Entwickler-Diskussion #

Auf Wiki-Diskussionsseiten hat es sich als sinnvoll erwiesen, Antworten auf Beiträge zu signieren, indem man seinen Namen dahinterschreibt. -- ThomasBayen

Ausserdem kann man Antworten auf den Beitrag eines anderen einrücken. -- ThomasBayen
Und Antworten auf Antworten... (ich sehe, Ihr versteht) -- ThomasBayen

So... diese Seite ist zum rumerzählen über unser CD-Linux. Mal sehen, wie aktiv das hier so wird, trotz Ferienzeit... Wie gefällt Euch denn die Idee der neuen User-Homepage KrefixLinux? -- ThomasBayen

Thema: Startskript #

Ich denke, wir brauchen für einige Dinge ein eigenes Initskript. Z.B. die Internetverbindung will ja nicht jeder Anwender immer automatisch hochgefahren haben, wie das z.B. mit dem pppd-Initskript möglich ist.

Dabei fallen mir im Moment ein paar Fragen ein:

Welche Aufgaben hat das Skript?

Generell haben wir ja bisher versucht, ohne ein Skript auszukommen, das dann andere Teile des Systems manipuliert und nur mit den normalen Konfigurationen der entsprechenden Dienste auszukommen. Deshalb haben wir z.B. immer 4 Interfaces und der DHCP meckert ein bisschen beim hochfahren. Das ist IMHO aber immer noch besser, als zu viels in einem Skript zusammnezufassen, das dann die Config-Dateien der anderen Dienste manipuliert. Das hat sowas von Yast und Linuxconf. :-p

Also: Wollen wir, daß das Skript z.B. aus einer eigenen Config-Datei Dinge wie Name und Passwort für den Internet-Zugang in die entsprechenden Konfigurationsdateien schreibt (das hat sowas von Yast :-p ) oder muss der User die originalen Files editieren. (IMHO besser, aber dann brauchen wir mittelfristig ein kleines Konfigurationstool)

Welche Nummer (Reihenfolge beim Hochfahren) ist sinnvoll?

Sehe ich richtig, das es in das rcS.d-Verzeichnis gehört?

Oder haben wir Services, die man hoch- und runterfahren können sollte (Internet-Zugang?!?) wie mit den Runlevel-Initskripten möglich? Braucht das jemand? Ist das wünschenswert, das sich jemand auf einem Router einloggt, um dann da Dinge hoch- und runterzufahren?

-- ThomasBayen

Thema: Entwicklerversion / Replikat des "Master" #

Wie komme ich zur allerletzten Beta-Version von Krefix? Muss ich dann immer ISOs ziehen? Ich hab' hier ein Downloadlimit, das zwar i.a. reicht, aber dann könnte es schon eng werden. IMHO wäre auch hier ein Replikat des aktuellen Masters sinnvoll indem ich die Änderungen einpflege. Auch gleich eine Gelegenheit mit Debianstrukturen vertraut zu werden.

Original-Master sieht so aus: #

Also wir haben hier ein Basissystem ("Master") in der LUG. Das hat z.Zt. eine 200MB-Partition (ich empfehle 300-400MB). Davon können wir mit einem Skript-Aufruf ein Image bauen. Das lege ich dann ab und zu bei Sourceforge ab.

Installation von CD auf Festplatte #

Du kannst die CD mit einem Befehl wieder auf eine Platte installieren und hättest dann ein identisches Grundsystem wie wir. Dann müssen wir allerdings Modifikationen synchronisieren. Wir müssten uns dazu zwingen, keinen Pups am System zu ändern, ohne dies im Wiki zu dokumentieren.

