TIL...

[ex0_planet]

... что systemd не понимает кучу опций в crypttab, в частности keyscript. Что, если вам не повезет, может привести к полной незагружабельности машины. А если повезет — будете просто вводить пароли N раз, сколько есть дисков в crypttab'е.

Поттеринг все ж мудак полный — взять, выкинуть работающую вещь, заменив своими полупереваренными выделениями, и выдавать это за неизбежное наступление светлого будущего. Проблема, между прочим, известна года так с 2011; сама первопричина проблемы смущенно ковыряет носочком пол и мямлит что-то вроде "... ну пока хорошего патча никто не прислал...".

PS. Как это обходить написано здесь.

Comments

[poor-sysadm.livejournal.com]

"*хорошего* патча"

это надо понимать как то, что народ в принципе пытался исправить ситуацию, но всех завернули 'по формальным признакам'?

[ex0_planet]

Я хз, не вникал подробно. Учитывая, что какие-то патчи были, но в systemd-cryptsetup.c в комментариях до сих пор написан "список опций cryptsetup которые мы не поддерживаем"... ну можно только гадать.

[ex0_planet]

Во, типичный пример:

---

> That's the vision, yes. At the moment, my keyscript unlocks a small
> LUKS partition on the disk and takes the key for the root fs from
> there. That's just a placeholder for a future more complicated setup.

Not following. You place a key for a LUKS partition on another LUKS
partition? What's the benefit of that? Inception? ;-)

> With Debian's initramfs, unlocking the small LUKS partition works
> transparently even with plymouth. This is real functionality being
> lost in the systemd migration.

Haven't understood your setup yet I must say, before I can agree that
this is "real functionality"...

---

То есть, он даже не понимает нихуя что ломает.

[develop7]

0. а если поместить этот пост под замок, то починят прямо сию же минуту
1. все вопросы к maintainerам дистра
2. раз хорошего патча не прислали, может оно и правда никому не нужно?
3.

смущенно ковыряет носочком пол и мямлит

termini, #2

[ex0_planet]

0. Ась? С 2011 года не починили, предлагается не выебываться и слушать группу "Валенки".

1. А что, остались немаргинальные дистры без системд?

2. Пытались. Единственная проблема что keyscript рассматривается сейчас как non-systemd way, и поэтому все сейчас вынуждены ждать пока господин пэжэ не придумает что-нибудь получше.

3. Я тащемта и не скрывал своего предвзятого отношения к господину пэжэ. Факты про реализацию keyscript в systemd от этого не меняются.

[develop7]

0. это ирония. обыгрывает непонятное стремление высказываться про плохого-плохого пёттёрёнга способом (в жж и на русском языке), практически исключающим любые подвижки в сторону решения проблемы.
1. таки я без понятия, вам они нужнее — вам и искать
2. ссылок бы на «пытались» и «рассматривается». нащот «вынуждены ждать» — всем известно, что это только пж тупой и вредный. вы умные и вам Нужно — вот и придумайте. apulse вон с systemd-shim всякими руки небось не отвалились запилить.
3. я намекал на то, что озвучивание заведомых домыслов/фантазий убедительности вам не добавляет

[ex0_planet]

0. К сожалению, общая аура вокруг проекта системд практически исключает возможность каких либо подвижек.

1. Меня вполне устраивало так, как было. Почему они приходят и ломают?

2. Может, еще на хабр написать? Проблема с системд в том, что он не интегрируется с экосистемой, а пожирает ее. Что в конечном итоге ведет к фрагментации (не два сорта инита и три пакетных менеджера, а по-взрослому).

3. Зачем мне кого-то убеждать, любой желающий может собрать конфигурацию с keyscript в crypttab'е и убедиться. А потом пойти в мейллисты и найти там залупу Поттеринга.

[develop7]

0. подвижкам не способствует разве что сишечка как основной язык разработки. а в качестве примера «починили поломанное» навскидку можно привести отображение прогресса fsck

[ex0_planet]

да, давайте ось на бейсике напишем. какой там щас в этом сезоне моден?

[develop7]

передёргиваете. unit generators (которые в т.ч. и crypttab обрабатывают) можно спокойно писать хоть на php — при условии, что оно отработает быстрее, чем с диска считается.

[ex0_planet]

Передергиваю, разумеется. А что еще делать с комментом который не в кассу совершенно?

Еще раз, дело не в unit generators, и не в обработке crypttab'а как такового, а в keyscripts. Сам ПэЖэ предлагает написать password agent для такого (о проблемах самих password agent'ов умолчим).

Но вот что-то пишущих не видно. И дело даже не в сишечке, а в том что нет желающих насиловать себе мозжечок изучением архитектурных квирков очередного поделия. Хватает как бы других, более насущных задач.

Хватит уже переписывать из пустого в порожнее — это что, и есть так называемое "развитие", когда новое поколение разработчиков решает все те же задачи что и старое, только другим способом?

[develop7]

Но вот что-то пишущих не видно. И дело даже не в сишечке, а в том что нет желающих насиловать себе мозжечок изучением архитектурных квирков очередного поделия. Хватает как бы других, более насущных задач.

wishful thinking. причина, например, в том, что кейс не нужен немедленно заметному количеству пользователей и да, хватает более других задач.

новое поколение разработчиков решает все те же задачи что и старое, только другим способом?

нет. решают проблемы (старые и новые), старательно игнорируемые старым поколением.

