Jak opravit Linux se špatným /etc/fstab

k3dAR

  • *****
  • 2 838
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:Jak opravit Linux se špatným /etc/fstab
« Odpověď #15 kdy: 26. 03. 2020, 17:40:11 »
twl, Mirecku, prestan radeji psat o vecech ktere znas jen vzdalene, teoreticky, nebo ti nedochazi vyznam toho co si sam psal....
V mnoha situacích chcete mít od boot loaderu až do spuštění systému proces nenarušitelný i za cenu horších nouzových operací.
nejde o "lepsi bezpecnost":
1. staci recene init=/bin/sh a system nastartuje s root uctem i kdyz ten je lock/nema_heslo
2. kdyz systemd zobrazi "error nelze pripojit xy" a NEdovoli to ignorovat
3. kdyz koukam Xminut na timeout, misto abych mohl zmackout klavesu pro zruseni cekani

jestli správně chápu, má zablokovaného roota - což musel udělat taky vědomě.
nikoliv, v Raspbianu o kterem je rec, NEni root ucet by default aktivni (to same v Debianu pokud nezadas pri install pro root heslo, to same v *ubuntu)


RDa

  • *****
  • 2 467
    • Zobrazit profil
    • E-mail
Re:Jak opravit Linux se špatným /etc/fstab
« Odpověď #16 kdy: 26. 03. 2020, 18:24:30 »
Jeste je otazka jak se systemd chova kdyz je ta partisna oznacena jako "noauto", to by uz selhavat boot nemel.
Jen by si to pak uzivatel musel skriptem v /etc/local.d/ pridelavat sam.

Jose D

  • *****
  • 850
    • Zobrazit profil
Re:Jak opravit Linux se špatným /etc/fstab
« Odpověď #17 kdy: 26. 03. 2020, 19:07:22 »
kdyz je ta partisna oznacena jako "noauto", to by uz selhavat boot nemel.

jj, aspon na centos7 to tak je.

čistě hypoteticky by pak mount /mnt/mountpoint  šel napsat až k service která ho používá, a to do  ExecStartPre=.
Pokud to failne, tak se ExecStart nevykoná a např. nedojde k nějakým masivním zápisům někam, kam by nemělo..

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Jak opravit Linux se špatným /etc/fstab
« Odpověď #18 kdy: 27. 03. 2020, 00:27:34 »
1. staci recene init=/bin/sh a system nastartuje s root uctem i kdyz ten je lock/nema_heslo
Ale tady má pravdu, protože bootloader může být zaheslovaný a pak tam toto jaksi nedopíšeš. A já jsem si naběhl že jsem si nepřečetl že to rescue shell chtělo spustit, ale neměl roota, takže v tomto případě se systemd zachoval podle mých představ a chyba je napůl v distribuci (že nemá roota i když ho její init vyžaduje při rescue) a napůl v uživateli (že si heslo roota nenastavil).

k3dAR

  • *****
  • 2 838
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:Jak opravit Linux se špatným /etc/fstab
« Odpověď #19 kdy: 27. 03. 2020, 01:07:10 »
1. staci recene init=/bin/sh a system nastartuje s root uctem i kdyz ten je lock/nema_heslo
Ale tady má pravdu, protože bootloader může být zaheslovaný a pak tam toto jaksi nedopíšeš. A já jsem si naběhl že jsem si nepřečetl že to rescue shell chtělo spustit, ale neměl roota, takže v tomto případě se systemd zachoval podle mých představ a chyba je napůl v distribuci (že nemá roota i když ho její init vyžaduje při rescue) a napůl v uživateli (že si heslo roota nenastavil).

nema(+š) protoze:
- zaheslovany bootloader rozhodne neni vychozi situace
- ve vychozi situaci bez zaheslovaneho bootloader, plati co sem psal, systemd s lock root nedovoli sice nic, ale pridani init=/bin/sh pusti root shell
- chyba uzivatele neni ze se nedozvi z instalatoru ze pokud nenastavi heslo roota pri instalaci protoze ho nechce ale chce svuj user ucet do sudo, tak ze se nedostane v pripade potreby do emergency, stejne tak neni chyba uzivatele ze systemd kterej zjisti ze neni aktivni root ucet, se nezepta na heslo uzivatele pro ktereho by root emergency shell pustil pri spravne zadanem heslu uzivatele pokud on je v skupine sudo
- neni ani bezpecne opatreni ze systemd emergency se nepusti kdyz je lock root, ale pusti se BEZ zadani root hesla kdyz je root unlocklej...


ByCzech

  • *****
  • 1 848
    • Zobrazit profil
    • E-mail
Re:Jak opravit Linux se špatným /etc/fstab
« Odpověď #20 kdy: 27. 03. 2020, 09:19:08 »
nema(+š) protoze:
- zaheslovany bootloader rozhodne neni vychozi situace

Tak on je hlavně předpoklad, že opravovat takové věci bude někdo, kdo má heslo i k bootloaderu a pak je to stejné, jako by tam heslo nebylo, akorát je to omezené jen na ty, kdo heslo znají.
Tohle heslo brání v manipulaci s bootloaderem pouze neautorizovaným osobám, v tom je ta bezpečnost. Myslet si, že zvyšuji bezpečnost tím, že je žádoucí, aby do emergency režimu nešlo normálně vstoupit ("i za cenu horších nouzových operací"), jak psal Šilhavý je kravina.

