[Comm] altlive && live-install

Michael A. Kangin mak на complife.ru
Пн Май 13 02:18:29 MSK 2013 

On 12.05.2013 23:25, Eugene Prokopiev wrote:

> Когда-то я это делал прямо в профиле еще до того, как появился пакет
> live-install:


Пароль для рута не так интересно, чтобы его по ssh пускало с паролем 
придётся еще sshd_config менять.

>
> http://git.altlinux.org/people/enp/packages/?p=mkimage-profile-live.git;a=commit;h=cbee1585e348847737f000917985bf3e728b969b
>
> Затем обленился, в моем случае пустые пароли при первой загрузке с
> livecd не являются проблемой.


Очень большой проблемой и дырой в безопасности, на мой вкус, является 
тот факт, что в рабочую систему попадает пользователь altlive с пустым 
паролем, которого пускают по SSH и с членством в группе wheel.
Не, понятно, что "вас предупреждали", но как-то неубедительно.
А для рута рабочей системы можно прям в начале работы скрипта обеспечить 
ввод пароля, без которого работать не будем.

> Наверное есть смысл вернуть нечто
> подобное (генерация паролей + утягивание ключей с помощью wget
> откуда-нибудь). Хорошо бы сделать это отключаемым - но я не могу
> придумать другого механизма включения/выключения кроме дополнительных
> параметров ядру вроде тех, на которые полагается пропагатор.


Ну например.
authkey=http://workstantion/keys/mykey.pub
чтобы утягивалось wget'ом
или скриптик специальный, например set_root_access <key-url>, 
scp/ssh/rsync/http/ftp

Или вон mithraen@ предлагает генерить одноразовые пин-кода с блокировкой 
после срабатывания

Привязываться к RSA-токену пожалуй перебор будет %)

>>  Меня немного напрягает отважное засовывание mbr куда ни поподя без проверок.
> А какие проверки будут достаточными?


Ну...
- что это корректный дивайс для дискового устройства, а не /dev/null 
какой и не lvm-раздел (md array ок, эта ситуация специально обрабатывается)
- что на этом дисковом устройстве есть корректная PT с активным разделом;
- что именно в этот активный раздел мы и ставим extlinux
ИЛИ что этот активный раздел входит в тот MD, куда мы и ставим extlinux


> Ну пока у меня нет железа исключительно с UEFI, а windows успешно загружается.


Поддержку всё равно надо будет сделать, по современным-то веяниям...



> Ага, но лучше на базе моего актуального репозитария.


ок

  
> Образы с live-install ты себе сам собирать будешь? Если что, у mike@ в
> m-p live-install тоже вроде поддерживался.


я посмотрю их, если ручки дойдут, но вообще, как припирает с очередной 
инсталляцией, мне удобнее чужое тырить ;)

Подробная информация о списке рассылки community