Calculate Linux Desktop 7.10

Все правильно за несколькими нюансами. >Свой хоум на всех машинах можно монтировать по nfs.

Хоум под nfs 3-м по крайней мере я бы не монтировал.

>На крайний случай, можно написать скрипт, который будет по ssh (sshfs, sftp, automount и тд по вкусу + ключ) с сервера файл с паролем и подставлять пароль в rdesktop.

Т.е. запустив скрипт на своем ноутбуке я солью пароли юзверей?

> список пользователей, с указанием того, что они могут выполнять.

и к каким серверам и что именно им разрешёно/неразрешено запускать

> И что прикажете делать, клонировать списки или расшаривать по nfs3?

а зачем плодить полноценные сервера на машинах пользователей? Дали логин/пароль, прописали на сервере в группу пользователей с нужными правами и всё... или я чего-то недопонял и у вас там супер-секретарши работают, которые на своей машине всё сами устанавливают и трейсят работоспособность сети?

> seahorse насколько я понял под Gnome, в кедах есть для этого свое решение, я же имею ввиду софт, написанный не под гном и не под кеды.

Наверняка есть что-то универсальное, похожее на seahorse, типа вешает пароли на связки ключей, которые хранятся на флешке.

> Похоже кому-то нужно просто поп..ть.

Похоже кому-то нужно строить "самокат для проезда до ларька за пивом".

>Хоум под nfs 3-м по крайней мере я бы не монтировал.

Хорошо, монтируйте по sshfs+automount+ключ диру, где есть настройки. Симлинкнув на нее нужные файлы. Если ключ боитесь оставлять в /home/.ssh, носите с собой на флешке. Или еще как...

>Вот это и пугает. А уволитесь Вы? Кто будет ваш дистр дальше мейнтейнить? Генеральный директор? Бухгалтер?

Скорей я открою еще несколько фирм, где будет работать Linux :-)

А что касается проекта, я хочу его сделать открытым, чтобы он получил движение и не зацикливался бы на мне. Если никому это будет не нужно... чтож, бывали и такие случаи, например www.manager.su (сейчас этого сайта нет).

Умные люди на лоре знают как все нужно сделать, где-то можно найти разрозненную документацию. Недавно появилась замечательная статья: http://www.ibm.com/developerworks/ru/library/linux_migr/part4.html

Но с чем все безусловно согласятся, единственно правильного решения нет. Я хочу предложить один из вариантов готового решения. И за проделанную работу не будет стыдно, если она на лоре получит общее признание, ну хотя бы у 50%.. :-))

>с собой на флешке. Или еще как...

И про флешку думали, но не катит, согласитесь. А ключи я бы действительно не хранил в /home/.ssh, верно?

>Т.е. запустив скрипт на своем ноутбуке я солью пароли юзверей?

А тут уж одно из двух. Либо вы вбиваете пароль руками, либо его где-то храните. Защитив хранилище ключем. Например, ssh-ключом или gpg-ключом.

Верно! Только не вбивать пароль руками - это основная задача.

Оригинальный выход нашелся - использовать ключи ядра для хранения паролей. Причем пользователь не получает доступа к своему паролю. Пароль хранится только на время сессии.

>Защитив хранилище ключем. Например, ssh-ключом или gpg-ключом.

А "ключ от квартиры" где будете держать?

>А "ключ от квартиры" где будете держать?

Да тут собсно только один вариант. Что-то надо носить с собой. Либо пароль в голове, либо носитель ключа. Компьютеры пока телепатией не обладают.

>Да тут собсно только один вариант. Что-то надо носить с собой. Либо пароль в голове, либо носитель ключа. Компьютеры пока телепатией не обладают.

Либо пароль является ключем? Но, задача-то стоит не вводить пароль дважды!

>Вот это и пугает. А уволитесь Вы? Кто будет ваш дистр дальше мейнтейнить? Генеральный директор? Бухгалтер?

>Скорей я открою еще несколько фирм, где будет работать Linux :-)

Речь не о вас. А о тех несчастных людях, которых вы посадили на иглу собственного изобретения.

Именно поэтому, собрать cld-7.10-i686.tar.bz2 Вы можете сами.

Выполните

>calculate --help

...

