[Comm] altlive && live-install

[Comm] altlive && live-install

[Eugene Prokopiev]

8 мая 2013 г., 19:34 Michael A. Kangin написал:
> 08.05.2013 11:34, Eugene Prokopiev пишет:
>
>>>>>   Бету Кентавра.
>>>>
>>>>  еще лучше http://enp.itx.ru/linux/alt/p7/iso
>>>
>>>  Спасибо, посмотрю.
>
>
> Евгений, спасибо, посмотрел. Неплохая логика.
> Но у меня несколько ворчаний :)

Замечательно :)

> - нужны fdisk/gdisk. Все эти партед с sfdisk'ами - АДъ. ща полтора часа
> гуглений я так и не смог сделать разделы, выровненные по 2048 сектору.
> Впрочем, sfdisk понравился для размножения типовой конфигурации на все
> остальные диски.

Добавить fdisk/gdisk совсем не трудно, и видимо их вместе с другими
аналогичными средствами нужно добавить не в профиль, а в зависимости к
live-install

> - пригодилось бы smartctl

Это уже скорее в профиль

> к счастью, всё это можно тут же доустановить, до всёже, всёже

Разумеется, для я ж сам делал altlive для минимизации собственных телодвижений

> - хотелось бы штатный для альтов grub2 вместо extlinux'а. Ручками делается
> без проблем.

Я так и не смог заставить себя перебраться на него с тех пор, как он
стал штатным вместо lilo ;) Кстати, extlinux занял место lilo совсем
недавно и скорее из соображений уменьшения необходимых сущностей: в
установленной системе есть syslinux для того, чтоб иметь возможность
изготовить liveusb из livecd - ну так почему бы его не использовать и
в качестве загрузчика, тем более что он вроде живее lilo и проще grub?

> - мне, привыкшему к логике, что boot device это там где /boot лежит,
> показалось логичным указать его как /dev/vda1. С печальными для бутсектора
> последствиями. Т.е. объяснялку было бы неплохо сделать чуть поподробнее.

Тут скорее нужно сделать ключик для выбора загрузчика с учетом
различий в семантике. Хотя grub тоже ведь нужно куда-то в /dev/sda
устанавливать, как это тогда обозвать?

> - не поддерживается самого вкусного - установка на заранее отформатированное
> и подготовленное дерева разделов. Установщик всё переформатирует с нуля.
> Прикладываю патч, который устраняет этот недостаток: если ROOT_DEVICE
> смонтированно, то будет использоваться текущая точка монтирования с
> обработкой вложенных монтирований вроде /usr, /var, /var/lib/vz. Кроме того,
> правильно вычисляются BOOT_DEVICE, если ROOT_DEVICE - raid1.

Вот спасибо! Я мечтал об этом, да лень не давала ...

> Пока пробовал на виртуалочке, завтра займусь на реальном сервере.

Миша, тут ситуация простая. Если ты не планируешь дальше использовать
live-install, то я что-то из твоих пожеланий выполню, конечно, - в
порядке важности для меня самого ;) А вот если планируешь - не
стесняйся клонировать пакет live-install и вкручивать туда все, что
нужно тебе самому - главное несовместимостей на ровном месте не
устраивать, не обсудив их заранее. Спасибо в любом случае!

--
WBR,
Eugene Prokopiev

Re: [Comm] altlive && live-install

[Michael A. Kangin]

On 08.05.2013 23:31, Eugene Prokopiev wrote:

> Разумеется, для я ж сам делал altlive для минимизации собственных телодвижений


Кстати о минимизации.
Первым делом как-то постоянно делается
dhcpcd eth0 && scp me@workstantion:.ssh/id_dsa.pub 
/root/.ssh/authorized_keys
И уже всё дальнейшее через SSH.
Как бы автоматизировать это дело (и где?)
Делать пароль юзеру altinstall и печатать его на экране?

>
>>  - хотелось бы штатный для альтов grub2 вместо extlinux'а. Ручками делается
>>  без проблем.
>
> Я так и не смог заставить себя перебраться на него с тех пор, как он
> стал штатным вместо lilo ;) Кстати, extlinux занял место lilo совсем
> недавно и скорее из соображений уменьшения необходимых сущностей: в
> установленной системе есть syslinux для того, чтоб иметь возможность
> изготовить liveusb из livecd - ну так почему бы его не использовать и
> в качестве загрузчика, тем более что он вроде живее lilo и проще grub?


А он поддерживается как-то installkernel, или только через дефолтные 
симлинки?
В любом случае, ручку с выбором приделать несложно.
Меня немного напрягает отважное засовывание mbr куда ни поподя без 
проверок.
С другой стороны груб иногда достаёт своей параноидальностью, отказался 
ставиться на virtio-диски в рейде.
Из плюсов груба дальнейшее UEFI, поддержка всяких windows'ов, и прочие 
нескучные обои.

