Hi,建伟和安全委员会的委员们,
围绕社区的密码策略以及后续树莓派镜像的默认密码希望大家给出建议和意见,如果需要,我们可以通过在线会议沟通讨论。预期本周提交相关的草案上 TC 会议讨论。
由于 yafen 发给 security 邮件列表总是被拒,所以我再转发一次并抄送给了 dev 邮件列表。
谢谢。
——王建民
Begin forwarded message:
From: 方亚芬 yafen@iscas.ac.cn Subject: openEuler树莓派镜像设置root密码的安全策略 Date: 29 October 2020 at 2:31:06 PM SGT To: security@openeuler.org Cc: jianmin@iscas.ac.cn, "Jiangyumin (Jimmy)" jiangyumin@huawei.com, "Hufeng (Solar, Euler)" solar.hu@huawei.com, "zhujianwei (C)" zhujianwei7@huawei.com
安全委员会的委员们,大家好。 我是 openEuler 社区树莓派 SIG 组的 Maintainer,需要咨询一下当前 openEuler 系统 root 密码设置的安全策略问题,并进一步征求一下安全委员会对 openEuler 树莓派镜像的 root 密码设置的意见。(该问题在 Release SIG 组 10 月 28 号的例会上初步讨论,具体会议纪要参见本邮件最后“Release-Management SIG 组例会会议纪要“的议题三部分,Release SIG 组建议跟安全委员会沟通一下并且于下周提交 TC 委员会决策。)
当前情况:openEuler 20.09 的树莓派镜像已于 9 月 30 号发布,当前镜像设置的 root 用户的默认密码为 openeuler。[1] https://openeuler.org/zh/docs/20.09/docs/Installation/%E5%AE%89%E8%A3%85%E5%AF%BC-1.html 前期社区建议:之前与 Release SIG 组沟通得出的方案是,出于对安全的考虑,建议和虚拟机镜像 初始密码设置一致,即 root 密码设置为 openEuler12#$ 。[2] https://openeuler.org/zh/docs/20.09/docs/Releasenotes/%E7%B3%BB%E7%BB%9F%E5%AE%89%E8%A3%85.html [3] https://gitee.com/openeuler/release-management/issues/I1RG4M?from=project-issue#note_3176782 问题:由于存在发布镜像的密码与最初约定不一致的问题,同时也考虑到更多方面的因素,需要遵循社区的密码策略来确定树莓派默认密码的长期设定。
树莓派 SIG 组内部经过讨论,如果满足社区的密码策略,建议 openEuler 的树莓派镜像保持 root 密码为 openeuler,主要出于以下几点考虑:
不像服务器对密码复杂度要求比较高,作为个人使用的树莓派,初始密码设置相对简单好记一点,方便用户使用。如果用户对于树莓派安全有更高要求,用户可以登录后可以重新设置密码。
参考的是其他操作系统发行版发布的的树莓派镜像,root 密码设置得相对比较简单。
- Raspberry Pi OS(之前叫 Raspbian) 默认用户名是 pi(具有 sudo 权限),默认密码是 raspberry。root 用户默认禁用。[4] https://www.raspberrypi.org/documentation/installation/installing-images/README.md
- ubuntu,默认提供两个版本,一个有桌面,一个服务器版。服务器版本,默认用户 ubuntu,密码 ubuntu。桌面版本默认提供启动初始设置,用户可以自主设置用户名和密码)。[5] https://ubuntu.com/download/raspberry-pi
- centos 的树莓派镜像的 root 密码为 centos。[6] https://wiki.centos.org/SpecialInterestGroup/AltArch/Arm32/RaspberryPi3
树莓派 SIG 组未来会发布各个版本的树莓派镜像(20.09、20.03 LTS、带有桌面等多个版本)。鉴于 openEuler 20.09 的树莓派镜像已经发布,且 root 密码已经设置为 openeuler,树莓派 SIG 组建议之后的镜像的 root 密码也与已发布的 openEuler 20.09 的树莓派镜像保持一致,避免同时有 root 密码不同的树莓派镜像同时存在,给用户造成混淆。
附加问题:考虑到 openEuler 后期会添加桌面环境,那么树莓派镜像就需要系统有一个默认的普通用户,这个默认的普通用户的用户名和密码该如何设置,其密码设置有没有确定的安全策略?针对这一问题也想征求一下安全委员会的意见,如 openeuler:openeuler。
以上问题对应 issue 链接参考:
- openEuler 树莓派安装:https://openeuler.org/zh/docs/20.09/docs/Installation/%E5%AE%89%E8%A3%85%E6%... https://openeuler.org/zh/docs/20.09/docs/Installation/%E5%AE%89%E8%A3%85%E6%8C%87%E5%AF%BC-1.html
- openEuler 安装介绍:https://openeuler.org/zh/docs/20.09/docs/Releasenotes/%E7%B3%BB%E7%BB%9F%E5%... https://openeuler.org/zh/docs/20.09/docs/Releasenotes/%E7%B3%BB%E7%BB%9F%E5%AE%89%E8%A3%85.html
- openEuler 20.09 版本新增树莓派版本:https://gitee.com/openeuler/release-management/issues/I1RG4M?from=project-is... https://gitee.com/openeuler/release-management/issues/I1RG4M?from=project-issue#note_3176782
- Raspberry Pi OS:https://www.raspberrypi.org/documentation/installation/installing-images/REA... http://www.raspberrypi.org/documentation/installation/installing-images/README.md
- Ubuntu for Raspberry Pi:https://ubuntu.com/download/raspberry-pi http://ubuntu.com/download/raspberry-pi
- CentOS for Raspberry Pi:https://wiki.centos.org/SpecialInterestGroup/AltArch/Arm32/RaspberryPi3 http://wiki.centos.org/SpecialInterestGroup/AltArch/Arm32/RaspberryPi3
谢谢大家。
-----原始邮件----- 发件人:"Jiangyumin (Jimmy)" <jiangyumin@huawei.com mailto:jiangyumin@huawei.com> 发送时间:2020-10-28 20:51:07 (星期三) 收件人: "release@openeuler.org mailto:release@openeuler.org" <release@openeuler.org mailto:release@openeuler.org>, "dev@openeuler.org mailto:dev@openeuler.org" <dev@openeuler.org mailto:dev@openeuler.org> 抄送: openEuler-tc <tc@openeuler.org mailto:tc@openeuler.org>, "Hufeng (Solar, Euler)" <solar.hu@huawei.com mailto:solar.hu@huawei.com>, Xiexiuqi <xiexiuqi@huawei.com mailto:xiexiuqi@huawei.com>, "方亚芬" <yafen@iscas.ac.cn mailto:yafen@iscas.ac.cn>, "chen_yaqiang@qq.com mailto:chen_yaqiang@qq.com" <chen_yaqiang@qq.com mailto:chen_yaqiang@qq.com> 主题: [Dev] 【会议纪要】//答复: 【明日例会议题】openEuler Release-Management SIG meeting Time: 2020-10-28 9:30-11:30
Release-Management SIG 组例会会议纪要(时间:2020-10-28 9:30-11:30):
议题一:openEuler社区版本分支管理规范初稿讨论
1、 openEuler 20.03 LTS NEXT分支将作为 20.03 LTS SP版本的开发分支进行特性开发合入。
2、 20.03 LTS SP1版本发布后,CVE漏洞与BUG修复需要同时在 20.03 LTS、20.03 LTS NEXT、20.03 LTS SP1三个分支合入。
3、 OpenEuler 版本分支管理规范稿在release sig 组发起讨论后最终定稿。
议题二: kernel切换计划与后续的版本配套计划
1、 kernel计划本周v5.10-rc1版本发布后,启动在master分支上的切换,并最终5.10正式发布后(预计12月下旬),配套openEuler 21.03版本。
2、 kernel 将在openEuler 20.03 LTS SP2版本做较大的改动合入,可能会引起兼容性问题,需要kernel分析影响后在社区发起讨论,最终在TC决策。
3、 kernel是否单独建仓,在过程迭代中发布独立版本供开发者快速获取尝试,待进一步讨论在TC决策。
议题三:树莓派镜像添加到树莓派官方第三方系统镜像工作进展
