From: Eugene Prokopiev <enp@itx.ru>
To: ALT Linux Community general discussions <community@lists.altlinux.org>
Subject: Re: [Comm] altlive && live-install
Date: Mon, 13 May 2013 15:17:37 +0400
Message-ID: <CANM4RuhA1og1irmCEqy6f7mJ2rh46Z_9LSRTktrN0ciaPPrmJg@mail.gmail.com> (raw)
In-Reply-To: <51901535.3030108@complife.ru>
13 мая 2013 г., 2:18 Michael A. Kangin написал:
> On 12.05.2013 23:25, Eugene Prokopiev wrote:
>
>> Когда-то я это делал прямо в профиле еще до того, как появился пакет
>> live-install:
>
> Пароль для рута не так интересно, чтобы его по ssh пускало с паролем
> придётся еще sshd_config менять.
Ну так и менял ;)
>> http://git.altlinux.org/people/enp/packages/?p=mkimage-profile-live.git;a=commit;h=cbee1585e348847737f000917985bf3e728b969b
>>
>> Затем обленился, в моем случае пустые пароли при первой загрузке с
>> livecd не являются проблемой.
>
> Очень большой проблемой и дырой в безопасности, на мой вкус, является тот
> факт, что в рабочую систему попадает пользователь altlive с пустым паролем,
> которого пускают по SSH и с членством в группе wheel.
> Не, понятно, что "вас предупреждали", но как-то неубедительно.
В общем случае это, конечно, так
> А для рута рабочей системы можно прям в начале работы скрипта обеспечить
> ввод пароля, без которого работать не будем.
Не возражаю
У msp@, который одно время использовал live-install для homeros, а
затем решил, что свой форк ему поддерживать будет проще, есть еще одна
полезная фича - переименование дефолтного пользователя при установке -
http://git.altlinux.org/people/msp/packages/?p=homeros-core.git;a=blob;f=homeros-core/fsroot/usr/bin/homeros-install;h=e14bacfd83856f71db9754838ba885df8d8ada5d;hb=77054632169256e4172dc29e709bbd031a745e22
>> Наверное есть смысл вернуть нечто
>> подобное (генерация паролей + утягивание ключей с помощью wget
>> откуда-нибудь). Хорошо бы сделать это отключаемым - но я не могу
>> придумать другого механизма включения/выключения кроме дополнительных
>> параметров ядру вроде тех, на которые полагается пропагатор.
>
> Ну например.
> authkey=http://workstantion/keys/mykey.pub
> чтобы утягивалось wget'ом
> или скриптик специальный, например set_root_access <key-url>,
> scp/ssh/rsync/http/ftp
>
> Или вон mithraen@ предлагает генерить одноразовые пин-кода с блокировкой
> после срабатывания
>
> Привязываться к RSA-токену пожалуй перебор будет %)
Мне кажется, что лучше решить проблему в самом общем случае. Я собирал
одно время образы с таким пакетом в комплекте -
http://git.altlinux.org/people/enp/packages/live-hooks-tftp.git. Если
переписать его с использованием curl и обозвать просто live-hooks, то
можно будет уже загруженный образ подпиливать требуемым образом
скриптом хоть с tftp, хоть из каталога рядышком на liveusb. Например,
ключ подложить или пароль дефолтному пользователю сгенерить и в
/etc/issue напечатать.
>>> Меня немного напрягает отважное засовывание mbr куда ни поподя без
>>> проверок.
>>
>> А какие проверки будут достаточными?
>
> Ну...
> - что это корректный дивайс для дискового устройства, а не /dev/null какой и
> не lvm-раздел (md array ок, эта ситуация специально обрабатывается)
> - что на этом дисковом устройстве есть корректная PT с активным разделом;
> - что именно в этот активный раздел мы и ставим extlinux
> ИЛИ что этот активный раздел входит в тот MD, куда мы и ставим extlinux
Мне лень было бы так заморачиваться, но если ты это сделашь - почему
бы и нет? ;)
>> Ну пока у меня нет железа исключительно с UEFI, а windows успешно
>> загружается.
>
> Поддержку всё равно надо будет сделать, по современным-то веяниям...
Я бы подождал, пока либо ишак сдохнет, либо падишах - хотя ты
добавлением grub2 уже решил эту потенциальную проблему ;)
Хотя теперь может стоит удалять из свежеустановленной системы
неиспользуемый загрузчик? И нужно разобраться с
/etc/firsttime.d/grub-mkconfig, который ругается на отсутствующий
/boot/grub/grub.cfg и совсем невнятно про "канонический путь none"
сразу при старте altlive, если в загружаемый образ попадает
grub2-common.
>> Образы с live-install ты себе сам собирать будешь? Если что, у mike@ в
>> m-p live-install тоже вроде поддерживался.
>
> я посмотрю их, если ручки дойдут, но вообще, как припирает с очередной
> инсталляцией, мне удобнее чужое тырить ;)
Ну тогда я попробую сегодня-завтра собрать свежие образы с твоими
правками в live-install. Если ты успеешь в ближайшие пару дней
изготовить упоминавшийся live-hooks - пересоберу с ним. Просто я уже
начинаю морально готовиться к отпуску и в пятницу буду окончательно
готов :)
--
WBR,
Eugene Prokopiev
next prev parent reply other threads:[~2013-05-13 11:17 UTC|newest]
Thread overview: 7+ messages / expand[flat|nested] mbox.gz Atom feed top
2013-05-08 19:31 Eugene Prokopiev
2013-05-11 23:29 ` Michael A. Kangin
2013-05-12 19:25 ` Eugene Prokopiev
2013-05-12 22:18 ` Michael A. Kangin
2013-05-13 11:17 ` Eugene Prokopiev [this message]
2013-05-14 4:16 ` Eugene Prokopiev
2013-05-12 22:45 ` Michael A. Kangin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=CANM4RuhA1og1irmCEqy6f7mJ2rh46Z_9LSRTktrN0ciaPPrmJg@mail.gmail.com \
--to=enp@itx.ru \
--cc=community@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git