Кривой стартер. Начало.

This entry is part 1 of 4 in the series kickstart

В связи с новой работой возникла необходимость автоматизировать установку Linux на x86 железо. Из всего зоопарка пингвинов выбрал Scientific Linux, как наиболее мне привычный (уже имел с ним дело). Плюс SL является основным инструментом моего друга при решении большинства задач, так что будет к кому обратиться с вопросом, если что.
Плюсы, они же и минусы SL да и вообще всех RHEL – их стабильнось. Они не прикручивают всякие новомодные финтифлюшки тоннами и развиваются довольно планомерно, так что SL не сильно отличается от ASP Linux десятилетней давности :). Хотя эта стабильность оборачивается, как я написал, и минусами – в RHEL-based дистрибутивах большинство софта настолько протухшее… Сразу оговорюсь, что я не гонюсь слепо за версией программ. Но в ходе создания установочной флешки выяснил, что в SL (и RHEL) сидит довольно древняя версия gstreamer, у которой серьёзные проблемы с утечками памяти. Убил кучу времени на “отлов” причины. В итоге решил эту проблему сборкой собственных пакетов с более свежей версией gstreamer’a.
Ладно, буду последователен.
В красношапочных дистрибутивах есть такая вещь как kickstart, которая позволяет подготовить файл с ответами на вопросы инсталлятора и автоматизировать установку частично или полностью.
Моей задачей было сделать автономную и максимально автоматизированную установку. Под автономностью я подразумеваю отсутствие доступа к сети, только установочная флешка и минимальное количество вопросов, задаваемое установщиком.
Для моих задач хватает флешки на 8GiB. Чтобы её создать не заморачиваясь с dd и прочими юниксовыми утилитами, я, по совету друга, возпользовался UltraISO и её возможностью писать ISO образы на флешки. Причём она не просто пишет, но ещё и подсовывает корректный вайл syslinux.cfg Для этого надо в UltraISO открыть образ SL-64-i386-2013-03-18-boot.iso (т.е. минимальный загрузочный образ) и через меню выбрать запись образа диска. В роли destination выбираем флешку. Через энсколько минут получается флешка, с которой уже можно загрузиться и попасть в инсталлятор anaconda.
Теперь можно переходить к самому кикстарту. Шаблон этого файла можно получить сделав пробную установку. По окончании установки в домашней директории пользователя root появится файл anaconda-ks.cfg, который можно будет дорабатывать напильником. Я приведу выдержки из уже готового файла. Краткие комментарии мною уже сделаны в самом файле, так что более подробно буду комментировать только отдельные моменты.

install

# Force using textmode install. Why anyone will need GUI when smoking?
# But even in this case one may need more than 384M of RAM to run install.
text

# Tell installer where ISO image is.
harddrive --partition=sda4 --dir=/

Последней строчкой я указываю инсталлятору место нахождения DVD образа SL-64-i386-2013-03-18-Install-DVD.iso. Этот образ отличается от boot.iso тем, что содержит репозитории с пакетами. В моём случае этот путь указывает инсталлатору на то, что установочный образ находится в корне раздела sda4. sda4 – это сама флешка. Т.е. установочный образ надо скопировать в корень флешки.


# No russian in console!!! Learn to read, write and understand documentation in English.
lang en_US.UTF-8
keyboard us

# Configure interface to use DHCP by default.
network --onboot=yes --bootproto=dhcp --noipv6

# Do you want to know how it looks like in palintext? ;)
rootpw --iscrypted BLAH_BLAH_BLAH

В шифрованном виде пароль, естественно, выглядит иначе ;)

# Open SSH and munin-node by default.
firewall --service=ssh --port=4949

Перечисляю порты, которые по умолчанию будут открыты в iptables. Можно указывать именами сервисов или номером порта.

# Disable SElinux. It's evil in most cases.
selinux --disabled

SELinux я готовить не умею и воевать с ним не хочу, отключаю.

# Add reboot=bios fix for Acer netbooks.
bootloader --location=mbr --driveorder=sdb,sda --append="crashkernel=auto rhgb quiet reboot=bios"

На Acer Apire One вылезла проблема – при перезагрузке они висли. Помогало только нажатие на кнопку питания. Т.к. наше оборудование должно быть максимально автономным, то эту проблему надо было решить. Покопавшись на форумах узнал, что для решения проблемы надо указать загрузчику дополнительный параметр reboot=bios.

# Clear all existing partitions on destiation disk.
clearpart --all --drives=sdb

При загрузке с флешки ядро определяет флешку как диск sda, а жёсткий диск – как sdb. Соответственно жёсткий диск я предварительно очищаю от существующих разделов.

