谢谢建伟。

1. 关于社区默认密码策略的问题

由于树莓派等嵌入式设备是采用刷写镜像安装的,所以多数都存在默认密码。只有 Ubuntu 树莓派桌面版本提供了第一次启动设置(OOBE)的功能,Ubuntu 树莓派服务器版本也是采用默认密码策略。

根据你发给我的链接 openEuler 文档账户口令 ,这里有示例的密码复杂度设置,没有明确的 openEuler 社区关于初始密码设定的规则。是否可以形成一个正式的社区版本发布的初始设置规范?目前有虚拟机镜像和树莓派镜像需要密码(后续还需要默认的普通用户名和密码),未来或许还有更多嵌入式设备的镜像需要默认密码,如果有一个规范指导,就可以避免每次都需要讨论了。

2. 关于树莓派的默认密码问题

这个问题的解答需要第一个问题为基础。结合你的意见,我理解安全组允许采用简单密码,那么我们 SIG 组的建议方案是采用 root 默认密码为 openeuler 的方式,具体解释参照原有邮件。未来出具桌面版本的时的普通用户,考虑用户名为 openeuler ,密码为 openeuler ,同时采用默认禁用 root 用户,授权 openeuler 用户 sudo 权限的方式。

这个问题对应的 issue 是:https://gitee.com/openeuler/raspberrypi/issues/I23KEP?from=project-issue

看社区大家是否有其他建议。

——王建民


On 2 Nov 2020, at 10:32 AM, zhujianwei (C) <zhujianwei7@huawei.com> wrote:

你好,从安全角度来看,系统中最好不要存在默认的密码,当前openEuler也是在系统安装的时候用户自己设置的,目前的策略只是对设置的密码强度有一定的要求(8位三种字符以上)
 
针对树莓派 SIG发布的版本,可以参照主流桌面版本的密码复杂度策略自行进行调整,在使用简单密码时进行提示而不阻止。
 
发件人: Jianmin Wang [mailto:jianmin@iscas.ac.cn] 
发送时间: 2020112 10:21
收件人: security@openeuler.org; zhujianwei (C) <zhujianwei7@huawei.com>
抄送: Hufeng (Solar, Euler) <solar.hu@huawei.com>; Jiangyumin (Jimmy) <jiangyumin@huawei.com>; dev <dev@openeuler.org>
主题: Fwd: openEuler树莓派镜像设置root密码的安全策略
 
Hi,建伟和安全委员会的委员们,
 
围绕社区的密码策略以及后续树莓派镜像的默认密码希望大家给出建议和意见,如果需要,我们可以通过在线会议沟通讨论。预期本周提交相关的草案上 TC 会议讨论。
 
由于 yafen 发给 security 邮件列表总是被拒,所以我再转发一次并抄送给了 dev 邮件列表。
 
谢谢。
 
 
——王建民


Begin forwarded message:
 
From: 方亚芬 <yafen@iscas.ac.cn>
Subject: openEuler树莓派镜像设置root密码的安全策略
Date: 29 October 2020 at 2:31:06 PM SGT
Cc: jianmin@iscas.ac.cn, "Jiangyumin (Jimmy)" <jiangyumin@huawei.com>, "Hufeng (Solar, Euler)" <solar.hu@huawei.com>, "zhujianwei (C)" <zhujianwei7@huawei.com>
 
安全委员会的委员们,大家好。

我是 openEuler 社区树莓派 SIG 组的 Maintainer,需要咨询一下当前 openEuler 系统 root 密码设置的安全策略问题,并进一步征求一下安全委员会对 openEuler 树莓派镜像的 root 密码设置的意见。(该问题在 Release SIG  10  28 号的例会上初步讨论,具体会议纪要参见本邮件最后“Release-Management SIG 组例会会议纪要“的议题三部分,Release SIG 组建议跟安全委员会沟通一下并且于下周提交 TC 委员会决策。)
当前情况:openEuler 20.09 的树莓派镜像已于 9  30 号发布,当前镜像设置的 root 用户的默认密码为 openeuler[1]
前期社区建议:之前与 Release SIG 组沟通得出的方案是,出于对安全的考虑,建议和虚拟机镜像 初始密码设置一致,即root 密码设置为 openEuler12#$ [2] [3]
问题:由于存在发布镜像的密码与最初约定不一致的问题,同时也考虑到更多方面的因素,需要遵循社区的密码策略来确定树莓派默认密码的长期设定。
树莓派 SIG 组内部经过讨论,如果满足社区的密码策略,建议 openEuler 的树莓派镜像保持 root 密码为 openeuler,主要出于以下几点考虑:
1. 不像服务器对密码复杂度要求比较高,作为个人使用的树莓派,初始密码设置相对简单好记一点,方便用户使用。如果用户对于树莓派安全有更高要求,用户可以登录后可以重新设置密码。
2. 参考的是其他操作系统发行版发布的的树莓派镜像,root 密码设置得相对比较简单。
   - Raspberry Pi OS(之前叫 Raspbian 默认用户名是 pi(具有 sudo 权限),默认密码是 raspberryroot 用户默认禁用。[4]
   - ubuntu,默认提供两个版本,一个有桌面,一个服务器版。服务器版本,默认用户 ubuntu,密码 ubuntu。桌面版本默认提供启动初始设置,用户可以自主设置用户名和密码)。[5]
   - centos 的树莓派镜像的 root 密码为 centos[6]
3. 树莓派 SIG 组未来会发布各个版本的树莓派镜像(20.0920.03 LTS、带有桌面等多个版本)。鉴于 openEuler 20.09的树莓派镜像已经发布,且 root 密码已经设置为 openeuler,树莓派 SIG 组建议之后的镜像的 root 密码也与已发布的openEuler 20.09 的树莓派镜像保持一致,避免同时有 root 密码不同的树莓派镜像同时存在,给用户造成混淆。
附加问题:考虑到 openEuler 后期会添加桌面环境,那么树莓派镜像就需要系统有一个默认的普通用户,这个默认的普通用户的用户名和密码该如何设置,其密码设置有没有确定的安全策略?针对这一问题也想征求一下安全委员会的意见,如openeuler:openeuler
以上问题对应 issue 链接参考:
1. openEuler 树莓派安装:https://openeuler.org/zh/docs/20.09/docs/Installation/安装指导-1.html
2. openEuler 安装介绍:https://openeuler.org/zh/docs/20.09/docs/Releasenotes/系统安装.html
3. openEuler 20.09 版本新增树莓派版本:https://gitee.com/openeuler/release-management/issues/I1RG4M?from=project-issue#note_3176782
4. Raspberry Pi OShttps://www.raspberrypi.org/documentation/installation/installing-images/README.md
5. Ubuntu for Raspberry Pihttps://ubuntu.com/download/raspberry-pi
6. CentOS for Raspberry Pihttps://wiki.centos.org/SpecialInterestGroup/AltArch/Arm32/RaspberryPi3