Сборка системы:

-l, --list показать список пакетов входящих дистрибутив

-c, --configure подготовить систему к сборке

-D, --dependence проверка зависимостей

-m, --make собрать систему

-p, --pack упаковать дистрибутив в архив образа

...

>Все настройки для юзера кладем в /etc/skel/

>Откройте для себя /etc/skel

Попробуйте сделать это сами! Да система перенесет все из skel. Но никто за Вас не поменяет все упоминания USER1 на USER2.

>Либо пароль является ключем? Но, задача-то стоит не вводить пароль дважды!

Я ж говорю, сделайте хранилище паролей для, скажем, пресловутого rdesktop. Где располагать хранилище и как к нему получать доступ - дело вкуса. Где хранить ключ от хранилища - тоже дело вкуса. Сам ключ можно защитить паролем. Кешировать пароль может agent. Можно ключ от хранилища носить с собой. А можно носить в голове пароль, закрыв им ключ. Что бы не вводить passphrase каждый раз - используйте агента.

>Попробуйте сделать это сами! Да система перенесет все из skel. Но никто за Вас не поменяет все упоминания USER1 на USER2.

За меня это сделает написанный мной плагин к adduser-ng.

Вы предлагаете что-то типа "Менеджера бумажников KDE", но мне все равно потребуется вводить пароль чтобы получить к Вашему бумажнику доступ.

>>Попробуйте сделать это сами! Да система перенесет все из skel. Но никто за Вас не поменяет все упоминания USER1 на USER2.

>За меня это сделает написанный мной плагин к adduser-ng.

Где же Вы были раньше! :-)

Под джентой нет такого пакета, не думали портировать? А то, как пишут многие "приходится изобретать велосипед" :-)

>Под джентой нет такого пакета, не думали портировать?

I'm a debian man.

>Вы предлагаете что-то типа "Менеджера бумажников KDE", но мне все равно потребуется вводить пароль чтобы получить к Вашему бумажнику доступ.

Напишите свой PAM-модуль.

> в asplinux можно 1 раз расставить галочки при установке, потом взять лог, скинуть его на дискету и подсовывать его при установке остальных. Это на порядок проще, чем лепить собственный.

На что скинуть...?

>Напишите свой PAM-модуль.

Значит не все так просто как Вы говорили? :-(

>Значит не все так просто как Вы говорили? :-(

Все зависит от того, насколько вы хотите все автоматизировать и какого уровня параноидальности придерживаетесь. В любом случае, unix очень гибок и под обсуждаемые вещи есть биндинги для любимых ЯП.

Спасибо за консультацию, именно этим мы и занимаемся, только уже не в рамках одной нашей компании.

>Значит не все так просто как Вы говорили? :-(

Все немного проще таки :-) http://pam-ssh.sourceforge.net/

Да собсно вот еще решение. http://www.howtoforge.com/encrypting_encfs_pam_script

>Все немного проще таки :-) http://pam-ssh.sourceforge.net/

http://ru.opensuse.org/Using_ssh-agent_globally_for_X_session

"...достаточно неудобно вводить Вашу идентификационную фразу каждый раз, когда Вы подключаетесь по ssh к службе или серверу."

Да, но какое отношение rdesktop имеет к ssh службе или серверу?

>Да собсно вот еще решение. http://www.howtoforge.com/encrypting_encfs_pam_script

Шифровать домашнюю директорию пользователя в которой уже будут прописаны открытые пароли?

>Именно поэтому, собрать cld-7.10-i686.tar.bz2 Вы можете сами.

Именно поэтому попытки сделать собственный дистр - обречены. Я - в партии с 98-го года. И повидал много красных шапочек, russian red hat, rodlinux и прочих на своем веку. Одни так и не взлетели. Другие быстро стартанули, но потом долго и мучительно падали. Вы выбрали неверную бизнес-модель. Не в плане зарабатывания денег, а в плане выживания. Хотя и в плане денег - тоже. Форк дистрибутива, ребрендинг и попытка создать вокруг всего этого комьюнити - маловероятная вещь в современных реалиях. А вот предоставить кастомайзинг, саппорт, автомейшен, консалтинг на базе существующего популярного дистра - отличная почва для роста.

>Шифровать домашнюю директорию пользователя в которой уже будут прописаны открытые пароли?