# Don't touch our installation usb stick.
part None --fstype=efi --label="Scientific" --onpart=sda4 --noformat

Anaconda автоматом создала строчку, предотвращающую изменеия на флешке при установке. Я, естественно, решил её оставить.

# Create partitions. Set --asprimary to prevent creating extended partition.
part /boot --asprimary --fstype=ext4 --size=100
part swap --asprimary --size=256
part / --asprimary --fstype=ext4 --size=2000
# We should create this partition for further use as crypto partition.
# I can't find a way to create it without formatting.
part /var/lib/mss --asprimary --fstype=ext4 --grow --size=1024

В моём случае нужны четыре раздела – /boot, swap, / и раздел с данными /var/lib/mss. Чтобы при установке не плодились ненужные мне extended разделы, я для каждого раздела указал параметр --asprimary. Раздел /var/lib/mss в пост-инсталляционном скрипте будет сделан шифрованым. Создаю я его штаными средствами чтобы потом не развлекаться со скриптованием для fdisk. Не делаю его шифрованым штаными средствами, т.к. ключом шифрования будет являться файл с MAC-адресом и автоматизацию этого процесса так же удобнее делать в %post секции.

# Configure list of services.
services --disabled pppoe-server,mdmonitor,ip6tables,kdump
# Enable autofs for automounting flash drives with updates.
# Enable ntpd so machine can obtain correct time from NTP server if Internet connection is available.
# Enable munin-node for monitoring machines with Internet access.
services --enabled autofs,ntpd,munin-node

Тут всё понятно. Отключаю лишнее, добавляю нужное. Через services --enabled добавить можно только сервисы из базового дистрибутива или из дополнительных репозиториев. Я писал init.d скрипт для собственной программы и его добавлял уже в %post скрипте.

# Add local repos for extra packages (i.e. munin-node and gstreamer-plugins-ugly).
repo --name=SSextras --baseurl=file:///mnt/isodir/extras
repo --name=SSgst --baseurl=file:///mnt/isodir/gst

Методом тыка выяснил, как же нативно добраться до флешки во время установки. Оказалось, что инсталлятор её монтирует в /mnt/isodir. Тут я добавил два репозитория с дополнительными пакетами, которых нет в базовом дистрибутиве.
Чтобы директорию с пакетами сделать репозиторием, надо натравить на неё программу createrepo – она создаст всю необходимую структуру, понятную пакетному менеджеру. Прога есть в родном репозитории SL.

Дальше начинается более интересная часть, на которую я потратил существенное количество сил и времени. Данная информация, по большей части, была почерпнута из форумов. В официальном руководстве по kickstart’у ничего полезного про предустановочные скрипты не пишут. Результаты изысканий в следующей части.

Share

Кривой стартер. Интерактивность.

This entry is part 2 of 4 in the series kickstart

Мне была нужна возможность ввода дополнительной информации при установке. Долго бился и искал решение, но всё же нашёл. Довольно удобное и элегантное. Для решения подобных задач можно использовать секцию %pre. Скрипты из этой секции выполняются ДО запуска установки Linux на жёсткий диск.

%pre
mkdir /tmp/flash
mount /dev/sda4 /tmp/flash

Монтирую флешку в /tmp, так как на момент запуска %pre к ней ещё нет доступа. Манёвр нужен для разделения kickstart на файлы. В дополнительных файлах отдельно прописаны секции %packages и %post, чтобы не делать один большой километровый конфиг.


chvt 6
exec /dev/tty6 2>/dev/tty6

А вот это тот код, который позволяет добавить кастомной интерактивности в процесс установки. Я переключаюсь на шестой виртуальный терминал и перенаправляю на него stdin, stdout и stderr.
# Read MAC address and hostname from stdin.
echo "-- MAC configuration --"
mac=`ifconfig eth0 | awk '/HWaddr/{print $5}'`
echo -n "Current MAC address is $mac ( enter alternative MAC or press return ): "
read _altmac
# Convert MAC to uppercase as in ifconfig output.
altmac=`echo $_altmac | awk '{print toupper($0)}'`

[ -n “$altmac” ] && mac=$altmac
echo “MAC was set to $mac”
# Store variable in temporary file. It will be used in %post section.
echo “$mac” > /tmp/mac.txt
Запрашиваю MAC-адрес, который будет использоваться в роли ключа шифрования. Да, я знаю, это абсольютно не безопасно, но такой ключ шифрования – банальная защита от дурака.
Так как в выводе ifconfig MAC-адрес идёт в верхнем регистре, то я автоматом конвертирую введённую информацию в верхний регистр. Если не вводить MAC, то будет использоваться текущий MAC интерфейса eth0. Значение сохраняю в /tmp для дальнейшего использования.