1、 树莓派关于openEuler在使用与运营数据需要补充在全球的使用情况与发展趋势,运营数据可从运营团队获取。
2、 Jason文件的存放目录需要与运营负责人马全一讨论后确定。
3、 对于密码设置的策略需要与安全委员会成员沟通后,根据不同场景给出方案,在TC进行决策。
议题四:openEuler 20.03 LTS SP1 冻结需求
1、 openEuler 20.03 LTS SP1需求已冻结,需求列表在release sig组进行公布。
2、 后续openEuler 版本需求收集除了在社区上进行公示外,建议与每个SIG 的maintainer再进一步确认,对于有市场诉求SIG组无法支持的,建议上TC决策。
发件人: Jiangyumin (Jimmy) 发送时间: 2020年10月27日 16:22 收件人: release@openeuler.org mailto:release@openeuler.org; dev@openeuler.org mailto:dev@openeuler.org 抄送: openEuler-tc <tc@openeuler.org mailto:tc@openeuler.org>; Hufeng (Solar, Euler) <solar.hu@huawei.com mailto:solar.hu@huawei.com>; Xiexiuqi <xiexiuqi@huawei.com mailto:xiexiuqi@huawei.com>; '方亚芬' <yafen@iscas.ac.cn mailto:yafen@iscas.ac.cn> 主题: 【明日例会议题】openEuler Release-Management SIG meeting Time: 2020-10-28 9:30-11:30
明日Release sig 组例会议题如下:
1、openEuler 20.03 LTS SP1 冻结需求 ---- 胡峰
2、kernel切换计划 与后续的版本配套计划 --- 谢秀奇
3、树莓派镜像添加到树莓派官方第三方系统镜像工作进展 --- 方亚芬
发件人: Jiangyumin (Jimmy) [mailto:jiangyumin@huawei.com mailto:jiangyumin@huawei.com] 发送时间: 2020年10月26日 10:38 收件人: release@openeuler.org mailto:release@openeuler.org; dev@openeuler.org mailto:dev@openeuler.org 抄送: openEuler-tc <tc@openeuler.org mailto:tc@openeuler.org> 主题: [Release] 【议题收集】【Meeting Notice】openEuler Release-Management SIG meeting Time: 2020-10-28 9:30-11:30
Topic
【议题收集】Release-management sig组例会 (可直接回复此邮件申报议题)
Time
2020-10-28 9:30-11:30((UTC+08:00)Beijing)
--- 会议信息 ---
会议id: 96457420049 会议链接:https://zoom.us/j/96457420049?pwd=di95MnJaUU1sNmxFQWMrNjBMZFBEZz09 https://zoom.us/j/96457420049?pwd=di95MnJaUU1sNmxFQWMrNjBMZFBEZz09
--- 会议纪要归档 ---
Meeting Record: https://gitee.com/openeuler/release-management/wikis https://gitee.com/openeuler/release-management/wikis
祝工作顺利,生活愉快。
方亚芬 中国科学院软件研究所 智能软件研究中心 邮箱:yafen@iscas.ac.cn mailto:jiran@iscas.ac.cn 地址:北京市海淀区中关村南四街4号5楼 _______________________________________________ Dev mailing list -- dev@openeuler.org mailto:dev@openeuler.org To unsubscribe send an email to dev-leave@openeuler.org mailto:dev-leave@openeuler.org
@王建民 发邮件给 安全委员会 是需要 使用GPG公钥的https://openeuler.org/zh/security/vulnerability-reporting/
@朱建伟&颜小兵:看看这个约束除了在网站上说明以外,是否在邮件列表服务器上或者其他渠道说明一下,方便邮件发送者
发件人: Jianmin Wang [mailto:jianmin@iscas.ac.cn] 发送时间: 2020年11月2日 10:21 收件人: security@openeuler.org; zhujianwei (C) zhujianwei7@huawei.com 抄送: Hufeng (Solar, Euler) solar.hu@huawei.com; Jiangyumin (Jimmy) jiangyumin@huawei.com; dev dev@openeuler.org 主题: [Dev] Fwd: openEuler树莓派镜像设置root密码的安全策略