Нет. Заходите на машину, вводите пароль, происходит аутентификация через pam-ssh, монтируется удаленная директория через sshfs и ключ, которая представляет собой криптованную директорию и разлочивается с помощью pam-encfs. Далее, ваш скрипт rdesktop-ng берет с той удаленной криптованной диры файл с паролями, парсит его и запускает rdesktop -p подставляя пароль. Примерно так. Это - программа максимум. Вы одним своим паролем разлочиваете и ключ для доступа ко всем машинам по ssh, и доступ к криптованной дире на сервере (именно криптованной; а вдруг сервер взломают?). Это все - программа максимум. Можете где-то упростить.

>Да, но какое отношение rdesktop имеет к ssh службе или серверу?

Самое прямое. Я предлагаю вам из pam-ssh, pam-encfs, ключей и ssh-agent создать то самое хранилище, аналогичное кдешному, но с единой точкой разлочки при логине и хранении данных централизованно и покриптованно на сервере. Что, собсно, вы и хотели.

>Именно поэтому попытки сделать собственный дистр - обречены. Я - в партии с 98-го года. И повидал много красных шапочек, russian red hat, rodlinux и прочих на своем веку. Одни так и не взлетели. Другие быстро стартанули, но потом долго и мучительно падали. Вы выбрали неверную бизнес-модель. Не в плане зарабатывания денег, а в плане выживания. Хотя и в плане денег - тоже. Форк дистрибутива, ребрендинг и попытка создать вокруг всего этого комьюнити - маловероятная вещь в современных реалиях. А вот предоставить кастомайзинг, саппорт, автомейшен, консалтинг на базе существующего популярного дистра - отличная почва для роста.

Прекрасно помню те славные времена :-) Любые клоны редхата основывались на одной идее - локализация системы. И чем лучше она выполнялась в основном дистрибутиве, тем тяжее была мотивация ставить "неоригинал"...

Я бы не называл калкулэйт форком, ведь управление пакетами остается тем же, репозитории пакетов не меняются. По сути это то о чем Вы говорите, просто Джента не распространяется в бинарном виде.

Например в одной компании предлагают корпоративный линукс собранный из *.src.rmp ASPLinux. Чем это отличается от Калкулэйт?

Я буду рад, если дистрибутив найдет применение в других компаниях, и проект получит поддержку в лице независимых разработчиков.

> Самое прямое. Я предлагаю вам из pam-ssh, pam-encfs, ключей и ssh-agent создать то самое хранилище, аналогичное кдешному, но с единой точкой разлочки при логине и хранении данных централизованно и покриптованно на сервере. Что, собсно, вы и хотели.

А если пользователь забудет свой пароль? :-)

>А если пользователь забудет свой пароль? :-)

А если вы потеряете свои ключи от дома? Наверняка ведь у бабушки/родителей есть дубликаты, да? Делайте периодические бекапы раскриптованной директории и ключей. Храните пароль в бумажном виде. Но не в виде желтого стикера на мониторе :-)

>А если вы потеряете свои ключи от дома? Наверняка ведь у бабушки/родителей есть дубликаты, да? Делайте периодические бекапы раскриптованной директории и ключей. Храните пароль в бумажном виде. Но не в виде желтого стикера на мониторе :-)

Ок, т.е. подмонтированный диск открывает все пароли пользователю и любой программе запущенной этим пользователем?

Он открывает по вашему парольному логину вашу удаленную покриптованную директорию. Что туда положить - дело ваше. Можно и файлик с паролями для рдесктопа. Получив доступ к серверу, крекер не сможет раскриптовать вашу диру. Получив доступ к воркстейшену, крекер не сможет воспользоваться ssh-ключами, так как они требуют passphrase. А ее знаете только вы.

>Он открывает по вашему парольному логину вашу удаленную покриптованную директорию. Что туда положить - дело ваше. Можно и файлик с паролями для рдесктопа. Получив доступ к серверу, крекер не сможет раскриптовать вашу диру. Получив доступ к воркстейшену, крекер не сможет воспользоваться ssh-ключами, так как они требуют passphrase. А ее знаете только вы.

Я имел ввиду запуск злонамеренного кода во время сеанса, имея открытый диск с паролями.

