Re: (deb-cat) Arrencada 'single' sense root login

[Pedro]

Gràcies a tots per les excel·lents aportacions en aquest fil

Re: (deb-cat) Arrencada 'single' sense root login

[Narcis Garcia]

__
I'm using this express-made address because personal addresses aren't
masked enough at this mail public archive. Public archive administrator
should fix this against automated addresses collectors.
El 30/6/19 a les 21:07, Ernest Adrogué ha escrit:
> 2019-06-30, 20:30 (+0200); Narcis Garcia escriu:
>> Per tal d'utilitzar fsck directament (per exemple per a revisar blocs
>> defectuosos) he provat amb break=mount i em va bé per a utilitzar fsck
>> des de initramfs sobre les particions, però la comanda poweroff no funciona.
> 
> És que no té gaire sentit iniciar la seqüència d'apagada quan encara
> estàs al mig de la seqüència d'arrencada.  Potser deixa que acabi
> d'arrencar (sortint de l'intèrpret amb "exit" o Control-D), i llavors,
> si de cas, apaga.

Bé, sortint (exit) de initramfs prosegueix amb l'arrencada normal.
Sortint de Bash (init=/bin/bash) salta un «Kernel panic». Així doncs,
per aquests casos de necessitar l'aturada per programari, millor initramfs.

Gràcies.

Re: (deb-cat) Arrencada 'single' sense root login

[Ernest Adrogué]

2019-06-30, 20:30 (+0200); Narcis Garcia escriu:
> Per tal d'utilitzar fsck directament (per exemple per a revisar blocs
> defectuosos) he provat amb break=mount i em va bé per a utilitzar fsck
> des de initramfs sobre les particions, però la comanda poweroff no funciona.

És que no té gaire sentit iniciar la seqüència d'apagada quan encara
estàs al mig de la seqüència d'arrencada.  Potser deixa que acabi
d'arrencar (sortint de l'intèrpret amb "exit" o Control-D), i llavors,
si de cas, apaga.

Salut.

Re: (deb-cat) Arrencada 'single' sense root login

[Narcis Garcia]

__
I'm using this express-made address because personal addresses aren't
masked enough at this mail public archive. Public archive administrator
should fix this against automated addresses collectors.
El 30/6/19 a les 19:19, Ernest Adrogué ha escrit:
> 2019-06-30, 18:53 (+0200); Narcis Garcia escriu:
>> Per a reparar fsck no hi ha més remei, ja que Systemd impedeix l'ús de
>> l'arrel en només-lectura.
> 
> Hi ha diverses opcions.
> 
> Una és arrencar amb l'opció fsck.mode=force
> 
> https://www.freedesktop.org/software/systemd/man/systemd-f...@.service.html
> 
> Una altra és fer-ho manualment des de initramfs.
> 
> https://wiki.debian.org/InitramfsDebug

Per tal d'utilitzar fsck directament (per exemple per a revisar blocs
defectuosos) he provat amb break=mount i em va bé per a utilitzar fsck
des de initramfs sobre les particions, però la comanda poweroff no funciona.
Així que, de moment, millor init=/bin/bash que aleshores es disposa de
més eines.

Re: (deb-cat) Arrencada 'single' sense root login

[Ernest Adrogué]

2019-06-30, 18:53 (+0200); Narcis Garcia escriu:
> Per a reparar fsck no hi ha més remei, ja que Systemd impedeix l'ús de
> l'arrel en només-lectura.

Hi ha diverses opcions.

