jueves, agosto 09, 2007

La fonera casi esta lista

Llevo sin escribir desde el martes, y aunque desde hace dos días no me he dedicado mucho a la fonera desde mi último post ya ha llovido mucho, hasta el punto de que la fonera está casi lista para funcionar, está prácticamente acabada. Ya funciona el netboot, el script está hecho (aunque hay que cambiarle una cosa) y luego solo quedaría averiguar la parte idónea donde colocar el script, porque interesa que sea lo antes posible, para que así es proceso sea mas rápido. Os cuento un poco mas despacio como ha ido todo.

Lo primero que hice fue averiguar como era el funcionamiento del arranque pxe, viendo los archivos que descargué de ubuntu (netboot.tar.gz), averigüé como era (bueno y con unos conocimientos previos mínimos que adquirí gracias a google). Hacen falta 4 ficheros, os los pongo junto a una breve explicación de que son y para que sirven cada uno de ellos:

-pxelinux.0: esta es la piedra angular del pxe, es el archivo que llama el dhcp cuando recibe una solicitud de arranque vía red (tiene que estar configurado en el servidor dhcp, en mi caso, dnsmasq). Exactamente no puedo contaros el procedimiento que realiza ni nada porque no lo he averiguado.
-pxelinux.cfg/default: es el archivo de configuración, indica los parámetros del arranque y demás (bootsplash, si se muestra algún archivo, si pasa algo al pulsar las teclas f1, f2...). En esa carpeta se pueden configurar diferentes archivos si se quiere para cuando se reciba una petición de una determinada mac se use ese archivo. En mi caso no me interesa eso porque no conozco las MACs de los pc, además quiero que se válido con cualquier máquina. Luego comento este fichero mas despacio y las configuraciones que yo he usado.
-linux: este es el kernel linux que voy a usar, realmente se le puede poner cualquier nombre, pero tiene que estar configurado en el archivo anterior. El kernel que estoy usando yo lo he sacado de una imagen iso de guadalinex para instalación remota, para centros tic. En esa imagen hay tanto un kernel e initrd de v3 como de 2004.
-initrd.204: este es el fichero initrd, necesario para el arranque y que proporcionará un entorno de trabajo básico. Yo una vez mas he hecho uso del de guadalinex 2004, obtenido del mismo sitio que el kernel. Por qué se llama initrd.204? simplemente porque era el nombre que tenía en la imagen iso y no lo he cambiado, al contrario que el kernel que no lo cambié, realmente tanto el kernel como este archivo podéis llamarlos como queráis, eso si hay que configurar bien el pxelinux.cfg.

Bueno sabiendo eso solo queda saber como configurar el pxelinux.cfg/default. En la página web del autor se puede ver como se configura, en cualquier caso si sabéis usar syslinux también sabéis usar pxe, la sintaxis y los comandos son los mismos y es muy sencillo.

Os cuento como lo he configurado yo, la imagen iso de la que no paro de hablaros usa syslinux para su arranque, así que he usado el mismo fichero (no lo pongo aquí por su tamaño), pero le he cambiado algunas cosas, el timeout, que sea 0, es decir sin límite (tiempo de espera), el default local también lo quité, porque significa que cumplido el timeout arrancará desde el disco duro (local), y también elimine el label local, que es realmente quien indica lo del arranque local. Por último también eliminé el label Instalav3, porque no tengo ese kernel e initrd en la fonera. Lo demas lo dejé así. En cualquier caso, eso lo cambiaré. Dejaré una sola opción (default) que arranque el kernel y el initrd, y le pondré timeout 1, para que automáticamente cuando pase un segundo arranque el solo.

Ya solo falta una cosa para que la fonera sirve de pxe server, configurar en el servidor dhcp el archivo que tiene que enviar. Una vez mas editamos el archivo /etc/dnsmasq.conf, la línea que nos faltaba por terminar:

dhcp-boot=pxelinux.0

Simplemente tenemos que indicar el fichero, porque el servidor tftp ya esta configurado, así como su directorio raíz:

enable-tftp
tftp-root=/mnt/tftp

Con esa configuración yo ya lo tenía todo para la primera prueba, prueba que hice en el server, este initrd yo todavía no lo tenia modificado, así que no iba a quitar ninguna contraseña automáticamente, en este momento lo que me interesaba era probar si funcionaba o no, si podía arrancar desde la fonera, además lo hice en mi servidor porque yo sabía de antemano que no se me iba a borrar el disco duro ni nada parecido, ya que previamente había arrancado la imagen iso en vmware, y en cierto momento intentaba conectarse con rsync a 192.168.4.254, y esa ip no existe en mi red, por lo que ahí se paraba el arranque. Sabiendo eso conecté la fonera al server por ethernet y reinicio, el server comenzó a arrancar... desde la fonera!! funcionó! pero sabéis lo que pasó cuando llego ese momento en el cual se para el arranque? pues que me dio una shell! si una shell! así que yo monte la partición / y edité el fichero /etc/shadow y quité la contraseña de root, reinicio arrancando desde el disco duro y cuando llega la pantalla de login pongo root y ya esta! sin contraseña, funcionó! pude quitar la contraseña. También probé en el portátil y también le quité la contraseña, pero claro esto fue a mano, ejecutando comandos en esa shell, ahora se trata de hacer un script e integrarlo en el initrd, para que se ejecute todo automáticamente.

Ahora comienza otra odisea, en realidad todo sería muy sencillo con los conocimientos necesarios, pero en mi caso muchos de ellos los estoy adquiriendo especialmente para la ocasión, así que he tenido que ir poco a poco, a prueba y error. Ahora viene la parte de hacer el script y modificar el initrd, comencé con lo del script lógicamente. Hacer el script tenía una complicación añadida, tengo que averiguar en que partición se encuentra el archivo shadow, en mi prueba manual yo sabía que partición montar, pero el script tendrá que averiguarlo. Os voy a contar como lo hice la primera vez, y como lo estoy haciendo ahora.

Mi primera idea fue esta, os pongo el script que la plasma y ahora os la describo:

#!/bin/bash
PARTICIONES=$(ls /dev | grep "hd..")
mkdir /media
for i in $(echo $PARTICIONES)
do
mkdir /media/$i
mount /dev/$i /media/$i
done
SHADOW=$(find /media -name shadow | grep "/media/hd../etc/")
cp $SHADOW $SHADOW.bak
cat $SHADOW | grep root | sed -r 's/|[$][^:]ls /dev | grep hd | grep "hd.."+//g' > $SHADOW
cat $SHADOW.bak | grep -v root >> $SHADOW

Lo primero que hace es ver las particiones que tiene el sistema, y lo almacena en la variable PARTICIONES, mira en el directorio /dev, y filtra la salida con grep a lo que sea hd**, explico, como todos sabéis en linux los discos duros son ficheros que están en /dev, por ejemplo /dev/hda, y las particiones se indican, añadiendo un número al nombre del disco duro, así pues la primera partición del primer disco duro será /dev/hda1. Y esto a que viene? pues que un disco duro no lo puedes montar, montas sus particiones, por eso en vez de hacer un grep hd, que filtraría tanto discos duros como particiones, lo que hago es filtrar solo las particiones, mandando a grep que solo seleccione lo que empiece por hd y sigan dos carácteres cualesquiera, de esta forma entraría hda2 pero no hda, por lo que me ahorro errores a la hora de montar.

Después crea el directorio /media, donde se montaran todas las particiones. A continuación viene un bucle (for) que va tomando uno por uno todos los valores de la variable PARTICIONES, crea un directorio con ese nombre y monta ahí esa partición y se repite hasta que ha acabado con la variable PARTICIONES. Ejemplo, coge el primer valor hda1, crea el directorio /media/hda1 y monta en la partición /dev/hda1.

Ahora viene la parte clave del script, la que localiza el archivo shadow y lo edita. Lo primero que hace es asignarle un valor a la variable SHADOW, ese valor es la ruta del archivo /etc/shadow, para encontrarlo lo que hace es buscar en /media algo que se llame shadow, realmente así buscamos en todo el disco duro, porque todas las particiones están montadas en ese directorio, mas tarde esto supondrá un problema, pero lo veremos después. Lo siguiente que hace es un backup del fichero. Y las dos ultimas líneas son las que modifican el fichero y quitan el password de root, es posible y probable que haya un procedimiento mejor que el que yo he usado, pero no he sabido hacerlo de otra manera. Lo que hace la primera de las dos líneas es pasarle a sed la línea del fichero que corresponde a root, este último comando selecciona la parte de la contraseña y la elimina, el resultado va al propio fichero shadow, después para añadir las líneas correspondientes a los demás usuarios del sistema hago un grep -v root, consiguiendo que devuelva como resultado todo excepto la línea de root, para acabar se añade (>>) al fichero shadow.

