pxe-file nicht löschen?

[larsg]

Hallo,

gibt es eine möglichkeit das automatische löschen des pxe-files nach netboot für eine bestimmte aktion (always) zu verhindern?

folgender hintergrund:
ich bin gerade dabei, desinfect 2015 in opsi zu integrieren. dabei habe ich folgendes im sinn:

wird ein potentiell infizierter rechner gemeldet, wird sofort via opsi das heruntergefahren erzwungen, und desinfect als netboot auf always gesetzt, wodurch das pxe-file für den client erzeugt wird.
wenn auf dem client netzwerkboot erste priorität hat, und der anwender keine möglichkeit hat dies zu ändern, könnte man durch ein persistentes pxe-file das windows-system effektiv und dauerhaft ausser betrieb nehmen, bis desinfect meldet, das der pc gescannt und sauber ist - und anschließend desinfect wieder auf none setzen, wodurch das pxe-file wieder gelöscht werden sollte.

wird desinfect auf once gesetzt, wird das pxe-file ganz normal nach einmaligem start gelöscht.

ist sowas machbar?

[Mike_i386]

Hallo larsg,

exakt das gleiche hatten wir auch gebraucht, für Laptops, die sobald am Netz immer wieder frisch installiert werden sollten.

Unsere Lösung an das Ziel zu kommen war recht "pervers".
Wir haben die PXE-Files angelegen lassen. Dann alle nach /tmp verschoben und dann wieder zurück verschoben.
Dadurch waren wir in der Lage auf jede Datei ein chattr +i zu setzten. Das sorgt dafür das das System die Dateien nicht mehr löschen kann.

ACHTUNG:
Diese Methode bringt aber zwei Nachteile mit sich:
1. Ein opsi-set-right bricht ab, sobald es veruscht im tftp rechte zu setzten. Du musst also ab sofort das Verzeichnis bei opsi-set-right direkt mitgeben.
2. Sobald uib ein Update herausbringt, welches Dinge am tftp Server aktualisiert kann es auch hier zu Fehlermeldungen kommen.
Trotzdem wird der PXE Server aktualisiert. Man kann auch vor einem Update via chattr –i das schreiben wieder ermöglichen und danach wieder chattr +i

Über eine bessere Lösung wäre ich auch Dankbar.
Grüße
Mike

[m.radtke]

Man kann den Inhalt der pxe file auch einfach in eine Datei schieben die der IP des Clients in hexadezimal entspricht. Die Datei wird nach der Pipe als nächste gesucht.

[ueluekmen]

Hi,

Warum nutzt du den always schalter nicht?

Einfach in der control-file das once oder setup skript zusätzlich als always skript angeben. Dann müsste das netbootpaket auch einen always schalter anbieten und der verhählt sich so wie gewünscht. Sollte es zumindest, sonst ist das ein bug. Aber die variante von m.radtke ist persistent, würde auch gehen wenn der opsipxeconfd nicht läuft.

[larsg]

Hi,

Warum nutzt du den always schalter nicht?

Einfach in der control-file das once oder setup skript zusätzlich als always skript angeben. Dann müsste das netbootpaket auch einen always schalter anbieten und der verhählt sich so wie gewünscht. Sollte es zumindest, sonst ist das ein bug. Aber die variante von m.radtke ist persistent, würde auch gehen wenn der opsipxeconfd nicht läuft.

hi,

wenn es schon so funktioniert ist ja alles bestens. liegt eigentlich auch nahe, hätt ich zumindest mal ausprobieren können.

aber es wäre gut wenn das (und auch alle sonstigen nicht ganz unwesentlichen info's dieser art) auch so im handbuch stehen würde

[ueluekmen]

Hallo,

aber es wäre gut wenn das (und auch alle sonstigen nicht ganz unwesentlichen info's dieser art) auch so im handbuch stehen würde

ja, dass ist so eine Sache, was ist Wesentlich? Braucht man diese Information zwangsläufig? Oder verwirrt das den Leser, weil nur ein Bruchteil der Leute jemals so ein Feature braucht? Zum anderen ist die Position die Frage, in welchem Kapitel würde man danach suchen? Ich habe jetzt mal ein Niedirgpriorisiertes Ticket aufgemacht, weil das Komplette Kapitel Netboot-Produkte im Manual mal überarbeitet werden müsste. Allerdings können wir noch nicht sagen, wann jemand dazu kommt. Und wie wichtig das eingeschätzt wird, weil aus unserer Sicht alle wesentlichen Infos zu dem Thema schon im Kapitel erwähnt wurden.

Wenn du damit rumspielst, wäre es nett, wenn du uns noch ein Feedback geben könntest. Vielen Dank.

[Sebbi75]

danke für die Lösungen!