버그 수정 및 pkgrel 범프 Timo Teras (1): main/linux-rpi: 회전 인코더 적용 dts 수정 및 rpi mmc-spi 수정.

Alpine Linux는 설명하기가 더 쉽습니다. 이것은 musl과 busybox의 Linux입니다. TinyCore보다 조금 덜 미니멀하고 덜 완고합니다. Glibtz와 같은 유용성이나 Archev의 풍부한 힙스터 소프트웨어가 필요하지 않은 모든 종류의 서비스 가상 머신 및 컨테이너에 적합합니다.

Ansible은 SSH를 통한 구성 관리입니다. 실제로 SFTP를 통한 대량 복사 및 스크립트 실행 메커니즘입니다. 기성 스크립트의 대부분은 python2에 있으므로 coreos(Pearl뿐만 아니라 Python도 잘린 곳)에서는 (스크립트를 사용하여) 스쿼트해야 합니다.

좋은 점은 (인형이나 소금과는 달리)

a) 새로 구입한 저렴한 VPS에 소프트웨어를 설치하는 데 사용할 수 있습니다.
b) "통제 센터"는 사실상 공격에 취약하지 않습니다.

100% 사례에서 저렴한 VPS(나는 오히려 덤핑하는 DigitalOcean보다 몇 배 낮은 가격에 대해 이야기하고 있습니다)는 타사 이미지와 심지어 SSH 키도 지원하지 않습니다. 저것들. 90년대와 같은 옛날 방식에서는 서버를 쇼핑 카드에서 수동으로 구매하고 주소와 루트 비밀번호가 포함된 이메일을 보냅니다. 일반적으로 재설치 서비스와 복구 콘솔을 제공하는 SolusVM과 같은 패널이 있습니다.

Ansible을 사용하면 적어도 이론적으로는 이런 형편없는 서버에 수동으로 로그인할 수 없습니다. 이는 기본 SSH 위에서 작동하므로 관리 호스트에는 소프트웨어가 필요하지 않습니다.

Ansible "제어 센터"는 일반적으로 대부분의 시간 동안 오프라인 상태이며(구성이 변경되지 않는 경우) 온라인일 때는 포트를 수신하지 않고 NAT 뒤에 숨길 수 있으며 루트가 아닌 사용자에서 작동하며 Mandatory로 매우 쉽게 고정됩니다. 액세스 제어. 그리고 그 비밀은 sssh 에이전트에 있습니다. 저것들. 공격 표면은 매우 작으며 대화형으로 존재하는 관리자로부터 공격을 숨길 수 있어야 합니다. 물론 여기에는 많은 "그러나"가 있습니다. 예를 들어 일부 작업은 지속적으로 실행되는 데몬이 필요한 스크립트로 수행될 수 있지만 경쟁사보다 최소 권한 원칙을 보장하는 것이 여전히 더 쉽습니다.

또한 Ansible은 관리 호스트에서 지속적으로 실행되는 추가 데몬을 요구하지 않습니다. 그러나 이것은 나에게 중요하지 않습니다. 가장 중요한 것은 중앙을 지속적으로 두드리는 것이 없으며 추가 포트가 수신되지 않는다는 것입니다.

인형과 소금:

a) 지속적으로 온라인 상태를 유지하고 악용할 수 있는 중앙 서버가 있어야 합니다. 더욱이 서버는 OpenSSH를 통해서가 아니라 자체 작성된 Hipster 서버를 통해 보안되므로 제로데이 가능성이 크게 높아집니다.

b) 작동하려면 부트스트랩이 필요합니다(수동으로 또는 Ansible과 유사한 도구를 사용하여) - 에이전트를 설치하고 데몬으로 지속적으로 작동합니다.

쪼그리고 앉은 인형은 중앙 서버 없이 작동하도록 만들 수 있습니다. 하지만 직접 작성해야 하기 때문에 대량 배포에는 권장되지 않습니다. 그리고 ansible에서는 이것이 지원되는 주요 시나리오입니다.

간단히 말해서, 우리는 이제 앤서블이 로케일을 변경할 수 있는지 확인해야 합니다. :) 음, 그들에게 요리책을 가르쳐 주세요. 아마도 (셰프 스타일로) 완전히 엉망이 될 수도 있습니다. 인형의 다소 빛나는 선언성, 멱등성 및 Augeas .