Hi,建伟和安全委员会的委员们,
围绕社区的密码策略以及后续树莓派镜像的默认密码希望大家给出建议和意见,如果需要,我们可以通过在线会议沟通讨论。预期本周提交相关的草案上 TC 会议讨论。
由于 yafen 发给 security 邮件列表总是被拒,所以我再转发一次并抄送给了 dev 邮件列表。
谢谢。
——王建民
Begin forwarded message:
From: 方亚芬 <yafen@iscas.ac.cnmailto:yafen@iscas.ac.cn> Subject: openEuler树莓派镜像设置root密码的安全策略 Date: 29 October 2020 at 2:31:06 PM SGT To: security@openeuler.orgmailto:security@openeuler.org Cc: jianmin@iscas.ac.cnmailto:jianmin@iscas.ac.cn, "Jiangyumin (Jimmy)" <jiangyumin@huawei.commailto:jiangyumin@huawei.com>, "Hufeng (Solar, Euler)" <solar.hu@huawei.commailto:solar.hu@huawei.com>, "zhujianwei (C)" <zhujianwei7@huawei.commailto:zhujianwei7@huawei.com>
安全委员会的委员们,大家好。
我是 openEuler 社区树莓派 SIG 组的 Maintainer,需要咨询一下当前 openEuler 系统 root 密码设置的安全策略问题,并进一步征求一下安全委员会对 openEuler 树莓派镜像的 root 密码设置的意见。(该问题在 Release SIG 组 10 月 28 号的例会上初步讨论,具体会议纪要参见本邮件最后“Release-Management SIG 组例会会议纪要“的议题三部分,Release SIG 组建议跟安全委员会沟通一下并且于下周提交 TC 委员会决策。) 当前情况:openEuler 20.09 的树莓派镜像已于 9 月 30 号发布,当前镜像设置的 root 用户的默认密码为 openeuler。[1]https://openeuler.org/zh/docs/20.09/docs/Installation/%E5%AE%89%E8%A3%85%E5%AF%BC-1.html 前期社区建议:之前与 Release SIG 组沟通得出的方案是,出于对安全的考虑,建议和虚拟机镜像 初始密码设置一致,即 root 密码设置为 openEuler12#$ 。[2]https://openeuler.org/zh/docs/20.09/docs/Releasenotes/%E7%B3%BB%E7%BB%9F%E5%AE%89%E8%A3%85.html [3]https://gitee.com/openeuler/release-management/issues/I1RG4M?from=project-issue#note_3176782 问题:由于存在发布镜像的密码与最初约定不一致的问题,同时也考虑到更多方面的因素,需要遵循社区的密码策略来确定树莓派默认密码的长期设定。 树莓派 SIG 组内部经过讨论,如果满足社区的密码策略,建议 openEuler 的树莓派镜像保持 root 密码为 openeuler,主要出于以下几点考虑: 1. 不像服务器对密码复杂度要求比较高,作为个人使用的树莓派,初始密码设置相对简单好记一点,方便用户使用。如果用户对于树莓派安全有更高要求,用户可以登录后可以重新设置密码。 2. 参考的是其他操作系统发行版发布的的树莓派镜像,root 密码设置得相对比较简单。 - Raspberry Pi OS(之前叫 Raspbian) 默认用户名是 pi(具有 sudo 权限),默认密码是 raspberry。root 用户默认禁用。[4]https://www.raspberrypi.org/documentation/installation/installing-images/README.md - ubuntu,默认提供两个版本,一个有桌面,一个服务器版。服务器版本,默认用户 ubuntu,密码 ubuntu。桌面版本默认提供启动初始设置,用户可以自主设置用户名和密码)。[5]https://ubuntu.com/download/raspberry-pi - centos 的树莓派镜像的 root 密码为 centos。[6]https://wiki.centos.org/SpecialInterestGroup/AltArch/Arm32/RaspberryPi3 3. 树莓派 SIG 组未来会发布各个版本的树莓派镜像(20.09、20.03 LTS、带有桌面等多个版本)。鉴于 openEuler 20.09 的树莓派镜像已经发布,且 root 密码已经设置为 openeuler,树莓派 SIG 组建议之后的镜像的 root 密码也与已发布的 openEuler 20.09 的树莓派镜像保持一致,避免同时有 root 密码不同的树莓派镜像同时存在,给用户造成混淆。 