Una és arrencar amb l'opció fsck.mode=force

https://www.freedesktop.org/software/systemd/man/systemd-f...@.service.html

Una altra és fer-ho manualment des de initramfs.

https://wiki.debian.org/InitramfsDebug

Re: (deb-cat) Arrencada 'single' sense root login

[Narcis Garcia]

__
I'm using this express-made address because personal addresses aren't
masked enough at this mail public archive. Public archive administrator
should fix this against automated addresses collectors.
El 30/6/19 a les 18:49, Ernest Adrogué ha escrit:
> 2019-06-30, 17:15 (+0200); Narcis Garcia escriu:
>> Si, ja veig que amb init=/bin/bash s'esquiven dos problemes: un
>> l'esmentat, i l'altre el muntatge de l'arrel amb escriptura que provoca
>> Systemd. Ara ja sé com utilitzar fsck sobre la partició del sistema, de
>> forma senzilla, o sense la interferència de Systemd.
>> La primera pega que he trobat és què la comanda «shutdown» no shuta.
> 
> Si arrenques amb init=/bin/bash no tens procés init, que és el procés
> que controla els runlevels, i per tant no pots apagar el sistema de
> manera correcta.  Per aquest motiu el paràmetre init=/bin/bash
> normalment només es fa servir com a últim recurs, per exemple quan has
> perdut la contrasenya root.  Canvies la contrasenya i surts.  No
> s'hauria de d'utilitzar per fer fscks ni per res més que no sigui
> arreglar el problema que t'impedeix fer login.  Però vaja, cada u que
> faci el que cregui convenient...

Per a reparar fsck no hi ha més remei, ja que Systemd impedeix l'ús de
l'arrel en només-lectura.

Re: (deb-cat) Arrencada 'single' sense root login

[Ernest Adrogué]

2019-06-30, 17:15 (+0200); Narcis Garcia escriu:
> Si, ja veig que amb init=/bin/bash s'esquiven dos problemes: un
> l'esmentat, i l'altre el muntatge de l'arrel amb escriptura que provoca
> Systemd. Ara ja sé com utilitzar fsck sobre la partició del sistema, de
> forma senzilla, o sense la interferència de Systemd.
> La primera pega que he trobat és què la comanda «shutdown» no shuta.

Si arrenques amb init=/bin/bash no tens procés init, que és el procés
que controla els runlevels, i per tant no pots apagar el sistema de
manera correcta.  Per aquest motiu el paràmetre init=/bin/bash
normalment només es fa servir com a últim recurs, per exemple quan has
perdut la contrasenya root.  Canvies la contrasenya i surts.  No
s'hauria de d'utilitzar per fer fscks ni per res més que no sigui
arreglar el problema que t'impedeix fer login.  Però vaja, cada u que
faci el que cregui convenient...

Salut.

Re: (deb-cat) Arrencada 'single' sense root login

[Josep Lladonosa]

Ja ho comenten, també: shutdown és un procés complex, seria similar al cas
anterior del sudo...
Cal doncs buidar buffers (sync) desmuntar a mà els sistemes de fitxers
(umount) i poweroff/halt/reboot...

https://askubuntu.com/questions/638062/shutdown-unable-to-shutdown-system-from-root-shell-init-bin-bash-ubuntu-14



On Sun, 30 Jun 2019 at 17:15, Narcis Garcia  wrote:

> __
> I'm using this express-made address because personal addresses aren't
> masked enough at this mail public archive. Public archive administrator
> should fix this against automated addresses collectors.
> El 30/6/19 a les 15:38, Josep Lladonosa ha escrit:
> >
> >
> > On Sun, 30 Jun 2019 at 14:58, Narcis Garcia  > > wrote:
> >
> > __
> > I'm using this express-made address because personal addresses aren't
> > masked enough at this mail public archive. Public archive
> administrator
> > should fix this against automated addresses collectors.
> > El 30/6/19 a les 12:48, Ernest Adrogué ha escrit:
> > > 2019-06-30, 12:23 (+0200); Josep Lladonosa escriu:
> > >> Imagino que a causa d'aquesta "complexitat" inicial (i potser
> > més) sudo no
> > >> està implantat (inicialitzat?) en el cas del mode de recuperació
> > imagino
> > >> que perquè l'entorn inicial és molt bàsic.
> > >
> > > Exacte, el mode monousuari és per reparar el sistema en cas de mal
> > > funcionament.  Per ser efectiu com a eina de reparació no pot
> dependre
> > > de components que no són essencials per fer tasques de
> > recuperació.  Els
> > > usuaris diferents de root no són essencials per fer aquestes
> tasques.
> > > Sudo tampoc.
> > >
> > > Salut.
> > >
> >
> > Aleshores, a Ubuntu ho fan millor quan permeten el mode monousuari
> sense
> > contrasenya.
> >
> >
> > Bé, dependrà del nivell d'exigència que es vulgui. ;-)
> >
> > Val a dir que, en qualsevol distribució, un init=/bin/bash en els
> > paràmetres d'inici del nucli, i la seguretat a fer punyetes! :-)))
>
> Si, ja veig que amb init=/bin/bash s'esquiven dos problemes: un
> l'esmentat, i l'altre el muntatge de l'arrel amb escriptura que provoca
> Systemd. Ara ja sé com utilitzar fsck sobre la partició del sistema, de
> forma senzilla, o sense la interferència de Systemd.
> La primera pega que he trobat és què la comanda «shutdown» no shuta.
>
>

-- 
--
Salutacions...Josep
--

Re: (deb-cat) Arrencada 'single' sense root login

[Narcis Garcia]

__
I'm using this express-made address because personal addresses aren't
masked enough at this mail public archive. Public archive administrator
should fix this against automated addresses collectors.
El 30/6/19 a les 15:38, Josep Lladonosa ha escrit:
> 
> 
> On Sun, 30 Jun 2019 at 14:58, Narcis Garcia  > wrote:
> 
> __
> I'm using this express-made address because personal addresses aren't
> masked enough at this mail public archive. Public archive administrator
> should fix this against automated addresses collectors.
> El 30/6/19 a les 12:48, Ernest Adrogué ha escrit:
> > 2019-06-30, 12:23 (+0200); Josep Lladonosa escriu:
> >> Imagino que a causa d'aquesta "complexitat" inicial (i potser
> més) sudo no
> >> està implantat (inicialitzat?) en el cas del mode de recuperació
> imagino
> >> que perquè l'entorn inicial és molt bàsic.
> >
> > Exacte, el mode monousuari és per reparar el sistema en cas de mal
> > funcionament.  Per ser efectiu com a eina de reparació no pot dependre
> > de components que no són essencials per fer tasques de
> recuperació.  Els
> > usuaris diferents de root no són essencials per fer aquestes tasques.
> > Sudo tampoc.
> >
> > Salut.
> >
> 
> Aleshores, a Ubuntu ho fan millor quan permeten el mode monousuari sense
> contrasenya.
> 
> 
> Bé, dependrà del nivell d'exigència que es vulgui. ;-)
> 
> Val a dir que, en qualsevol distribució, un init=/bin/bash en els
> paràmetres d'inici del nucli, i la seguretat a fer punyetes! :-)))

Si, ja veig que amb init=/bin/bash s'esquiven dos problemes: un
l'esmentat, i l'altre el muntatge de l'arrel amb escriptura que provoca
Systemd. Ara ja sé com utilitzar fsck sobre la partició del sistema, de
forma senzilla, o sense la interferència de Systemd.
La primera pega que he trobat és què la comanda «shutdown» no shuta.

Re: (deb-cat) Arrencada 'single' sense root login

[Ernest Adrogué]

2019-06-30, 14:58 (+0200); Narcis Garcia escriu:
> Aleshores, a Ubuntu ho fan millor quan permeten el mode monousuari sense
> contrasenya.

Permeten obrir una sessió shell amb UID 0 sense contrasenya, sempre que
tinguis accés físic a la màquina.  Però això ho permeten totes les
distribucions, només has d'arrencar el kernel amb l'opció init=/bin/sh

Salut.

