From: "Michael A. Kangin" <mak@complife.ru>
To: ALT Linux Community general discussions <community@lists.altlinux.org>
Subject: Re: [Comm] altlive && live-install
Date: Mon, 13 May 2013 02:18:29 +0400
Message-ID: <51901535.3030108@complife.ru> (raw)
In-Reply-To: <CANM4RugbiGcyzVH2tgDDaDF6nrsqRAmri=n_AwAVzCZw63cQBQ@mail.gmail.com>
On 12.05.2013 23:25, Eugene Prokopiev wrote:
> Когда-то я это делал прямо в профиле еще до того, как появился пакет
> live-install:
Пароль для рута не так интересно, чтобы его по ssh пускало с паролем
придётся еще sshd_config менять.
>
> http://git.altlinux.org/people/enp/packages/?p=mkimage-profile-live.git;a=commit;h=cbee1585e348847737f000917985bf3e728b969b
>
> Затем обленился, в моем случае пустые пароли при первой загрузке с
> livecd не являются проблемой.
Очень большой проблемой и дырой в безопасности, на мой вкус, является
тот факт, что в рабочую систему попадает пользователь altlive с пустым
паролем, которого пускают по SSH и с членством в группе wheel.
Не, понятно, что "вас предупреждали", но как-то неубедительно.
А для рута рабочей системы можно прям в начале работы скрипта обеспечить
ввод пароля, без которого работать не будем.
> Наверное есть смысл вернуть нечто
> подобное (генерация паролей + утягивание ключей с помощью wget
> откуда-нибудь). Хорошо бы сделать это отключаемым - но я не могу
> придумать другого механизма включения/выключения кроме дополнительных
> параметров ядру вроде тех, на которые полагается пропагатор.
Ну например.
authkey=http://workstantion/keys/mykey.pub
чтобы утягивалось wget'ом
или скриптик специальный, например set_root_access <key-url>,
scp/ssh/rsync/http/ftp
Или вон mithraen@ предлагает генерить одноразовые пин-кода с блокировкой
после срабатывания
Привязываться к RSA-токену пожалуй перебор будет %)
>> Меня немного напрягает отважное засовывание mbr куда ни поподя без проверок.
> А какие проверки будут достаточными?
Ну...
- что это корректный дивайс для дискового устройства, а не /dev/null
какой и не lvm-раздел (md array ок, эта ситуация специально обрабатывается)
- что на этом дисковом устройстве есть корректная PT с активным разделом;
- что именно в этот активный раздел мы и ставим extlinux
ИЛИ что этот активный раздел входит в тот MD, куда мы и ставим extlinux
> Ну пока у меня нет железа исключительно с UEFI, а windows успешно загружается.
Поддержку всё равно надо будет сделать, по современным-то веяниям...
> Ага, но лучше на базе моего актуального репозитария.
ок
> Образы с live-install ты себе сам собирать будешь? Если что, у mike@ в
> m-p live-install тоже вроде поддерживался.
я посмотрю их, если ручки дойдут, но вообще, как припирает с очередной
инсталляцией, мне удобнее чужое тырить ;)
next prev parent reply other threads:[~2013-05-12 22:18 UTC|newest]
Thread overview: 7+ messages / expand[flat|nested] mbox.gz Atom feed top
2013-05-08 19:31 Eugene Prokopiev
2013-05-11 23:29 ` Michael A. Kangin
2013-05-12 19:25 ` Eugene Prokopiev
2013-05-12 22:18 ` Michael A. Kangin [this message]
2013-05-13 11:17 ` Eugene Prokopiev
2013-05-14 4:16 ` Eugene Prokopiev
2013-05-12 22:45 ` Michael A. Kangin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=51901535.3030108@complife.ru \
--to=mak@complife.ru \
--cc=community@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git