From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00,SPF_HELO_PASS, SPF_PASS autolearn=ham version=3.2.5 Message-ID: <51901535.3030108@complife.ru> Date: Mon, 13 May 2013 02:18:29 +0400 From: "Michael A. Kangin" User-Agent: Mozilla/5.0 (X11; Linux i686 on x86_64; rv:10.0.3) Gecko/20120426 Thunderbird/10.0.3 MIME-Version: 1.0 To: ALT Linux Community general discussions References: <518ED462.6000900@complife.ru> In-Reply-To: Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [Comm] altlive && live-install X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Community general discussions List-Id: ALT Linux Community general discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 12 May 2013 22:18:38 -0000 Archived-At: List-Archive: List-Post: On 12.05.2013 23:25, Eugene Prokopiev wrote: > Когда-то я это делал прямо в профиле еще до того, как появился пакет > live-install: Пароль для рута не так интересно, чтобы его по ssh пускало с паролем придётся еще sshd_config менять. > > http://git.altlinux.org/people/enp/packages/?p=mkimage-profile-live.git;a=commit;h=cbee1585e348847737f000917985bf3e728b969b > > Затем обленился, в моем случае пустые пароли при первой загрузке с > livecd не являются проблемой. Очень большой проблемой и дырой в безопасности, на мой вкус, является тот факт, что в рабочую систему попадает пользователь altlive с пустым паролем, которого пускают по SSH и с членством в группе wheel. Не, понятно, что "вас предупреждали", но как-то неубедительно. А для рута рабочей системы можно прям в начале работы скрипта обеспечить ввод пароля, без которого работать не будем. > Наверное есть смысл вернуть нечто > подобное (генерация паролей + утягивание ключей с помощью wget > откуда-нибудь). Хорошо бы сделать это отключаемым - но я не могу > придумать другого механизма включения/выключения кроме дополнительных > параметров ядру вроде тех, на которые полагается пропагатор. Ну например. authkey=http://workstantion/keys/mykey.pub чтобы утягивалось wget'ом или скриптик специальный, например set_root_access , scp/ssh/rsync/http/ftp Или вон mithraen@ предлагает генерить одноразовые пин-кода с блокировкой после срабатывания Привязываться к RSA-токену пожалуй перебор будет %) >> Меня немного напрягает отважное засовывание mbr куда ни поподя без проверок. > А какие проверки будут достаточными? Ну... - что это корректный дивайс для дискового устройства, а не /dev/null какой и не lvm-раздел (md array ок, эта ситуация специально обрабатывается) - что на этом дисковом устройстве есть корректная PT с активным разделом; - что именно в этот активный раздел мы и ставим extlinux ИЛИ что этот активный раздел входит в тот MD, куда мы и ставим extlinux > Ну пока у меня нет железа исключительно с UEFI, а windows успешно загружается. Поддержку всё равно надо будет сделать, по современным-то веяниям... > Ага, но лучше на базе моего актуального репозитария. ок > Образы с live-install ты себе сам собирать будешь? Если что, у mike@ в > m-p live-install тоже вроде поддерживался. я посмотрю их, если ручки дойдут, но вообще, как припирает с очередной инсталляцией, мне удобнее чужое тырить ;)