Re: (deb-cat) Arrencada 'single' sense root login

[Josep Lladonosa]

On Sun, 30 Jun 2019 at 14:58, Narcis Garcia  wrote:

> __
> I'm using this express-made address because personal addresses aren't
> masked enough at this mail public archive. Public archive administrator
> should fix this against automated addresses collectors.
> El 30/6/19 a les 12:48, Ernest Adrogué ha escrit:
> > 2019-06-30, 12:23 (+0200); Josep Lladonosa escriu:
> >> Imagino que a causa d'aquesta "complexitat" inicial (i potser més) sudo
> no
> >> està implantat (inicialitzat?) en el cas del mode de recuperació imagino
> >> que perquè l'entorn inicial és molt bàsic.
> >
> > Exacte, el mode monousuari és per reparar el sistema en cas de mal
> > funcionament.  Per ser efectiu com a eina de reparació no pot dependre
> > de components que no són essencials per fer tasques de recuperació.  Els
> > usuaris diferents de root no són essencials per fer aquestes tasques.
> > Sudo tampoc.
> >
> > Salut.
> >
>
> Aleshores, a Ubuntu ho fan millor quan permeten el mode monousuari sense
> contrasenya.
>

Bé, dependrà del nivell d'exigència que es vulgui. ;-)

Val a dir que, en qualsevol distribució, un init=/bin/bash en els
paràmetres d'inici del nucli, i la seguretat a fer punyetes! :-)))




-- 
--
Salutacions...Josep
--

Re: (deb-cat) Arrencada 'single' sense root login

[Narcis Garcia]

__
I'm using this express-made address because personal addresses aren't
masked enough at this mail public archive. Public archive administrator
should fix this against automated addresses collectors.
El 30/6/19 a les 12:48, Ernest Adrogué ha escrit:
> 2019-06-30, 12:23 (+0200); Josep Lladonosa escriu:
>> Imagino que a causa d'aquesta "complexitat" inicial (i potser més) sudo no
>> està implantat (inicialitzat?) en el cas del mode de recuperació imagino
>> que perquè l'entorn inicial és molt bàsic.
> 
> Exacte, el mode monousuari és per reparar el sistema en cas de mal
> funcionament.  Per ser efectiu com a eina de reparació no pot dependre
> de components que no són essencials per fer tasques de recuperació.  Els
> usuaris diferents de root no són essencials per fer aquestes tasques.
> Sudo tampoc.
> 
> Salut.
> 

Aleshores, a Ubuntu ho fan millor quan permeten el mode monousuari sense
contrasenya.

Re: (deb-cat) Arrencada 'single' sense root login

[Pedro]

> DebianInstaller proposa crear una contrasenya per a «root».

això és nou de debian buster? perquè a debian stable també proposa crear
contrassenya de root i diu que si la deixes en blanc dóna a l'usuari
permisos de root via sudo

per tant no he entès on està el problema


0x9D64597C3A982DCA.asc
Description: application/pgp-keys


signature.asc
Description: OpenPGP digital signature

Re: (deb-cat) Arrencada 'single' sense root login

[Ernest Adrogué]

2019-06-30, 12:23 (+0200); Josep Lladonosa escriu:
> Imagino que a causa d'aquesta "complexitat" inicial (i potser més) sudo no
> està implantat (inicialitzat?) en el cas del mode de recuperació imagino
> que perquè l'entorn inicial és molt bàsic.

Exacte, el mode monousuari és per reparar el sistema en cas de mal
funcionament.  Per ser efectiu com a eina de reparació no pot dependre
de components que no són essencials per fer tasques de recuperació.  Els
usuaris diferents de root no són essencials per fer aquestes tasques.
Sudo tampoc.

Salut.