Re:Jak opravit Linux se špatným /etc/fstab
« Odpověď #21 kdy: 27. 03. 2020, 09:49:36 »
Myslet si, že zvyšuji bezpečnost tím, že je žádoucí, aby do emergency režimu nešlo normálně vstoupit ("i za cenu horších nouzových operací")

Např. v síťových startech, na kioscích, ... je to žádoucí chování. Nemáte zařízení fyzicky pod kontrolou, často má už v určitém bodě přístup k síťovým prostředkům a stejně opravu provádíte na dálku. Tam má naprosto smysl jakýkoliv fail stav vyústit v uříznutí přístupů.

k3dAR

  • *****
  • 2 838
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:Jak opravit Linux se špatným /etc/fstab
« Odpověď #22 kdy: 27. 03. 2020, 15:39:12 »
Např. v síťových startech, na kioscích, ... je to žádoucí chování. Nemáte zařízení fyzicky pod kontrolou, často má už v určitém bodě přístup k síťovým prostředkům a stejně opravu provádíte na dálku. Tam má naprosto smysl jakýkoliv fail stav vyústit v uříznutí přístupů.
zas ty tvoje mimonsko-nesmyslne argumentace :-) to je zlomek zarizeni, ktere navic VZDY admin upravuje tak aby bylo vse omezene, jak pri ootu, tak v nabehlem, takze by navic (k tem hromade) jen udelal zmenu aby blokoval emergency, proc tim ale argumentujes ze je to v poradku pro beznej desktop co vlastni/pouziva/ma_pod_rukama majitel/admin/root?

navic, myslis ze pro kiosek kterej spravujes na dalku je idealni stav aby pri fail datoveho disku byl stopnut boot a neslo se vzdalene pripojit? (narazim na nemoznost aby emergency sla (snadno) nastavit aby nahodilo ssh)

Re:Jak opravit Linux se špatným /etc/fstab
« Odpověď #23 kdy: 27. 03. 2020, 16:02:33 »
pardon, že ruším akademickou debatu o filozofickém významu bezpečnosti by default a nesmrtelnosti fstab,ale mám raspberrypi a tam si grub asi nedám nebo nějaký jiný bootloader umožňující volnost.

k3dAR

  • *****
  • 2 838
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:Jak opravit Linux se špatným /etc/fstab
« Odpověď #24 kdy: 27. 03. 2020, 17:45:44 »

Re:Jak opravit Linux se špatným /etc/fstab
« Odpověď #25 kdy: 27. 03. 2020, 18:04:26 »
Např. v síťových startech, na kioscích, ... je to žádoucí chování. (...)

(...) to je zlomek zarizeni, ktere navic VZDY admin upravuje tak aby bylo vse omezene, jak pri ootu, tak v nabehlem, takze by navic (k tem hromade) jen udelal zmenu aby blokoval emergency, proc tim ale argumentujes ze je to v poradku pro beznej desktop co vlastni/pouziva/ma_pod_rukama majitel/admin/root?
Já si myslím, že by měl nastávat absolutní zlomek situací, kdy potřebujete takto nouzově opravovat. Naopak by si admini měli nad sebe sami dobrovolně plést bič a zabezpečení hrotit maximálně a nejlépe i implicitně. Oslabit bezpečnost, aby se pohodlně pracovalo, to dovede každý.

proc tim ale argumentujes ze je to v poradku pro beznej desktop co vlastni/pouziva/ma_pod_rukama majitel/admin/root?
Protože distribuce nemůže vědět, jak bude použita. Proto má být zabezpečna raději víc, a ať si to oslabí každý, kdo k takovému závěru dojde.

navic, myslis ze pro kiosek kterej spravujes na dalku je idealni stav aby pri fail datoveho disku byl stopnut boot a neslo se vzdalene pripojit?
Kiosky se většinou mění kus za kus, když jsou daleko, tak přepravní službou. Základem je mít to nastavené tak, aby se to stávalo opravdu výjimečně.

To, co tady razíte, je klasický postup povyšování chyb na standard. V 80 % situacích to vyhovuje, tak to rovnou povýšíme na univerzální pravdu..?

k3dAR

  • *****
  • 2 838
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re:Jak opravit Linux se špatným /etc/fstab
« Odpověď #26 kdy: 27. 03. 2020, 18:14:58 »
To, co tady razíte, je klasický postup povyšování chyb na standard. V 80 % situacích to vyhovuje, tak to rovnou povýšíme na univerzální pravdu..?
se pletes, ty razis "povysovani absence moznosti na status bezpecnosti", uvedom si ze si zacal obhajovat bezpecnost toho ze nelze s lock rootem prejit do systemd emergency, kdy ale zaroven lze ve stejne situaci pouzit init=/bash/sh, to vse ve vychozim stavu a navic to co si sam radil na zacatku, navic opet opakuju systemd kdyb by s lock rootem pri snaze o emergency zobrazil dotaz na heslo sudo uzivatele, tak by se tim zadna bezpecnost nesnizila ale zvysila by se pouzitelnost, to same plati pro ten timeout, proc koukat 5minut ze ceka na sit a nemit zobrazne moznosti "S-Skip Waiting, E-RunEmergency" a u nedostupneho disku "C-ContinueBootingWithoutMountThis, E-RunEmergency"