echo "-- Hostanme configuration --"
echo -n "Enter hostname: "
read _host
# Store hostname in lower case. Upper case breaks at least munin-node.
host=`echo $_host | awk '{print tolower($0)}'`

# Store variable in temporary file. It will be used later in %post section.
echo “Hostname was set to $host”
echo “$host” > /tmp/hostname.txt
Дабы долго не тыркаться в сетевых настройках инсталлятора, я имя машины буду задавать так же скриптом. Плюс проверка чтобы имя было в нижнем регистре. Напирмер munin не опрашивает свои ноды, у которых имена содержат символы в верхнем регистре.

sleep 5
Даю возможность в течение пяти секунд созерцать содеянное и….
chvt 1
exec /dev/tty1 2> /dev/tty1
%end

… переключаюсь обратно на первую консоль, в которй запущенная anaconda приступает к дальнейшей работе.

%include /tmp/flash/ks/packages.cfg
%include /tmp/flash/ks/post.cfg

Вот для этого момента я монтировал флешку в /tmp/flash. Про %include с локального носителя в документации, ессно, ничего толком не написано.

Предварительный этап закончен, больше никаких вопросов установщик не задаст (если только на жёстком диске не было до этого RAID, или если жёсткий диск только из упаковки извлечён).
Можно идти кури^Wпить чай, пока создаются разделы, устанавливаются пакеты и шуршат скрипты из секции %post. Про пакеты писать особо нечего, хотя один нюанс есть. Наибольший интерес представляет секция %post, о которой речь пойдёт через главу.

Share

Кривой стартер. Пакеты.

This entry is part 3 of 4 in the series kickstart

Самая простая и не интересная часть – выбор пакетов. Всегда “любил” Linux за то, что при установке он выносит мозг необходимостью выбора пакетов. Благо, благодаря kickstart’у, можно от этого избавиться. Но только для повторных установок, ха-ха.
Первоначальный спискок пакетов и групп пришлось выбирать вручную через UI anaconda. Всё выбранное потом будет отражено в /root/anaconda-ks.cfg, откуда его и следует скопировать в свой kickstart.cfg.
То что было выбрано группами (с префиксом @) и отдельные полезные пакеты из дистрибутива:

# List of packages to be installed.
%packages
@Base
@Core
@base
@client-mgmt-tools
@core
@dial-up
@hardware-monitoring
@misc-sl
@network-tools
@russian-support
@system-admin-tools
@system-management
SL_password_for_singleuser
autofs
device-mapper-persistent-data
dos2unix
lm_sensors
mc
nmap
pptp
rp-pppoe
screen
telnet
unix2dos

Как видно из комментария, я удаляю пакеты, которые мне никак не пригодятся:

# Remove packages that were installed with @groups.
-at
-dmraid
-lvm2
-lvm2-libs
-fprintd-pam
-mdadm
-pcmciautils
-rng-tools
-sl-release-notes
-words
-libselinux
-libselinux-utils
-selinux-policy
-selinux-policy-targeted
-postfix
-mysql-libs
-procmail

Часть из них, например postfix, всё равно поставится, т.к. являются чьими-то зависимостями.
В общем пока всё стандартно.

А вот тут есть нюанс. В дистрибутиве уже есть пакеты gstreamer. Да-да, протухшие и с утечками памяти. Я собрал собственные пакеты с более свежим gsreamer’ом, скопировал их на флешку в директорию gst и при помощи creatrepo элегантно превратил директорию в репу с пакетами. Чтобы ставились более свежие версии, чем в самом дистрибе, надо отразить это:

# Install gstreamer python bindings and plugins needed for mss.
# Using versions in names forces installation of rpms with specified versions.
gstreamer-0.10.35-SS.2
gstreamer-python-0.10.22-SS.2
# plugins-good for reading id3tags
gstreamer-plugins-good-0.10.30-SS.2
# plugins-ugly for playing mp3.
gstreamer-plugins-ugly-0.10.18-SS.2

Ну и всякие опциональные полезности, которые ставятся из дополнительно созданного репозитория:

# Install munin-node for monitoring.
munin-node
# Install ntfs utils. They're quite usable in our windoze world.
ntfs-3g
# Install lshw. It would be helpful for inventory datatbase automatization.
lshw
%end

Всё, с пакетами закончили. Теперь установка переходит в завершающую стадию – %post секцию. О ней в следующей части.