Re: (deb-cat) Arrencada 'single' sense root login

[Josep Lladonosa]

On Sun, 30 Jun 2019 at 10:04, Narcis Garcia  wrote:

> Acabo de comprovar en una instal·lació feta amb
> debian-buster-DI-rc1-amd64-DVD-1 (i actualitzada) que a Debian 10
> segueix sense estar resolt un problema, que em sembla que a Ubuntu a
> Ubuntu sí que hi tenen solució:
>
> Com molta altra gent, tinc per sistema no establir contrasenya de «root»
> a les instal·lacions, de manera que aquest compte tingui deshabilitat
> l'inici de sessió com a usuari.
> Això ja implica que el primer compte d'usuari normal té permisos «sudo»
> per a fer crides d'administració del sistema (com root).
>
> Si necessito arrencar amb l'alternativa «recovery mode» del gestor
> d'arrencada, el sistema operatiu només permet la sessió monousuari
> (sense escriptori ni xarxa) en cas que «root» tingui contrasenya, ja que
> només està previst l'accés proporcionant la contrasenya de «root» a
> consola.
>
> Crec que l'autenticació de qualsevol usuari del grup «sudo» hauria de
> permetre el mateix.
>

He estat mirant una mica això i "sudo" és més complex del que sembla ja
que, en l'arrencada, inicia un script per preparar l'entorn 'selinux' (de
seguretat).
A banda, sudo fa registre (log) de l'activitat de cada usuari que
l'utilitza.
Imagino que a causa d'aquesta "complexitat" inicial (i potser més) sudo no
està implantat (inicialitzat?) en el cas del mode de recuperació imagino
que perquè l'entorn inicial és molt bàsic.

$ find /etc/rc?.d -name "*sudo*"
/etc/rc2.d/S02sudo
/etc/rc3.d/S02sudo
/etc/rc4.d/S02sudo
/etc/rc5.d/S02sudo

Com pots veure, sudo no s'inicialitza en el runlevel 1 (no és a
/etc/rc1.d/) que és de "monousuari".
He parlat de Debian. No sé massa com s'ho fan a Ubuntu ja que tal com deies
es pot entrar en mode de recuperació.
He provat i el paquet "sudo" és força diferent entre les dues distribucions
(Ubuntu no té tot això dels /etc/rc?.d/ i en una màquina bàsica Ubuntu per
al mode de recuperació no m'ha demanat cap contrasenya.




> Anant més enllà, no sé el perquè en una instal·lació normal el
> DebianInstaller proposa crear una contrasenya per a «root».
> --
>
>
> __
> I'm using this express-made address because personal addresses aren't
> masked enough at this mail public archive. Public archive administrator
> should fix this against automated addresses collectors.
>
>

-- 
--
Salutacions...Josep
--

(deb-cat) Arrencada 'single' sense root login

[Narcis Garcia]

Acabo de comprovar en una instal·lació feta amb
debian-buster-DI-rc1-amd64-DVD-1 (i actualitzada) que a Debian 10
segueix sense estar resolt un problema, que em sembla que a Ubuntu a
Ubuntu sí que hi tenen solució:

Com molta altra gent, tinc per sistema no establir contrasenya de «root»
a les instal·lacions, de manera que aquest compte tingui deshabilitat
l'inici de sessió com a usuari.
Això ja implica que el primer compte d'usuari normal té permisos «sudo»
per a fer crides d'administració del sistema (com root).

Si necessito arrencar amb l'alternativa «recovery mode» del gestor
d'arrencada, el sistema operatiu només permet la sessió monousuari
(sense escriptori ni xarxa) en cas que «root» tingui contrasenya, ja que
només està previst l'accés proporcionant la contrasenya de «root» a consola.

Crec que l'autenticació de qualsevol usuari del grup «sudo» hauria de
permetre el mateix.
Anant més enllà, no sé el perquè en una instal·lació normal el
DebianInstaller proposa crear una contrasenya per a «root».
-- 


__
I'm using this express-made address because personal addresses aren't
masked enough at this mail public archive. Public archive administrator
should fix this against automated addresses collectors.