>Далее, ваш скрипт rdesktop-ng берет с той удаленной криптованной диры файл с паролями, парсит его и запускает rdesktop -p подставляя пароль.

Только не так, выполните "ps ax" и Вы увидите все пароли.

>>До чтения камментов хотел попросить разрабов сделать .jigdo файлы для дисков, ибо сильно часто они обновляются, а изменений наверное процентов 10, не более.

>Это же джента, или Вы ничего не слышали о команде emerge??

Я слышал про emerge, но я мало слышал про Calculate. Gentoo, например, интернет-ориентированный бизлимитко-зависимый дистр ;). И если бы не deltup я бы и не качал образ (скачал один раз на всю жизнь). Но у вас ведь выходят обновления самого образа дистра и зачем мне лишний раз (лишнее время) использовать emerge -ua world на нескольких мащинах парллельно сразу после установки, затрчивая если не траффик, то время, если есть свежие образы системы. Но качать весь образ накладно как для меня так и для вас, в Debian это уже давно поняли.

>>Далее, ваш скрипт rdesktop-ng берет с той удаленной криптованной диры файл с паролями, парсит его и запускает rdesktop -p подставляя пароль.

>Только не так, выполните "ps ax" и Вы увидите все пароли.

rdesktop(1):

.....

-p <password> The password to authenticate with. Note that this may have no effect if "Always prompt for pass- word" is enabled on the server. WARNING: if you specify a password on the command line it may be visible to other users when they use tools like ps. Use -p - to make rdesktop request a password at startup (from standard input).

........

Последнюю фразу перевести?

>Последнюю фразу перевести?

Именно это я и имел ввиду :-)

>Именно это я и имел ввиду :-)

Что именно?

echo ~/rdesktop.password | rdesktop -p -

чем не устраивает? ничего в ps не увидишь...

>Я слышал про emerge, но я мало слышал про Calculate. Gentoo, например, интернет-ориентированный бизлимитко-зависимый дистр ;). И если бы не deltup я бы и не качал образ (скачал один раз на всю жизнь). Но у вас ведь выходят обновления самого образа дистра и зачем мне лишний раз (лишнее время) использовать emerge -ua world на нескольких мащинах парллельно сразу после установки, затрчивая если не траффик, то время, если есть свежие образы системы. Но качать весь образ накладно как для меня так и для вас, в Debian это уже давно поняли.

Я был бы Вам бесконечно признателен (и не я один), если бы Вы проверили, действительно ли файл jigdo занимает приемлемый размер и прислали бы мне пример создания файла между двумя образами.

Задумок очень много, а регулярность выпуска менять не хочется.

>Что именно?

>echo ~/rdesktop.password | rdesktop -p -

>чем не устраивает? ничего в ps не увидишь...

Да я не пытаюсь подколоть Вас, я просто обратил внимание на Ваш первый вариант в начале. Образец того как делать нельзя :-)

>я просто обратил внимание на Ваш первый вариант в начале. Образец того как делать нельзя :-)

Вы ошиблись, это был не мой вариант:)

Но даже в том варианте не говорилось, что пароль нужно явно указывать после -p, там давался намёк на опцию -p с расчётом на то, что вы умеете читать man:)

"-p подставляя пароль" я понимаю буквально. Но разве в этом суть?

>Ок, т.е. подмонтированный диск открывает все пароли пользователю и любой программе запущенной этим пользователем?

Не вижу в чем проблема. Шифрованный home монтируется точно так же. Если уровень параноидальности этого делать не позволяет, напишите свой pam-модуль для gpg и gpg-agent. И храните пароли покриптованными gpg.

>"-p подставляя пароль" я понимаю буквально. Но разве в этом суть?

Я умею читать маны. Можно передавать через пайп, можно взаимодействовать через expect. Вариантов много. Я просто смысл всей конструкции хотел донести.

>Не вижу в чем проблема. Шифрованный home монтируется точно так же. Если уровень параноидальности этого делать не позволяет, напишите свой pam-модуль для gpg и gpg-agent. И храните пароли покриптованными gpg.

Как я уже писал, есть более оригинальное решение - хранить пароль во время сессии в ключах ядра. При этом пользователь не получает к нему доступа, но может запускать практически любые приложения.

PAM-модуль и утилита запуска появятся я думаю в следующей версии Calculate.