Inkrementelle Updates mit rsync #

Evtl. könnte rsync unser Freund sein. Wir könnten u.U. etwas basteln, so daß Du Dich per rsync hier einloggen könntest. Meine Firewall könnte das NATen (wenn Du eine feste IP hast) oder wir bauen ein VPNmitIPSec auf. -- ThomasBayen

Ich versuche was hier mit rsync zum Datenaustausch auf die Beine zu stellen (was ich für grundsätzlich sehr sinnvoll halte, rsync meine ich). Der Personenkreis ist eingeschränkt, ob und wie wir eine Authentifizierung machen, müssen wir uns überlegen. Angenommen ich krieg hier das "Bürokratische" hin, Disziplin vorausgetzt, mit was für einem Datenvolumen rechnen wir (Platz auf der Platte)? Der fragliche Rechner hat leider nicht viel Disk-Kapazität über. -- MichaelZacherl
Diesen gordischen Knoten der Authentifizierung per VPN zwischen zwei d<ynamischen IP-Adressen habe ich bereits zerschlagen. Ich habe hier ein VPNmitIPSec zwischen zwei Rechnern mit dynamischer IP stehen, die per T-Online-Flatrate angebunden sind. Das Schwert für den Knoten heisst dabei DynamischesDNS. Den IPSec-FAQs nach zu urteilen, bin ich der erste auf der Welt, der das hinbekommen hat (IPSec ohne feste Adressen). :-)
Im Prinzip ist alles, was man dazu braucht, auf der Krefix drauf. Vielleicht sollten wir also erstmal die vorhandene CD soweit konfigurieren, dass wir ein VPN-Netzwerk hinbekommen. VPN könnte dann ein Dienst der CD sein. Zuerst bastelst Du eine Konfig, die Dir Internetzugang per pptp gibt. Wenn das läuft, bauen wir zusammen ein VPN auf, so daß Du gesichert hier ins Netz kommst. Das alles speicherst Du auf eine Diskette und hast erstmal einen Router. Punkt. Dann schliesst Du einen zweiten Rechner an diesen Router an. Zwischen diesem zweiten Rechner und unserem Master-System kann man dann beruhigt rsync laufen lassen. -- ThomasBayen
Ich merke g'rad' ich hab' keine Ahnung: Ich ging davon aus, dass "der Master" irgendwo im Datenbereich einer Linuxkiste liegt und nicht selbst ein aktives System ist!? Wie ist sichergestellt, dass die Rsyncsklaven (also die Lesenden) nicht jeden Pups mitübertragen, bzw. was ist später, mit sog. "neutralen" Einstellungen?
Es ist, wenn man an dem System basteln will (und darum gehts hier ja) sinnvoll, wenn das System selber läuft. Man (ich) kann apt-get nicht auf einen Datenbereich anwenden und man kann die installierten Sachen nicht ausprobieren, wenn man nur "von aussen" auf das Filesystem sieht. Trotzdem ist das System ausschließlich als Master gedacht. Es enthält also keinen "Pups", der nicht mitübertragen werden dürfte. Alles, was drin ist, gehört auch rein (die einzige Konzession an unser LAN ist die Konfiguration von eth0:2). Dieses Master-System ist nicht zu verwechseln mit dem Router, der hier den Internetzugang regelt. Das ist (bisher) ein ganz eigener Rechner, der mit Krefix nix zu tun hat.
Alles klar - das heisst aber, der Master steht unter einer "disziplinären Käseglocke" - sonst wird er versaut!? - MichaelZacherl

Update eines Masters mit Hilfe einer Disketten-Version #

Fällt mir siedendheiss ein: was heisst die Sache mit der Floppy für die HD-Installation hier? Wie wird die nun zur 0.06a?

"Einfach" eine Neuinstallation vom laufenden ISO-Krefix aus? - MichaelZacherl
Zum Aufbau der Floppy gibts Infos auf KrefixLinux.FormatDerDiskette -- ThomasBayen

Sonstige Punkte #

  • Man könnte versuchen, die CD etwas kleiner und bandbreitenschonender zu machen unter Verzicht auf z.B. Doku, Paketlisten. etc. Allerdings wollen wir das nicht, da das System dadurch unkomfortabler und nicht mehr "Original Debian" wird.
  • Ich hoffe, dass wir irgendwann mal alle wichtigen Pakete drauf haben. Dann sollte ein Update des Basissystems nicht mehr so oft nötig sein. Die Kunst ist ja eigentlich die Konfiguration in /etc, die auf die Diskette kommt. -- ThomasBayen
  • DebianCDsMitJigdo nützt uns wahrscheinlich nichts, weil es kompliziert zu nutzen ist und nichts kann, was rsync nicht auch könnte.

