zfs + geli + dropbear

Honza Klokanek Sipek klokanek at eldar.cz
Sun Jan 8 22:06:28 CET 2012

Previous message: zfs + geli + dropbear
Next message: zfs + geli + dropbear
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

ahoj, 
diky za obsirnej rozbor, 
ze linkovany staticky, to je jasne. 
myslel jsem jeste pred namountovanim /root, aby ta mohla byt sifrovana
taktez (ale mozna se spokojim se zjistenim, ze je to overkill) 
linux ma "early-ssh", ktery se spusti uz z initramfs, tedy pred namontovanim 
rootu.





Sun, Jan 08, 2012 at 09:29:31PM +0100, Dan Lukes pise:
> On 01/08/12 21:08, Honza Klokanek Sipek:
> >otazka tedy je, v jaky nejrannejsi fazi se da pustit nejaky ssh rozhrani,
> 
> Kernel v ramci sve incializace zdetekuje hardware a priradi mu ovlaadce. 
> K tomu ma namountovanu "root" svazek read-only.
> 
> Pote spusti prvni uzivatelsky proces - defailtne /sbin/init
> 
> Uz v tomto okamziku bys misto nej mohl spustit neco jineho. Samozrejme, 
> to "neco" musi "init" bud' funkcne nahradit, nebo ho nakonec musis spustit.
> 
> Ale obavam se, ze tahle faze je na tebe prilis brzo.
> 
> 
> "init" nasledne zacne startovat dalsi uzivatelsk eprocesy - tedy 
> jednotlive /etc/rc.d/* /usr/local/etc/rc.d/*
> 
> Zde si muzes pomoci vlastniho souboru vlozit co potrebujes prakticky do 
> kterekoliv faze.
> 
> A kdyby to nestacilo, prepisovanim exist5ujicich souboru pak muzes 
> modifikovat i poradi "standardnich" procesu.
> 
> Pro spusteni sitoveho serveru potrebujes mit k dispozici
> 
> 1. pristup k samotnemu binaru daneho daemona
>   pokud je na rootovskem svazku je k dispozici od sameho pocatku, pokdu 
> neni, je k dispozici teprve pote co je namountovan prislusny svazek
> 
> samozrejme, pristup potrebujes nejen k vlastnimu binaru, ale take ke 
> vsem dynamickym knihovnam ktere potrebuje, ledaze je linkovan staticky
> 
> pri pristup ke knihovnam plati obdobne omezeni jako pro pristup k 
> vlastnimu binaru, navic pak musi byt jiz nakonfigurovan i "ldconfig" aby 
> se dynamickou knihovny pri zavadeni binaru daemona podarilo najit.
> 
> 2. funkcni sitovou vrstvu
>   to znamena nakonfigurovanou IP adresu a masku na prislusnem interface
>   pokud jede o pristup z "vetsi dalky" nez z lokalni site, musis mit 
> vyplnenou i routovaci tabulku (obvykle staci defaultni zaznam).
> 
> Tphle by uz za urcitych okolnosti melo stacit. Ale v konkretni situaci 
> to samozrejme zalezi na rade dalsich okolnosti - pokdu mas v kernelu 
> uzavreny firewall, musis nakonfigurovat i ten. Pokdu v resolv.conf 
> odjkazujes na lokalni resolver, muze byt nutne mit funkcni i lokalni DNS 
> server (pokud dany daemon DNS pro svoji praci potrebuje).
> 
> Uplne obecne se odpovedet neda ...
> 
> Dan
> -- 
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l

-- 
<(o)>..klokanek...............................................................  
     (honza sipek) * klokanek (zavinac) eldar.cz * ICQ#281 154 266
        skype: brouci.tykadylko  jabber: klokanek (zavinac) jabber.cz
                 	tel.: +420 776 817 817 
..................................... . ..        ..   . .  
Hackeri: kouzlo modre obrazovky ------> http://eldar.cz/kangaroo/clanecky/hackeri/

Previous message: zfs + geli + dropbear
Next message: zfs + geli + dropbear
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list