谢谢大家。


-----原始邮件-----
发件人:"Jiangyumin (Jimmy)" <
jiangyumin@huawei.com>
发送时间:2020-10-28 20:51:07 (星期三)
收件人: "
release@openeuler.org" <release@openeuler.org>, "dev@openeuler.org" <dev@openeuler.org>
抄送: openEuler-tc <tc@openeuler.org>, "Hufeng (Solar, Euler)" <solar.hu@huawei.com>, Xiexiuqi <xiexiuqi@huawei.com>, "方亚芬" <yafen@iscas.ac.cn>, "chen_yaqiang@qq.com" <chen_yaqiang@qq.com>
主题: [Dev] 【会议纪要】//答复: 【明日例会议题】openEuler Release-Management SIG meeting Time: 2020-10-28 9:30-11:30

Release-Management SIG 组例会会议纪要(时间:2020-10-28 9:30-11:30):
 
议题一:openEuler社区版本分支管理规范初稿讨论

1 openEuler 20.03 LTS NEXT分支将作为 20.03 LTS SP版本的开发分支进行特性开发合入。

2 20.03 LTS SP1版本发布后,CVE漏洞与BUG修复需要同时在 20.03 LTS20.03 LTS NEXT20.03 LTS SP1三个分支合入。

3 OpenEuler 版本分支管理规范稿在release sig 组发起讨论后最终定稿。

 
议题二: kernel切换计划与后续的版本配套计划

1 kernel计划本周v5.10-rc1版本发布后,启动在master分支上的切换,并最终5.10正式发布后(预计12月下旬),配套openEuler 21.03版本。

2 kernel 将在openEuler 20.03 LTS SP2版本做较大的改动合入,可能会引起兼容性问题,需要kernel分析影响后在社区发起讨论,最终在TC决策。

3 kernel是否单独建仓,在过程迭代中发布独立版本供开发者快速获取尝试,待进一步讨论在TC决策。

 
议题三:树莓派镜像添加到树莓派官方第三方系统镜像工作进展

1 树莓派关于openEuler在使用与运营数据需要补充在全球的使用情况与发展趋势,运营数据可从运营团队获取。

2 Jason文件的存放目录需要与运营负责人马全一讨论后确定。

3 对于密码设置的策略需要与安全委员会成员沟通后,根据不同场景给出方案,在TC进行决策。

 
议题四:openEuler 20.03 LTS SP1 冻结需求

1 openEuler 20.03 LTS SP1需求已冻结,需求列表在release sig组进行公布。

2 后续openEuler 版本需求收集除了在社区上进行公示外,建议与每个SIG maintainer再进一步确认,对于有市场诉求SIG组无法支持的,建议上TC决策。

 
 
发件人: Jiangyumin (Jimmy) 
发送时间: 20201027 16:22
收件人: 
release@openeuler.org; dev@openeuler.org
抄送: openEuler-tc <tc@openeuler.org>; Hufeng (Solar, Euler) <solar.hu@huawei.com>; Xiexiuqi <xiexiuqi@huawei.com>; '方亚芬' <yafen@iscas.ac.cn>
主题: 【明日例会议题】openEuler Release-Management SIG meeting Time: 2020-10-28 9:30-11:30
 
明日Release sig 组例会议题如下:
 
1openEuler 20.03 LTS SP1 冻结需求   ---- 胡峰
2kernel切换计划 与后续的版本配套计划  --- 谢秀奇
3、树莓派镜像添加到树莓派官方第三方系统镜像工作进展  --- 方亚芬
 
发件人: Jiangyumin (Jimmy) [mailto:jiangyumin@huawei.com] 
发送时间: 20201026 10:38
收件人: 
release@openeuler.org; dev@openeuler.org
抄送: openEuler-tc <tc@openeuler.org>
主题: [Release] 【议题收集】【Meeting NoticeopenEuler Release-Management SIG meeting Time: 2020-10-28 9:30-11:30
 
Topic
【议题收集】Release-management sig组例会 (可直接回复此邮件申报议题) 
Time
2020-10-28 9:30-11:30((UTC+08:00)Beijing)
 
 
--- 会议信息 ---
 
 
--- 会议纪要归档 ---

Meeting Record https://gitee.com/openeuler/release-management/wikis

 





祝工作顺利,生活愉快。

 

------------------------------------------

方亚芬

中国科学院软件研究所  智能软件研究中心

邮箱:yafen@iscas.ac.cn

地址:北京市海淀区中关村南四街45

_______________________________________________
Dev mailing list -- 
dev@openeuler.org
To unsubscribe send an email to 
dev-leave@openeuler.org