Thema: root-Passwort, Umgang mit Zugangsdaten im Allgemeinen #

... ad "root-Passwort": Das derzeitige, ist das Debiankonvention? -- MichaelZacherl

Debian-Konvention ist, daß Du bei der Installation nach einem Passwort gefragt wirst. Unser root-Passwort haben wir uns ausgedacht ausgehend von dem Gedanken, daß ein Passwort, das wir als CD-Image ins Internet stellen, sowieso nicht schützenswert ist. Wenn wir keine besonderen Dienste vom Internet zugängig machen, sollte das akzeptabel sein. Ansonsten kann der User das ja wie alle Konfigurationen auf der Diskette ändern. Eine andere Methode wäre, das root-Passwort ganz ausser Kraft zu setzen und dann auf der Konsole direkt eine root-shell zur Verfügung zu stellen. So löst KnoppixLinux das. Ist vielleicht besser?!? -- ThomasBayen

Zugangsdaten / Klartextpasswörter #

Ich sehe mehrere Möglichkeiten. Was ich nicht mag sind Passwörter, die auf einem Medium im Klartext gespeichert sind - was jetzt beim root-PW nicht der Fall ist, mir aber gestern beim pptp-Konfigurieren sehr sauer aufgestossen ist!

Was sagt ihr zu der Möglichkeit, beim ersten Starten eines noch "jungfräulichen" KrefixLinux nach dem ersten Login ein neues root-PW zu erfragen und verschlüsselt auf der Floppy abzulegen?

Ich hätte lieber auch die Möglichkeit, daß das System (mit verminderter Funktionalität bzw. ohne Persistenz) auch ganz ohne Diskette läuft. Denke mal an den Vorführeffekt von KnoppixLinux.
Sollte gut möglich sein. Wir denken uns ein paar Standardscenarien aus, ein Gutteil lässt sich "erschnüffeln" und die paar Dinge wie Providerkennung, Passwort etc. gibt man beim Hochfahren (nicht-persistent) ein. Ebenso die Filter und Nat Tabellen.
Was wäre denn, wenn man das root-PW löscht und beim hochfahren dann, wenn kein root-PW vorliegt, eine offene root-Konsole auf ein Virtuelles Terminal legt? Dann wäre der "Trick", um reinzukommen "Drücke Alt-F8", aber von außerhalb könnte kein Mensch sich einloggen und dummes Zeuch machen. -- ThomasBayen
Für die Nur-CD Version ein tolle Idee! Nur sollte der Router doch auch fernwartbar sein (eh-klar), und (was mir hier, gerade bei dem Sauwetter hier Sorge macht), er sollte, zB bei Stromausfall, wieder ganz alleine zu sich finden, sobald der Saft wieder da ist.
- MichaelZacherl'
Wer den Router fernwarten will, muss halt erstmal an der Konsole ein Passwort vergeben. -- ThomasBayen

Providerdaten im Klartext #

Ebenso die Providerzugangsdaten, die derzeit im Klartext am System (i.e.) Floppy rumliegen (das freut mich gar nicht, weil mit dem PW, zB mein gesamter Account administriert werden kann)!? - MichaelZacherl
Dazu WarumPasswoerterImKlartextSeinMuessen. Das endet mit der Erkenntnis:
Also gut - Du hast mich überzeugt. Wir bauen eine Option, das das Tar-Archiv auf der Diskette verschlüsselt ist. Der Schlüssel kommt dann auf die CD. -- ThomasBayen