Share

Кривой стартер. post-install

This entry is part 4 of 4 in the series kickstart

Эта секция позволяет заскриптовать практически любые действия, которые будут проведены по окончании инсталяции. В моём случае все скрипты идут отдельным инклудом post.cfg, кторый начинается со строчки %post --interpreter /bin/sh --nochroot --log /tmp/postinstall.log.
Большая часть моего post.cfg не представляет интереса, т.к. выполняет узкоспециализированные задачи, но часть может быть полезна.
Т.к. в kickstart’е я не нашёл способа, не возвращаясь в интерактивный режим, задать пароль для шифрованного раздела, то эту операцию я выполняю уже в post секции:
# Setup crypted partition.
umount /dev/sdb4
dmsetup remove mcrypt
cryptsetup -q luksFormat /dev/sdb4 --key-file /mnt/sysimage/etc/mss.key
cryptsetup luksOpen /dev/sdb4 mcrypt --key-file /mnt/sysimage/etc/mss.key
mkfs.ext4 -O dir_index /dev/mapper/mcrypt
# Installer adds a line to mount sdb4 as uncrypted partition to fstab. Remove it!
sed -i '/mss/d' /mnt/sysimage/etc/fstab
# And add correct data to fstab and crypttab.
echo "/dev/mapper/mcrypt /var/lib/mss ext4 defaults 1 3" >> /mnt/sysimage/etc/fstab
echo "mcrypt /dev/sda4 /etc/mss.key" > /mnt/sysimage/etc/crypttab

Ключ mss.key генерируется в %pre секции.

Затем я копирую различные конфиги. Общий принцип:
cp /mnt/isodir/configs/* /mnt/sysimage//

Как вариант – донастройка munin-node:
# Unhook unused munin plugins.
for i in df_inode diskstats entropy forks fw_packets if_err_eth0 \
if_eth0 interrupts threads irqstats netstat open_files users swap \
open_inodes selinux_avcstat sendmail* proc_pri vmstat processes
do
rm -r /mnt/sysimage/etc/munin/plugins/$i
done

# Enable usable munin plugins.
ln -s /usr/share/munin/plugins/sensors_ /mnt/sysimage/etc/munin/plugins/sensors_temp
ln -s /usr/share/munin/plugins/sensors_ /mnt/sysimage/etc/munin/plugins/sensors_fan
ln -s /usr/share/munin/plugins/proc /mnt/sysimage/etc/munin/plugins/proc

# Accept connections from our munin-server.
echo "cidr_allow ???.???.??.??/32" >> /mnt/sysimage/etc/munin/munin-node.conf

# Install munin-node configuretion.
cp /mnt/isodir/configs/munin-node-mss /mnt/sysimage/etc/munin/plugin-conf.d/

При помощи sed разрешаю пользователям из группы wheel повышать привилегии без ввода пароля:
# Let wheel users sudo without typing password every time.
sed -Ei 's/^#( %wheel.*NOPASSWD.*)/\1/' /mnt/sysimage/etc/sudoers

Т.к. процесс настройки сети был пропущен, то некоторые манипуляции с именем машины производим тут же:
# Setup hostname.
sed -i '/^HOSTNAME/d' /mnt/sysimage/etc/sysconfig/network
echo "HOSTNAME=`cat /tmp/hostname.txt`" >> /mnt/sysimage/etc/sysconfig/network

# Add hostname to /etc/hosts to prevent resolve timeouts.
#awk ‘{$(NF+1)=”`cat /tmp/hostname.txt`”;}1’ /mnt/sysimage/etc/hosts > /tmp/hosts.tmp && mv /tmp/hosts.tmp /mnt/sysimage/etc/hosts
awk ‘{getline HOST /tmp/hosts.tmp && mv /tmp/hosts.tmp /mnt/sysimage/etc/hosts

Т.к. наши сервера потом попадают в чужие руки, я удаляю улики, т.е. логи:
# Remove clues.
#rm /mnt/sysimage/root/anaconda-ks.cfg
rm /mnt/sysimage/tmp/ks-script-*

Обычная часть закончена. Теперь предстоит выполнить некоторые операции в свежеустановленной системе, для чего надо сделать chroot в /:
# Chrooted postinstall scripts to make local changes in fresh system.
%post --interpreter /bin/sh

Например можно добавить в загрузку службу, которая была установлена не из пакетов:
# Add mss player init.d script to runlevels.
/sbin/chkconfig --add mss

Или создать пользователя с заданным паролем:
adduser mss -m -U -u 1000 -G wheel -p sa************

Завершает процесс %end.

Share