>
>>  - мне, привыкшему к логике, что boot device это там где /boot лежит,
>>  показалось логичным указать его как /dev/vda1. С печальными для бутсектора
>>  последствиями. Т.е. объяснялку было бы неплохо сделать чуть поподробнее.
> Тут скорее нужно сделать ключик для выбора загрузчика с учетом
> различий в семантике. Хотя grub тоже ведь нужно куда-то в /dev/sda
> устанавливать, как это тогда обозвать?


Эээ... "то, куда вы хотите установить загрузчик" :)
хотя тоже, в случае с extlinux это пара мест...


> Миша, тут ситуация простая. Если ты не планируешь дальше использовать
> live-install, то я что-то из твоих пожеланий выполню, конечно, - в
> порядке важности для меня самого ;) А вот если планируешь - не
> стесняйся клонировать пакет live-install и вкручивать туда все, что
> нужно тебе самому - главное несовместимостей на ровном месте не
> устраивать, не обсудив их заранее. Спасибо в любом случае!


где-нибудь наверняка поиспользую.

Я склонировал этот репозиторий, но он какой-то старый и сильно 
отличается от того, что в ISO.
Я на всякий случай сделал свой бранч и первым делом закоммитил 
современный файл из образа, чтобы было к чему свои изменения прикладывать.

В ближайшее время постараюсь всё причесать и выложить.

Re: [Comm] altlive && live-install

[Eugene Prokopiev]

12 мая 2013 г., 3:29 Michael A. Kangin написал:
> On 08.05.2013 23:31, Eugene Prokopiev wrote:
>
>> Разумеется, для я ж сам делал altlive для минимизации собственных
>> телодвижений
>
>
>
> Кстати о минимизации.
> Первым делом как-то постоянно делается
> dhcpcd eth0 && scp me@workstantion:.ssh/id_dsa.pub
> /root/.ssh/authorized_keys
> И уже всё дальнейшее через SSH.
> Как бы автоматизировать это дело (и где?)
> Делать пароль юзеру altinstall и печатать его на экране?

Когда-то я это делал прямо в профиле еще до того, как появился пакет
live-install:

http://git.altlinux.org/people/enp/packages/?p=mkimage-profile-live.git;a=commit;h=cbee1585e348847737f000917985bf3e728b969b

Затем обленился, в моем случае пустые пароли при первой загрузке с
livecd не являются проблемой. Наверное есть смысл вернуть нечто
подобное (генерация паролей + утягивание ключей с помощью wget
откуда-нибудь). Хорошо бы сделать это отключаемым - но я не могу
придумать другого механизма включения/выключения кроме дополнительных
параметров ядру вроде тех, на которые полагается пропагатор.

Преднастройка всех найденных интерфейсов на dhcp - тоже наверное хорошо :)

>>>  - хотелось бы штатный для альтов grub2 вместо extlinux'а. Ручками
>>> делается
>>>  без проблем.
>>
>>
>> Я так и не смог заставить себя перебраться на него с тех пор, как он
>> стал штатным вместо lilo ;) Кстати, extlinux занял место lilo совсем
>> недавно и скорее из соображений уменьшения необходимых сущностей: в
>> установленной системе есть syslinux для того, чтоб иметь возможность
>> изготовить liveusb из livecd - ну так почему бы его не использовать и
>> в качестве загрузчика, тем более что он вроде живее lilo и проще grub?
>
>
>
> А он поддерживается как-то installkernel, или только через дефолтные
> симлинки?

Кажется, только последнее.

> В любом случае, ручку с выбором приделать несложно.
> Меня немного напрягает отважное засовывание mbr куда ни поподя без проверок.

А какие проверки будут достаточными?

> С другой стороны груб иногда достаёт своей параноидальностью, отказался
> ставиться на virtio-диски в рейде.
> Из плюсов груба дальнейшее UEFI, поддержка всяких windows'ов, и прочие
> нескучные обои.

Ну пока у меня нет железа исключительно с UEFI, а windows успешно загружается.

>
>
>>
>>>  - мне, привыкшему к логике, что boot device это там где /boot лежит,
>>>  показалось логичным указать его как /dev/vda1. С печальными для
>>> бутсектора
>>>  последствиями. Т.е. объяснялку было бы неплохо сделать чуть поподробнее.
>>
>> Тут скорее нужно сделать ключик для выбора загрузчика с учетом
>> различий в семантике. Хотя grub тоже ведь нужно куда-то в /dev/sda
>> устанавливать, как это тогда обозвать?
>
>
>
> Эээ... "то, куда вы хотите установить загрузчик" :)
> хотя тоже, в случае с extlinux это пара мест...
>
>
>
>> Миша, тут ситуация простая. Если ты не планируешь дальше использовать
>> live-install, то я что-то из твоих пожеланий выполню, конечно, - в
>> порядке важности для меня самого ;) А вот если планируешь - не
>> стесняйся клонировать пакет live-install и вкручивать туда все, что
>> нужно тебе самому - главное несовместимостей на ровном месте не
>> устраивать, не обсудив их заранее. Спасибо в любом случае!
>
>
>
> где-нибудь наверняка поиспользую.
>
> Я склонировал этот репозиторий, но он какой-то старый и сильно отличается от
> того, что в ISO.