附加问题:考虑到 openEuler 后期会添加桌面环境,那么树莓派镜像就需要系统有一个默认的普通用户,这个默认的普通用户的用户名和密码该如何设置,其密码设置有没有确定的安全策略?针对这一问题也想征求一下安全委员会的意见,如 openeuler:openeuler。 以上问题对应 issue 链接参考: 1. openEuler 树莓派安装:https://openeuler.org/zh/docs/20.09/docs/Installation/%E5%AE%89%E8%A3%85%E6%...https://openeuler.org/zh/docs/20.09/docs/Installation/%E5%AE%89%E8%A3%85%E6%8C%87%E5%AF%BC-1.html 2. openEuler 安装介绍:https://openeuler.org/zh/docs/20.09/docs/Releasenotes/%E7%B3%BB%E7%BB%9F%E5%...https://openeuler.org/zh/docs/20.09/docs/Releasenotes/%E7%B3%BB%E7%BB%9F%E5%AE%89%E8%A3%85.html 3. openEuler 20.09 版本新增树莓派版本:https://gitee.com/openeuler/release-management/issues/I1RG4M?from=project-is... 4. Raspberry Pi OS:https://www.raspberrypi.org/documentation/installation/installing-images/REA...http://www.raspberrypi.org/documentation/installation/installing-images/README.md 5. Ubuntu for Raspberry Pi:https://ubuntu.com/download/raspberry-pihttp://ubuntu.com/download/raspberry-pi 6. CentOS for Raspberry Pi:https://wiki.centos.org/SpecialInterestGroup/AltArch/Arm32/RaspberryPi3http://wiki.centos.org/SpecialInterestGroup/AltArch/Arm32/RaspberryPi3
谢谢大家。
-----原始邮件----- 发件人:"Jiangyumin (Jimmy)" <jiangyumin@huawei.commailto:jiangyumin@huawei.com> 发送时间:2020-10-28 20:51:07 (星期三) 收件人: "release@openeuler.orgmailto:release@openeuler.org" <release@openeuler.orgmailto:release@openeuler.org>, "dev@openeuler.orgmailto:dev@openeuler.org" <dev@openeuler.orgmailto:dev@openeuler.org> 抄送: openEuler-tc <tc@openeuler.orgmailto:tc@openeuler.org>, "Hufeng (Solar, Euler)" <solar.hu@huawei.commailto:solar.hu@huawei.com>, Xiexiuqi <xiexiuqi@huawei.commailto:xiexiuqi@huawei.com>, "方亚芬" <yafen@iscas.ac.cnmailto:yafen@iscas.ac.cn>, "chen_yaqiang@qq.commailto:chen_yaqiang@qq.com" <chen_yaqiang@qq.commailto:chen_yaqiang@qq.com> 主题: [Dev] 【会议纪要】//答复: 【明日例会议题】openEuler Release-Management SIG meeting Time: 2020-10-28 9:30-11:30 Release-Management SIG 组例会会议纪要(时间:2020-10-28 9:30-11:30):
议题一:openEuler社区版本分支管理规范初稿讨论
1、 openEuler 20.03 LTS NEXT分支将作为 20.03 LTS SP版本的开发分支进行特性开发合入。
2、 20.03 LTS SP1版本发布后,CVE漏洞与BUG修复需要同时在 20.03 LTS、20.03 LTS NEXT、20.03 LTS SP1三个分支合入。
3、 OpenEuler 版本分支管理规范稿在release sig 组发起讨论后最终定稿。
议题二: kernel切换计划与后续的版本配套计划
1、 kernel计划本周v5.10-rc1版本发布后,启动在master分支上的切换,并最终5.10正式发布后(预计12月下旬),配套openEuler 21.03版本。
