O víkendu jsem upgradoval jeden stroj z F22 na F23, pročež jsem udělal poměrně nemilou zkušenost - i když jsem měl v F22 firewalld.service jako disabled a zůstal jako disabled i v F23, stejně se po startu spustil. Znovu jsem si ověřil, jak je dobré dělat tyhle věci, pokud ještě nejsou “v zaběhlé rutině”, buď ve virtualizaci nebo na stroji s DRAC, IMM, obecně nějakou management card, přes kterou se tam jde dostat - protože ten defaultně zapnutý firewalld mmj. znemožnil ssh connection dovnitř.
Aby bylo zřejmo, nemám obecně nic proti firewalld, ale na strojích, kde nehodlám zuřivě dynamicky vyměňovat iptables pravidla, a mám léty odzkoušenou sadu, je zcela zbytečné zapínat na to daemona, když stačí natažení pravidel při startu stroje a tradá.
Co přesně působí to nevyžádané spůštění, netuším. V nějaké diskusi jsem zahlédl, že si na to také někdo stěžuje a někdo doporučoval přes systemctl udělat “mask”, to jsem zatím také nezkoušel. Jednoduchý workaround v podobě dohledání PIDu běžícího firewalld, nebo prostě “killall firewalld”, funguje. Jenom je nepříjemné, že zřejmě zase něco přemýšlí za admina, co by bylo pro ten stroj po startu nejlepší – ve Widlích běžná praxe, v Linuxu dříve věc nevídaná…dokud nepřišel systemd. A priori proti systemd nic nemám, těch pozitiv proti tradiční SysVinit struktuře tam je docela dost, ale tahle nepredikovatelnost a nedeterminismus v chování mne skutečně příliš netěší…