Виноват, обновил у себя в git, в Сизиф пока не отправляю.

> Я на всякий случай сделал свой бранч и первым делом закоммитил современный
> файл из образа, чтобы было к чему свои изменения прикладывать.
>
> В ближайшее время постараюсь всё причесать и выложить.

Ага, но лучше на базе моего актуального репозитария.

Образы с live-install ты себе сам собирать будешь? Если что, у mike@ в
m-p live-install тоже вроде поддерживался.

--
WBR,
Eugene Prokopiev

Re: [Comm] altlive && live-install

[Michael A. Kangin]

On 12.05.2013 23:25, Eugene Prokopiev wrote:

> Когда-то я это делал прямо в профиле еще до того, как появился пакет
> live-install:


Пароль для рута не так интересно, чтобы его по ssh пускало с паролем 
придётся еще sshd_config менять.

>
> http://git.altlinux.org/people/enp/packages/?p=mkimage-profile-live.git;a=commit;h=cbee1585e348847737f000917985bf3e728b969b
>
> Затем обленился, в моем случае пустые пароли при первой загрузке с
> livecd не являются проблемой.


Очень большой проблемой и дырой в безопасности, на мой вкус, является 
тот факт, что в рабочую систему попадает пользователь altlive с пустым 
паролем, которого пускают по SSH и с членством в группе wheel.
Не, понятно, что "вас предупреждали", но как-то неубедительно.
А для рута рабочей системы можно прям в начале работы скрипта обеспечить 
ввод пароля, без которого работать не будем.

> Наверное есть смысл вернуть нечто
> подобное (генерация паролей + утягивание ключей с помощью wget
> откуда-нибудь). Хорошо бы сделать это отключаемым - но я не могу
> придумать другого механизма включения/выключения кроме дополнительных
> параметров ядру вроде тех, на которые полагается пропагатор.


Ну например.
authkey=http://workstantion/keys/mykey.pub
чтобы утягивалось wget'ом
или скриптик специальный, например set_root_access <key-url>, 
scp/ssh/rsync/http/ftp

Или вон mithraen@ предлагает генерить одноразовые пин-кода с блокировкой 
после срабатывания

Привязываться к RSA-токену пожалуй перебор будет %)

>>  Меня немного напрягает отважное засовывание mbr куда ни поподя без проверок.
> А какие проверки будут достаточными?


Ну...
- что это корректный дивайс для дискового устройства, а не /dev/null 
какой и не lvm-раздел (md array ок, эта ситуация специально обрабатывается)
- что на этом дисковом устройстве есть корректная PT с активным разделом;
- что именно в этот активный раздел мы и ставим extlinux
ИЛИ что этот активный раздел входит в тот MD, куда мы и ставим extlinux


> Ну пока у меня нет железа исключительно с UEFI, а windows успешно загружается.


Поддержку всё равно надо будет сделать, по современным-то веяниям...



> Ага, но лучше на базе моего актуального репозитария.


ок

  
> Образы с live-install ты себе сам собирать будешь? Если что, у mike@ в
> m-p live-install тоже вроде поддерживался.


я посмотрю их, если ручки дойдут, но вообще, как припирает с очередной 
инсталляцией, мне удобнее чужое тырить ;)

Re: [Comm] altlive && live-install

[Michael A. Kangin]

On 12.05.2013 23:25, Eugene Prokopiev wrote:

>>  В ближайшее время постараюсь всё причесать и выложить.
> Ага, но лучше на базе моего актуального репозитария.


Лови:
http://git.altlinux.org/people/prividen/packages/?p=live-install.git
в первом приближении вроде работает.

Re: [Comm] altlive && live-install

[Eugene Prokopiev]

13 мая 2013 г., 2:18 Michael A. Kangin написал:
> On 12.05.2013 23:25, Eugene Prokopiev wrote:
>
>> Когда-то я это делал прямо в профиле еще до того, как появился пакет
>> live-install:
>
> Пароль для рута не так интересно, чтобы его по ssh пускало с паролем
> придётся еще sshd_config менять.

