From: "Michael A. Kangin" <mak@complife.ru> To: ALT Linux Community general discussions <community@lists.altlinux.org> Subject: Re: [Comm] altlive && live-install Date: Mon, 13 May 2013 02:18:29 +0400 Message-ID: <51901535.3030108@complife.ru> (raw) In-Reply-To: <CANM4RugbiGcyzVH2tgDDaDF6nrsqRAmri=n_AwAVzCZw63cQBQ@mail.gmail.com> On 12.05.2013 23:25, Eugene Prokopiev wrote: > Когда-то я это делал прямо в профиле еще до того, как появился пакет > live-install: Пароль для рута не так интересно, чтобы его по ssh пускало с паролем придётся еще sshd_config менять. > > http://git.altlinux.org/people/enp/packages/?p=mkimage-profile-live.git;a=commit;h=cbee1585e348847737f000917985bf3e728b969b > > Затем обленился, в моем случае пустые пароли при первой загрузке с > livecd не являются проблемой. Очень большой проблемой и дырой в безопасности, на мой вкус, является тот факт, что в рабочую систему попадает пользователь altlive с пустым паролем, которого пускают по SSH и с членством в группе wheel. Не, понятно, что "вас предупреждали", но как-то неубедительно. А для рута рабочей системы можно прям в начале работы скрипта обеспечить ввод пароля, без которого работать не будем. > Наверное есть смысл вернуть нечто > подобное (генерация паролей + утягивание ключей с помощью wget > откуда-нибудь). Хорошо бы сделать это отключаемым - но я не могу > придумать другого механизма включения/выключения кроме дополнительных > параметров ядру вроде тех, на которые полагается пропагатор. Ну например. authkey=http://workstantion/keys/mykey.pub чтобы утягивалось wget'ом или скриптик специальный, например set_root_access <key-url>, scp/ssh/rsync/http/ftp Или вон mithraen@ предлагает генерить одноразовые пин-кода с блокировкой после срабатывания Привязываться к RSA-токену пожалуй перебор будет %) >> Меня немного напрягает отважное засовывание mbr куда ни поподя без проверок. > А какие проверки будут достаточными? Ну... - что это корректный дивайс для дискового устройства, а не /dev/null какой и не lvm-раздел (md array ок, эта ситуация специально обрабатывается) - что на этом дисковом устройстве есть корректная PT с активным разделом; - что именно в этот активный раздел мы и ставим extlinux ИЛИ что этот активный раздел входит в тот MD, куда мы и ставим extlinux > Ну пока у меня нет железа исключительно с UEFI, а windows успешно загружается. Поддержку всё равно надо будет сделать, по современным-то веяниям... > Ага, но лучше на базе моего актуального репозитария. ок > Образы с live-install ты себе сам собирать будешь? Если что, у mike@ в > m-p live-install тоже вроде поддерживался. я посмотрю их, если ручки дойдут, но вообще, как припирает с очередной инсталляцией, мне удобнее чужое тырить ;)
next prev parent reply other threads:[~2013-05-12 22:18 UTC|newest] Thread overview: 7+ messages / expand[flat|nested] mbox.gz Atom feed top 2013-05-08 19:31 Eugene Prokopiev 2013-05-11 23:29 ` Michael A. Kangin 2013-05-12 19:25 ` Eugene Prokopiev 2013-05-12 22:18 ` Michael A. Kangin [this message] 2013-05-13 11:17 ` Eugene Prokopiev 2013-05-14 4:16 ` Eugene Prokopiev 2013-05-12 22:45 ` Michael A. Kangin
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=51901535.3030108@complife.ru \ --to=mak@complife.ru \ --cc=community@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git