[Comm] altlive && live-install

Пн Май 13 15:17:37 MSK 2013

13 мая 2013 г., 2:18 Michael A. Kangin написал:
> On 12.05.2013 23:25, Eugene Prokopiev wrote:
>
>> Когда-то я это делал прямо в профиле еще до того, как появился пакет
>> live-install:
>
> Пароль для рута не так интересно, чтобы его по ssh пускало с паролем
> придётся еще sshd_config менять.

Ну так и менял ;)

>> http://git.altlinux.org/people/enp/packages/?p=mkimage-profile-live.git;a=commit;h=cbee1585e348847737f000917985bf3e728b969b
>>
>> Затем обленился, в моем случае пустые пароли при первой загрузке с
>> livecd не являются проблемой.
>
> Очень большой проблемой и дырой в безопасности, на мой вкус, является тот
> факт, что в рабочую систему попадает пользователь altlive с пустым паролем,
> которого пускают по SSH и с членством в группе wheel.
> Не, понятно, что "вас предупреждали", но как-то неубедительно.

В общем случае это, конечно, так

> А для рута рабочей системы можно прям в начале работы скрипта обеспечить
> ввод пароля, без которого работать не будем.

Не возражаю

У msp@, который одно время использовал live-install для homeros, а
затем решил, что свой форк ему поддерживать будет проще, есть еще одна
полезная фича - переименование дефолтного пользователя при установке -
http://git.altlinux.org/people/msp/packages/?p=homeros-core.git;a=blob;f=homeros-core/fsroot/usr/bin/homeros-install;h=e14bacfd83856f71db9754838ba885df8d8ada5d;hb=77054632169256e4172dc29e709bbd031a745e22

>> Наверное есть смысл вернуть нечто
>> подобное (генерация паролей + утягивание ключей с помощью wget
>> откуда-нибудь). Хорошо бы сделать это отключаемым - но я не могу
>> придумать другого механизма включения/выключения кроме дополнительных
>> параметров ядру вроде тех, на которые полагается пропагатор.
>
> Ну например.
> authkey=http://workstantion/keys/mykey.pub
> чтобы утягивалось wget'ом
> или скриптик специальный, например set_root_access <key-url>,
> scp/ssh/rsync/http/ftp
>
> Или вон mithraen@ предлагает генерить одноразовые пин-кода с блокировкой
> после срабатывания
>
> Привязываться к RSA-токену пожалуй перебор будет %)

Мне кажется, что лучше решить проблему в самом общем случае. Я собирал
одно время образы с таким пакетом в комплекте -
http://git.altlinux.org/people/enp/packages/live-hooks-tftp.git. Если
переписать его с использованием curl и обозвать просто live-hooks, то
можно будет уже загруженный образ подпиливать требуемым образом
скриптом хоть с tftp, хоть из каталога рядышком на liveusb. Например,
ключ подложить или пароль дефолтному пользователю сгенерить и в
/etc/issue напечатать.

>>>  Меня немного напрягает отважное засовывание mbr куда ни поподя без
>>> проверок.
>>
>> А какие проверки будут достаточными?
>
> Ну...
> - что это корректный дивайс для дискового устройства, а не /dev/null какой и
> не lvm-раздел (md array ок, эта ситуация специально обрабатывается)
> - что на этом дисковом устройстве есть корректная PT с активным разделом;
> - что именно в этот активный раздел мы и ставим extlinux
> ИЛИ что этот активный раздел входит в тот MD, куда мы и ставим extlinux

Мне лень было бы так заморачиваться, но если ты это сделашь - почему
бы и нет? ;)

>> Ну пока у меня нет железа исключительно с UEFI, а windows успешно
>> загружается.
>
> Поддержку всё равно надо будет сделать, по современным-то веяниям...

Я бы подождал, пока либо ишак сдохнет, либо падишах - хотя ты
добавлением grub2 уже решил эту потенциальную проблему ;)

Хотя теперь может стоит удалять из свежеустановленной системы
неиспользуемый загрузчик? И нужно разобраться с
/etc/firsttime.d/grub-mkconfig, который ругается на отсутствующий
/boot/grub/grub.cfg и совсем невнятно про "канонический путь none"
сразу при старте altlive, если в загружаемый образ попадает
grub2-common.

>> Образы с live-install ты себе сам собирать будешь? Если что, у mike@ в
>> m-p live-install тоже вроде поддерживался.
>
> я посмотрю их, если ручки дойдут, но вообще, как припирает с очередной
> инсталляцией, мне удобнее чужое тырить ;)

Ну тогда я попробую сегодня-завтра собрать свежие образы с твоими
правками в live-install. Если ты успеешь в ближайшие пару дней
изготовить упоминавшийся live-hooks - пересоберу с ним. Просто я уже
начинаю морально готовиться к отпуску и в пятницу буду окончательно
готов :)

--
WBR,
Eugene Prokopiev