Ну так и менял ;)

>> http://git.altlinux.org/people/enp/packages/?p=mkimage-profile-live.git;a=commit;h=cbee1585e348847737f000917985bf3e728b969b
>>
>> Затем обленился, в моем случае пустые пароли при первой загрузке с
>> livecd не являются проблемой.
>
> Очень большой проблемой и дырой в безопасности, на мой вкус, является тот
> факт, что в рабочую систему попадает пользователь altlive с пустым паролем,
> которого пускают по SSH и с членством в группе wheel.
> Не, понятно, что "вас предупреждали", но как-то неубедительно.

В общем случае это, конечно, так

> А для рута рабочей системы можно прям в начале работы скрипта обеспечить
> ввод пароля, без которого работать не будем.

Не возражаю

У msp@, который одно время использовал live-install для homeros, а
затем решил, что свой форк ему поддерживать будет проще, есть еще одна
полезная фича - переименование дефолтного пользователя при установке -
http://git.altlinux.org/people/msp/packages/?p=homeros-core.git;a=blob;f=homeros-core/fsroot/usr/bin/homeros-install;h=e14bacfd83856f71db9754838ba885df8d8ada5d;hb=77054632169256e4172dc29e709bbd031a745e22

>> Наверное есть смысл вернуть нечто
>> подобное (генерация паролей + утягивание ключей с помощью wget
>> откуда-нибудь). Хорошо бы сделать это отключаемым - но я не могу
>> придумать другого механизма включения/выключения кроме дополнительных
>> параметров ядру вроде тех, на которые полагается пропагатор.
>
> Ну например.
> authkey=http://workstantion/keys/mykey.pub
> чтобы утягивалось wget'ом
> или скриптик специальный, например set_root_access <key-url>,
> scp/ssh/rsync/http/ftp
>
> Или вон mithraen@ предлагает генерить одноразовые пин-кода с блокировкой
> после срабатывания
>
> Привязываться к RSA-токену пожалуй перебор будет %)

Мне кажется, что лучше решить проблему в самом общем случае. Я собирал
одно время образы с таким пакетом в комплекте -
http://git.altlinux.org/people/enp/packages/live-hooks-tftp.git. Если
переписать его с использованием curl и обозвать просто live-hooks, то
можно будет уже загруженный образ подпиливать требуемым образом
скриптом хоть с tftp, хоть из каталога рядышком на liveusb. Например,
ключ подложить или пароль дефолтному пользователю сгенерить и в
/etc/issue напечатать.

>>>  Меня немного напрягает отважное засовывание mbr куда ни поподя без
>>> проверок.
>>
>> А какие проверки будут достаточными?
>
> Ну...
> - что это корректный дивайс для дискового устройства, а не /dev/null какой и
> не lvm-раздел (md array ок, эта ситуация специально обрабатывается)
> - что на этом дисковом устройстве есть корректная PT с активным разделом;
> - что именно в этот активный раздел мы и ставим extlinux
> ИЛИ что этот активный раздел входит в тот MD, куда мы и ставим extlinux

Мне лень было бы так заморачиваться, но если ты это сделашь - почему
бы и нет? ;)

>> Ну пока у меня нет железа исключительно с UEFI, а windows успешно
>> загружается.
>
> Поддержку всё равно надо будет сделать, по современным-то веяниям...

Я бы подождал, пока либо ишак сдохнет, либо падишах - хотя ты
добавлением grub2 уже решил эту потенциальную проблему ;)

Хотя теперь может стоит удалять из свежеустановленной системы
неиспользуемый загрузчик? И нужно разобраться с
/etc/firsttime.d/grub-mkconfig, который ругается на отсутствующий
/boot/grub/grub.cfg и совсем невнятно про "канонический путь none"
сразу при старте altlive, если в загружаемый образ попадает
grub2-common.

>> Образы с live-install ты себе сам собирать будешь? Если что, у mike@ в
>> m-p live-install тоже вроде поддерживался.
>
> я посмотрю их, если ручки дойдут, но вообще, как припирает с очередной
> инсталляцией, мне удобнее чужое тырить ;)

Ну тогда я попробую сегодня-завтра собрать свежие образы с твоими
правками в live-install. Если ты успеешь в ближайшие пару дней
изготовить упоминавшийся live-hooks - пересоберу с ним. Просто я уже
начинаю морально готовиться к отпуску и в пятницу буду окончательно
готов :)

--
WBR,
Eugene Prokopiev

Re: [Comm] altlive && live-install

[Eugene Prokopiev]

13 мая 2013 г., 15:17 Eugene Prokopiev написал:

> Ну тогда я попробую сегодня-завтра собрать свежие образы с твоими
> правками в live-install.

новые образы лежат в http://enp.itx.ru/linux/alt/p7/iso

проблема при загрузке описана тут -
https://bugzilla.altlinux.org/show_bug.cgi?id=28966

--
WBR,
Eugene Prokopiev