Ausgaben beim Hochfahren #

Ich denke, obwohl Knoppix eindeutig die Buntheit der X-Oberfläche auf seiner Seite hat, lässt sich auch mit Krefix ein Ah-Oh-Effekt erzeugen. Ich fände eine Art "Demomode" auch super, just to show the beauty of ASCII ;-) Also wo angezeigt wird, was wird im Netz gefunden, pseudografisch die Routen ausgibt etc. etc. - MichaelZacherl
Könnte man standardmässig beim hochfahren als letztes als eine Bildschirmseite ausgeben, und darunter dann das login (Aber erstmal hat die reine Funktion für mich Priorität). -- ThomasBayen

Thema: Änderungen zur nächsten Version #

Diskussion, "Was sollte noch an der nächsten, zu veröffentlichenden Version geändert werden?". (Gute Idee)

KrefixLinux 0.07 #

  • traceroute (schon besprochen) - Ist schon drin
  • IP-Forwarding fix einschalten (nachdem's ein Router sein soll?)
Ist Aufgabe der Firewall. - macht Checkpoint auch so. FW gestoppt, kein Routing. Ist vernünftig, trotzdem musste ich erst mal draufkommen ;-) - MichaelZacherl

Grundsätzliches: nehmen wir Dinge, wie zB eine Netzwerkstruktur vorweg an? D.h. Das private Netz ist 192.168.x.x, etc.? Ist IMHO nicht nur Geschmackssache.

Die Autokonfig erzeugt die Netze 192.168.200+x.y (x=Interface ethx). Davon sollten wir ausgehen. Wer das ändert bzw. selber anders einstellt, muss dann auch die Firewall etc. selber ändern.
Dann tu ich mir schwer mit Testen. Die PCs hier müssen bis auf Weiteres das ADSL-Modem selbst erreichen können. 2.IP Adresse ist v.a. unter NT4. Win2k teilw. genauso unvorhersehbar was passiert. Eine traurige Sache. :-| - MichaelZacherl
Ich habe keine separate Testumgebung sondern teste im LAN @Home, wo auch u.a. meine Freundin, die selbständig ist, arbeiten muss. D.h. zumindest zwei der Rechner (ihrer und meiner) müssen ans ADSL Modem können (abwechselnd, solange der Router noch nicht zuverlässig tut). D.h. sie müssen IP Adressen aus dem 10.0.0.0er Netz haben. Den KrefixRouter teste ich sinnvollerweise so, wie ich ihn von dir auf CD kriege, d.h. mit aktivem DHCP etc. Die Rechner (zumindest meiner, mit dem ich aber auch zu Hause schaffe) würden 2 IPs brauchen, die eine zum Modem (10.0.0.x), die andere die er per DHCP vom KrefixRouter zum Testen kriegt (192.168.200.y wenn ich's jetzt richtig auswendig weiss). Und genau das kann Linux, aber M$-Zeugs ned. Hast DHCP, kannst keine virtuellen Interfaces mehr anlegen, d.h. Einstellungen ändern und Rebooten bestimmen den Zeitablauf und Aufwand :-(
Derzeit gehe ich davon aus, dass DHCP funzt und habe die IP-Adressen am Win-Rechner fix eingestellt. Finde ich aber nicht berauschend, da kein Test unter "realen Bedingungen". Aber so kann ich zumindest mal schaun, dass das Routing am Krefix hinhaut und trotzdem ab und zu direkt ins Internet, ohne Reboot vom Win. -- MichaelZacherl
Irgendwelche Standard-Adressen muss man schliesslich auswählen. Diese Adressen müssen auch in der Konfiguration verschiedener Dienste angegeben werden, sind also nicht an einer zentralen Stelle änderbar. Das hängt damit zusammen, daß wir ausschließlich die Original-Konfigurationsdateien benutzen wollen und kein zentrales Skript a la "Yast", das beim hochfahren alle Config-Dateien durcheinanderwürfelt. Die betroffenen Files müsstest Du allerdings mit grep "192.168" -r /etc erfahren können (sollten so 3-4 sein). Wenn Du alle gleich änderst, sollte das kein Problem geben.