2、 kernel 将在openEuler 20.03 LTS SP2版本做较大的改动合入,可能会引起兼容性问题,需要kernel分析影响后在社区发起讨论,最终在TC决策。
3、 kernel是否单独建仓,在过程迭代中发布独立版本供开发者快速获取尝试,待进一步讨论在TC决策。
议题三:树莓派镜像添加到树莓派官方第三方系统镜像工作进展
1、 树莓派关于openEuler在使用与运营数据需要补充在全球的使用情况与发展趋势,运营数据可从运营团队获取。
2、 Jason文件的存放目录需要与运营负责人马全一讨论后确定。
3、 对于密码设置的策略需要与安全委员会成员沟通后,根据不同场景给出方案,在TC进行决策。
议题四:openEuler 20.03 LTS SP1 冻结需求
1、 openEuler 20.03 LTS SP1需求已冻结,需求列表在release sig组进行公布。
2、 后续openEuler 版本需求收集除了在社区上进行公示外,建议与每个SIG 的maintainer再进一步确认,对于有市场诉求SIG组无法支持的,建议上TC决策。
发件人: Jiangyumin (Jimmy) 发送时间: 2020年10月27日 16:22 收件人: release@openeuler.orgmailto:release@openeuler.org; dev@openeuler.orgmailto:dev@openeuler.org 抄送: openEuler-tc <tc@openeuler.orgmailto:tc@openeuler.org>; Hufeng (Solar, Euler) <solar.hu@huawei.commailto:solar.hu@huawei.com>; Xiexiuqi <xiexiuqi@huawei.commailto:xiexiuqi@huawei.com>; '方亚芬' <yafen@iscas.ac.cnmailto:yafen@iscas.ac.cn> 主题: 【明日例会议题】openEuler Release-Management SIG meeting Time: 2020-10-28 9:30-11:30
明日Release sig 组例会议题如下:
1、openEuler 20.03 LTS SP1 冻结需求 ---- 胡峰 2、kernel切换计划 与后续的版本配套计划 --- 谢秀奇 3、树莓派镜像添加到树莓派官方第三方系统镜像工作进展 --- 方亚芬
发件人: Jiangyumin (Jimmy) [mailto:jiangyumin@huawei.com] 发送时间: 2020年10月26日 10:38 收件人: release@openeuler.orgmailto:release@openeuler.org; dev@openeuler.orgmailto:dev@openeuler.org 抄送: openEuler-tc <tc@openeuler.orgmailto:tc@openeuler.org> 主题: [Release] 【议题收集】【Meeting Notice】openEuler Release-Management SIG meeting Time: 2020-10-28 9:30-11:30
Topic
【议题收集】Release-management sig组例会 (可直接回复此邮件申报议题)
Time
2020-10-28 9:30-11:30((UTC+08:00)Beijing)
--- 会议信息 --- 会议id: 96457420049 会议链接:https://zoom.us/j/96457420049?pwd=di95MnJaUU1sNmxFQWMrNjBMZFBEZz09
--- 会议纪要归档 ---
Meeting Record: https://gitee.com/openeuler/release-management/wikis
________________________________ 祝工作顺利,生活愉快。
------------------------------------------ 方亚芬 中国科学院软件研究所 智能软件研究中心 邮箱:yafen@iscas.ac.cnmailto:jiran@iscas.ac.cn 地址:北京市海淀区中关村南四街4号5楼 _______________________________________________ Dev mailing list -- dev@openeuler.orgmailto:dev@openeuler.org To unsubscribe send an email to dev-leave@openeuler.orgmailto:dev-leave@openeuler.org
谢谢 @Xiehong 提醒。
@朱建伟&颜小兵 根据网页, securities@openeuler.org 这个邮件列表应该是用于漏洞上报的,所以需要 GPG 加密。或许采用 GPG 加密的方式并不适合于社区讨论一般性安全问题,如果是讨论非漏洞相关的(如系统安全策略、密码策略等方面)的安全问题,该使用什么邮件列表呢?是否也可以在页面上加一下说明。
多谢。
——王建民
On 2 Nov 2020, at 10:27 AM, Xiehong (Cynthia) xiehong@huawei.com wrote:
@王建民 发邮件给 安全委员会 是需要 使用GPG公钥的https://openeuler.org/zh/security/vulnerability-reporting/
@朱建伟&颜小兵:看看这个约束除了在网站上说明以外,是否在邮件列表服务器上或者其他渠道说明一下,方便邮件发送者
发件人: Jianmin Wang [mailto:jianmin@iscas.ac.cn] 发送时间: 2020年11月2日 10:21 收件人: security@openeuler.org; zhujianwei (C) zhujianwei7@huawei.com 抄送: Hufeng (Solar, Euler) solar.hu@huawei.com; Jiangyumin (Jimmy) jiangyumin@huawei.com; dev dev@openeuler.org 主题: [Dev] Fwd: openEuler树莓派镜像设置root密码的安全策略
Hi,建伟和安全委员会的委员们,
围绕社区的密码策略以及后续树莓派镜像的默认密码希望大家给出建议和意见,如果需要,我们可以通过在线会议沟通讨论。预期本周提交相关的草案上 TC 会议讨论。
由于 yafen 发给 security 邮件列表总是被拒,所以我再转发一次并抄送给了 dev 邮件列表。
谢谢。
——王建民
Begin forwarded message:
From: 方亚芬 yafen@iscas.ac.cn Subject: openEuler树莓派镜像设置root密码的安全策略 Date: 29 October 2020 at 2:31:06 PM SGT To: security@openeuler.org Cc: jianmin@iscas.ac.cn, "Jiangyumin (Jimmy)" jiangyumin@huawei.com, "Hufeng (Solar, Euler)" solar.hu@huawei.com, "zhujianwei (C)" zhujianwei7@huawei.com
安全委员会的委员们,大家好。
我是 openEuler 社区树莓派 SIG 组的 Maintainer,需要咨询一下当前 openEuler 系统 root 密码设置的安全策略问题,并进一步征求一下安全委员会对 openEuler 树莓派镜像的 root 密码设置的意见。(该问题在 Release SIG 组 10 月 28 号的例会上初步讨论,具体会议纪要参见本邮件最后“Release-Management SIG 组例会会议纪要“的议题三部分,Release SIG 组建议跟安全委员会沟通一下并且于下周提交 TC 委员会决策。) 当前情况:openEuler 20.09 的树莓派镜像已于 9 月 30 号发布,当前镜像设置的 root 用户的默认密码为 openeuler。[1] 前期社区建议:之前与 Release SIG 组沟通得出的方案是,出于对安全的考虑,建议和虚拟机镜像 初始密码设置一致,即root 密码设置为 openEuler12#$ 。[2] [3] 问题:由于存在发布镜像的密码与最初约定不一致的问题,同时也考虑到更多方面的因素,需要遵循社区的密码策略来确定树莓派默认密码的长期设定。 树莓派 SIG 组内部经过讨论,如果满足社区的密码策略,建议 openEuler 的树莓派镜像保持 root 密码为 openeuler,主要出于以下几点考虑:
- 不像服务器对密码复杂度要求比较高,作为个人使用的树莓派,初始密码设置相对简单好记一点,方便用户使用。如果用户对于树莓派安全有更高要求,用户可以登录后可以重新设置密码。
- 参考的是其他操作系统发行版发布的的树莓派镜像,root 密码设置得相对比较简单。
- Raspberry Pi OS(之前叫 Raspbian) 默认用户名是 pi(具有 sudo 权限),默认密码是 raspberry。root 用户默认禁用。[4]
- ubuntu,默认提供两个版本,一个有桌面,一个服务器版。服务器版本,默认用户 ubuntu,密码 ubuntu。桌面版本默认提供启动初始设置,用户可以自主设置用户名和密码)。[5]
- centos 的树莓派镜像的 root 密码为 centos。[6]
- 树莓派 SIG 组未来会发布各个版本的树莓派镜像(20.09、20.03 LTS、带有桌面等多个版本)。鉴于 openEuler 20.09的树莓派镜像已经发布,且 root 密码已经设置为 openeuler,树莓派 SIG 组建议之后的镜像的 root 密码也与已发布的openEuler 20.09 的树莓派镜像保持一致,避免同时有 root 密码不同的树莓派镜像同时存在,给用户造成混淆。
附加问题:考虑到 openEuler 后期会添加桌面环境,那么树莓派镜像就需要系统有一个默认的普通用户,这个默认的普通用户的用户名和密码该如何设置,其密码设置有没有确定的安全策略?针对这一问题也想征求一下安全委员会的意见,如openeuler:openeuler。 以上问题对应 issue 链接参考:
- openEuler 树莓派安装:https://openeuler.org/zh/docs/20.09/docs/Installation/%E5%AE%89%E8%A3%85%E6%...