Ese era el primer script que se me ocurrió, y en teoría parecía buena idea (al menos a mi), y parecía que funcionaría. Sin embargo yo no contaba con una cosa, en el caso de mi servidor el find busca en mas de 110 GB, y en el caso de mi portátil en unos 75 GB, cuando se ejecutó el script tardó increíblemente en acabar, y además no funcionó, pero de todas formas no me moleste en intentar arreglarlo, porque no se cuanta información almacenaran las laptops del instituto, pero no puedo estar 5 minutos esperando a que find termine de rastrear el disco duro, así que toca cambiar el algoritmo.

Al igual que antes os pongo el nuevo script y luego comento:

#!/bin/bash
PARTICIONES=$(ls /dev | grep "hd..")
mkdir /media
for i in $(echo $PARTICIONES)
do
mkdir /media/$i
mount /dev/$i /media/$i
SHADOW=$(ls /media/$i/etc/shadow)
SHADOW2=/media/$i/etc/shadow
if [ $SHADOW ==$SHADOW2 ]
then
cp $SHADOW $SHADOW.bak
cat $SHADOW | grep root | sed -r 's/|[$][^:]+//g' > $SHADOW
cat $SHADOW.bak | grep -v root >> $SHADOW
else
done
fi
done
shutdown -r now

Las primeras líneas son claras, se crea el directorio /media y se asigna un valor a la variable PARTICIONES, después viene un bucle for igual que antes, pero cambia la tarea que realiza, el procedimiento es este: crea un directorio, monta la partición en ese directorio, luego crea la variable SHADOW, lo que hace es un ls en busca del archivo shadow, si devuelve resultado es que el fichero existe, y la ruta se almacena, si no hay resultado el fichero no existe y la variable se queda en blanco. Lo siguiente es una "variable de control" que nos permitirá ver si $SHADOW tiene el valor correcto, simplemente es la ruta que debería tener el fichero shadow en caso de que existiera. A continuación mediante un if se comprueba si SHADOW es igual a SHADOW2, si es igual se deduce que el fichero shadow existe en esa partición, si no son iguales entonces no hay shadow. Si no hay shadow se acabó, si hay shadow se le quita el password y se le hace un backup con el mismo procedimiento que en el script anterior. Lo único que cambia en este script es el procedimiento de búsqueda del shadow. Cuando acaba reinicia la máquina.

Tengo que aclarar que el script no funciona, se ejecuta aparentemente bien, pero alguna parte debe fallar porque luego cuando se reinicia root sigue con pass, tendré que averiguar que parte va mal, pero el algoritmo yo creo que esta bien pensado, pienso que es un problema de implementación, habré codeado algo mal, ya pensaré como lo arreglo.

Por último vamos a ver la parte que nos falta, como se modifica el initrd. Un initrd normal está comprimido al máximo con gzip, por lo tanto lo primero que hay que hacer es descomprimirlo:

gzip -dc initrd.204 > initrd.204.img

Con eso tendremos nuetro initrd descomprimido en el fichero initrd.204.img. Ver su contenido es muy sencillo, simplemente lo montamos con la opción loop:

mount initrd.204.img /mnt -o loop

Con eso podremos ver en /mnt el contenido de nuestro fichero, sin embargo tenemos un problema, no podemos modificarlo, no dirá que es un sistema de ficheros de solo lectura, y razón lleva, el initrd tiene un sistema de ficheros cramfs, y este sistema es de solo lectura. Entonces que hacemos? pues es sencillo copiar todo el contenido a otra carpeta, modificarlo a nuestro gusto y después empaquetarlo todo y crear nuestro propio initrd. Este procedimiento (el de copia) primero pensé en hacerlo con cp, el comando para copiar archivos, sin embargo se me complico porque no copiaba los enlaces simbólicos, por lo tanto yo obtenía un resultado diferente al original y que seguramente no funcionaría bien después, así que descarté esta opción, es posible que hubiera alguna opción de cp que lo solucionara, pero a mi se me ocurrió otra cosa, usar rsync, si un paquete que te crea una copia literal del original, vamos que "sincroniza" los directorios origen y destino, esta era la mejor solución, el comando que ejecuté fue este:

rsync -av /mnt /media/almacen/pxe/initrd/

Y se copió todo. Hecho esto me fui al directorio que contiene los script de inicio (/etc/init.d) y añadí mi script en el lugar adecuado. A ver os cuento, hay dos ficheros, functions y rcS, el primero contiene las funciones propiamente dichas, yo añadí la mía al final:

# delete root's password
delete_password() {
aqui va mi script
}

Y el fichero rcS es el que llama las funciones, simplemente es una lista con las funciones, yo coloqué la mía justo antes de la que paraba el arranque (la que ejecutaba un rsync, que al no poderse hacer se paraba todo):

[...]
if [ ! -z $FLAMETHROWER_DIRECTORY_PORTBASE ]; then
get_flamethrower_directory
fi

delete_password

get_boel_binaries_tarball
beep
[...]

Hecho esto guardo los cambios y ahora me tocaba averiguar como crear el initrd propiamente dicho, porque yo ahora mismo lo que tengo es un árbol de directorios con una serie de ficheros... nada que ver con un initrd que es un sólo fichero cramfs. Lo primero que se me ocurrió fue usar mkinitrd, comando que se usa para eso, para crear ficheros initrd, lo ejecuté:

mkinitrd -r initrd/ -o initrd.204

El -r indica el directorio que tiene que usar y el -o el fichero de salida. Aparentemente todo bien, pero ya me doy cuenta de que algo ha ido mal cuando que el fichero de salida pesa mas de 5 MB!!! y el del cga era de unos 500k!! diez veces menos! pensé que comprimiendo a lo mejor, pero me parecía excesivo que se fuera a reducir tanto:

gzip -9 initrd.204

Seguía pesando 5MB! bueno pues entonces lo monté para ver que tenía que lo había hecho crecer 10 veces, porque yo solo le añadí tres o cuatro líneas en un script, no era lógico ese aumento de tamaño. Lo monté y me encontré con algo que no esperaba para nada, muchas cosas repetidas: bin/, bin2/, dev/, dev2/; scripts que antes no había: linuxrc, linuxrc.conf, script. En fin que no se parecía en nada al oringal, y mucho menos a lo que yo tenía en mi directorio /media/almacen/pxe/initrd/.

Que hago ahora? pues caballeros, lo que se me ocurrió fue hacer uso de 2 libertades que me otorga el software libre: acceso al código fuente, y modificación del mismo. Realmente puede que exista alguna opción que simplemente creara el sistema de ficheros cramfs sin modificar nada, pero yo no la encontré, así que mediante apt (apt-cache show initrd-tools) averigüé donde esta el paquete initrd-tools, que es el que contiene la utilidad mkinitrd, veo la ruta del fichero en el repositorio, y con firefox me voy a la url del repositorio, a la ruta correspondiente y me bajo el código fuente del paquete. Descomprimo el paquete (es un tar.gz), y veo el paquete mkinitrd, ejecuto file mkinitrd para ver que es eso y es un script, así que nada, less mkinitrd y a leer, veo que para crear el sistema de ficheros cramfs usa el paquete mkcramfs, el script ademas comprueba algunas cosas, añade ficheros... el caso es que yo ya tenía la solución ante mis ojos, simplemente tengo que usar el paquete mkcramfs para que cree el sistema de ficheros y ya está, sin que altere nada. Ejecuto:

mkcramfs initrd/ initrd.204

Con lo que indico que tome los ficheros del directorio initrd/ y cree el archivo initrd.204. Hecho esto ya estaba todo solucionado, se lo mando a la fonera y puedo empezar a hacer pruebas. Cada vez que quiero cambiar algo simplemente lo modifico en initrd/, creo de nuevo el initrd con mkcramfs y lo subo a la fonera.

Pues lo único que me queda ahora es conseguir que el script funcione bien, seguiré investigando y trabajando con el, creo que acabaré pronto, lo que pasa es que estos dos últimos días no he hecho casi nada porque tenia en mldonkey descargando a toda velocidad y no quería pararlo, y hacer muchas pruebas en el portátil tampoco me gusta porque mientras no puedo hacer nada, si las hago en el server mientras arranca, reinicia, vuelve arrancar, vuelve a fallar... puedo seguir con el portátil haciendo cosas.

Y nada mas, solo decir que gracias a los que hayáis llegado hasta aquí, porque este post me ha salido bastante largo :P

PD: Intentaré publicar posts mas cortos con mas frecuencia, en vez de post tan largos cada cierto tiempo, porque la verdad este post es muy largo y creo que su lectura puede hacerse pesada.