Definieren wir ein Minimum an Filterregeln vor? Derzeit ist nichts drinnen (soweit ich es jedenfalls erkennen kann).

Sollte in der 0.07 drin sein. Kennst Du ShoreWall? Dann ists jetzt Zeit, da mal reinzuschauen.
Shorewall ist über die iptables drübergelegt, d.h. sie definiert nichts, was in iptables nicht auch geht - nur übersichtlicher!? (Muss mich erst einlesen).
Ja, shorewall definiert letztlich auch nur iptables-Regeln. Allerdings ist die Konfiguration sehr übersichtlich und logisch, wenn man sich erstmal abgewöhnt hat, in iptabbles-Chains zu denken und sich angewöhnt, in Zonen zu denken. -- ThomasBayen
Und Troubleshooting in den chains ist nicht notwendig? - MichaelZacherl
Ich weiss jetzt nicht genau, was Du mit troubleshooting meinst, aber ich habe ShoreWall auf drei unterschiedlichen Rechnern laufen und habe noch nie Trouble gehabt. Ein "nachbearbeiten" der Regeln von Hand war noch nie nötig (ist auch nicht ganz einfach, weil die "Logik" von ShoreWall und iptables eine andere ist und Du Dich erstmal zurechtfinden musst.

Definieren wir Hiding-NAT vor? Hängt von den Netzen ab (so vordefiniert)?

Ich nehme an, mit Hiding-NAT meinst Du das gleiche wie Masquerading? Alle 192.168.x.x-Netze werden standardmässig in Richtung ppp0 maskiert.
Ich frag den NAT-Table und der weiss nix davon - mittlerweile liegt die Vermutung nahe, dass du die 0.07er Version meintest, wo das dann auch so ist. ;-) MichaelZacherl Ja - ist erst mit ShoreWall in 0.07 (siehe /etc/shorewall/masq) -- ThomasBayen
Die Konfiguration der ShoreWall in der 0.07 ist noch nicht abschliessend getestet. Wenn obige Angaben also so nicht stimmen sollten, melden. Dann gibts eine 0.07a. :-(
Na Freude ... allerdings bin ich der Meinung, du solltest die 0.07er rausschieben. Erstens will sehen, was Sache ist und ausserdem haben wir noch 93 Releases bis zur 1.0er vor uns ;-))
Ausserdem wird's damit jetzt endlich spannend! - MichaelZacherl
Wie denn rausschieben, wenn Du immer wieder Änderungen vorschlägst. ;-) Ich wollte das Paket heute morgen bei SF freigeben, da überzeugst Du mich eben, das wir ein Paket zur Verschlüsselung von Dateien brauchen... Daraufhin habe ich gerade mehrere Sekunden hart mir mir gekämpft, aber dann beschlossen, daß das erst in die 0.08 kommt. Ausserdem wollte ich warten, ob Du mir den Vollzug von PPTPoverDSL meldest, falls da noch was zu ändern gewesen wäre. Aber egal - jetzt ist sie draussen. Damit sinds nur noch 92! -- ThomasBayen
Ja, tut mir sorry, ich kann immer nur in 10 Minuten Abschnitten was tun, mehr is nich im Moment. Ausserdem muss ich noch viel lesen ;-) - MichaelZacherl

Eigene Version von FranzLischka #

FranzLischka und AndreasBeckermann haben einige Anfragen bezüglich einer eigenen, angepassten Version von KrefixLinux abgegeben. Da diese Diskussion sicherlich auch für andere interessant ist, habe ich sie auf die Seite KrefixLinux.KrefixAnpassungFuerFranz geschrieben.

This page (revision-3) was last changed on 02-May-2007 11:44 by MarkusMonderkamp  Top