[ex0_planet]

> кейс не нужен

Фак. Видимо все те пользователи, которым он был настолько нужен в старом cryptsetup, куда-то внезапно делись. Умерли, наверное, или отправились на Марс.


> проблемы ..., старательно игнорируемые старым поколением.

Пока больше похоже на то, что old school игнорирует одни проблемы, а поттеринги — другие. Причем в первом случае за этим игнорированием просматривается идея — я про http://www.dreamsongs.com/RiseOfWorseIsBetter.html упоминал уже?

[develop7]

Видимо все те пользователи, которым он был настолько нужен в старом cryptsetup, куда-то внезапно делись.

или переехали на генту/slackware. или используют workaroundы. или запилили юнитов для шифрованных разделов, снесли /etc/crypttab и спрашивают главный пароль из systemd-ask-password.

Причем в первом случае за этим игнорированием просматривается идея

которая заключается в «да хер его знает как это корректно сделать, давайте не сделаем никак вообще».

я про http://www.dreamsongs.com/RiseOfWorseIsBetter.html упоминал уже?

и данный кейс, насколько я понимаю, вполне соответствует правилу про completeness в части «In fact, completeness must be sacrificed whenever implementation simplicity is jeopardized.» тем более, что обсуждается второстепенная функциональность.

[ex0_planet]

> или переехали на генту/slackware. или используют workaroundы. или...

Откуда же берутся все те возмущенные толпы в мейллистах?


> спрашивают главный пароль из systemd-ask-password.

Вот тут не понял. Сосистемд и так прекрасно умеет спрашивать пароль. Как это позволит открыть все остальные тома с тем же ключом?


> данный кейс, насколько я понимаю, вполне соответствует правилу про completeness в части «In fact, completeness must be sacrificed whenever implementation simplicity is jeopardized.»

Как бы ровно наоборот. Сам ПэЖэ там где-то пишет нащот того что "complexity here is for correctness". Только почему-то correctness в его понимании выглядит как-то странно: архитектурные навороты, которые непонятно какую реальность вообще отражают, и к тому же полнотой не отличаются.

[develop7]

коммент выше заскринен за процитированную ссылку

[develop7]

0. подвижкам не способствует разве что сишечка как основной язык разработки. а в качестве примера «починили поломанное» навскидку можно привести отображение прогресса fsck

[develop7]

1. если устраивало, зачем обновлялись? а так maintainerам оказалось удобнее обслуживать дистр с systemd чем без.

[ex0_planet]

В порядке эксперимента.

[develop7]

это же прекрасно — можно с чистой совестью считать эксперимент провалившимся и начинать проповедовать какой плохой этот ваш systemd

[ex0_planet]

это смотря откуда смотреть. как по мне — эксперимент прекрасный, лишний раз показал, что с поделиями хуевого мудака надо экспериментировать только во взрывозащищенной камере и заранее подготовив объект к захоронению.

[develop7]

2. то-то у меня половина сервисов (иксы, *sql, apparmor etc) батниками стартует. это systemd их так поглотил, оказывается

[ex0_planet]

Сервисов? Да срать на них, это 10% функционала нынешнего системд
https://lh3.googleusercontent.com/-bZId5j2jREQ/U-vlysklvCI/AAAAAAAACrA/B4JggkVJi38/w426-h284/bd0fb252416206158627fb0b1bff9b4779dca13f.gif

[develop7]

разве что функциональности, запиливать которую начали в лучшем случае после анонса оной в systemd :)
я исхожу из осознания вами факта, мягко скажем, неточности гифки

[ex0_planet]

По-моему кто-то из нас спорит с очевидным.

[develop7]

3. конфигурация по ссылке выше (с ключами на обычной флешке) вполне аргументированно обзывается security theater. за то, что ключи элементарно копируются. олсо xkcd://538

[ex0_planet]

#6, imago

ПЖ взял учебный, практически, пример и геройски с ним расправился. Если б он хоть примерно понимал с чем работает, то сообразил бы, что ключ может быть хоть на смарткарте, хоть в gpg и закрыт пассфразой.

[develop7]

какой привели, с таким и расправился, да
олсо показали бы свой keyscript что ли

[ex0_planet]

http://http.debian.net/debian/pool/main/c/cryptsetup/cryptsetup_1.4.3-4.debian.tar.gz → debian/scripts/decrypt_derived

[develop7]

я не уверен, что понял, в каком месте оно спрашивает пароли

[ex0_planet]

Ни в каком. Пароль спрашивается при разблокировке /, далее эта штука использует этот же ключ для разблокировки остальных. По сути это эквивалентно хранению ключей в поддиректории где-нибудь в /etc, только более аккуратно исполнено.

[develop7]

https://github.com/systemd/systemd/commit/e287086b8aa2558356af225a12d9bfea8e7d61ca теперь можно перевернуть методичку на страницу «сделать-то сделали, но чего ж так долго?!»

[ex0_planet]

Охренеть, чо. Только он как обычно продемонстрировал что не понимает что ломает и чем занимается.

Раньше у меня хотя бы был выбор, использовать разные ключи для разных дисков, или нет.

[develop7]

я не являюсь автором данного кода и не обладаю необходимой квалификацией для его полноценного обсуждения. по приведённой ссылке вполне себе можно изложить возражения, сомнения и оскорбления в виде комментариев. которые я охотно почитаю.

[ex0_planet]

чесгря лень по пунктам разбирать, да и бессмысленно это при настолько различающемся видении. чо тут можно объяснить, если человек не отличает ключ от пароля. это какбе базовые основы, тут не нужно особой квалификации.