- openEuler 安装介绍:https://openeuler.org/zh/docs/20.09/docs/Releasenotes/%E7%B3%BB%E7%BB%9F%E5%...
- openEuler 20.09 版本新增树莓派版本:https://gitee.com/openeuler/release-management/issues/I1RG4M?from=project-is...
- Raspberry Pi OS:https://www.raspberrypi.org/documentation/installation/installing-images/REA...
- Ubuntu for Raspberry Pi:https://ubuntu.com/download/raspberry-pi
- CentOS for Raspberry Pi:https://wiki.centos.org/SpecialInterestGroup/AltArch/Arm32/RaspberryPi3
谢谢大家。
-----原始邮件----- 发件人:"Jiangyumin (Jimmy)" jiangyumin@huawei.com 发送时间:2020-10-28 20:51:07 (星期三) 收件人: "release@openeuler.org" release@openeuler.org, "dev@openeuler.org" dev@openeuler.org 抄送: openEuler-tc tc@openeuler.org, "Hufeng (Solar, Euler)" solar.hu@huawei.com, Xiexiuqi xiexiuqi@huawei.com, "方亚芬" yafen@iscas.ac.cn, "chen_yaqiang@qq.com" chen_yaqiang@qq.com 主题: [Dev] 【会议纪要】//答复: 【明日例会议题】openEuler Release-Management SIG meeting Time: 2020-10-28 9:30-11:30
Release-Management SIG 组例会会议纪要(时间:2020-10-28 9:30-11:30):
议题一:openEuler社区版本分支管理规范初稿讨论 1、 openEuler 20.03 LTS NEXT分支将作为 20.03 LTS SP版本的开发分支进行特性开发合入。
2、 20.03 LTS SP1版本发布后,CVE漏洞与BUG修复需要同时在 20.03 LTS、20.03 LTS NEXT、20.03 LTS SP1三个分支合入。
3、 OpenEuler 版本分支管理规范稿在release sig 组发起讨论后最终定稿。
议题二: kernel切换计划与后续的版本配套计划 1、 kernel计划本周v5.10-rc1版本发布后,启动在master分支上的切换,并最终5.10正式发布后(预计12月下旬),配套openEuler 21.03版本。
2、 kernel 将在openEuler 20.03 LTS SP2版本做较大的改动合入,可能会引起兼容性问题,需要kernel分析影响后在社区发起讨论,最终在TC决策。
3、 kernel是否单独建仓,在过程迭代中发布独立版本供开发者快速获取尝试,待进一步讨论在TC决策。
议题三:树莓派镜像添加到树莓派官方第三方系统镜像工作进展 1、 树莓派关于openEuler在使用与运营数据需要补充在全球的使用情况与发展趋势,运营数据可从运营团队获取。
2、 Jason文件的存放目录需要与运营负责人马全一讨论后确定。
3、 对于密码设置的策略需要与安全委员会成员沟通后,根据不同场景给出方案,在TC进行决策。
议题四:openEuler 20.03 LTS SP1 冻结需求 1、 openEuler 20.03 LTS SP1需求已冻结,需求列表在release sig组进行公布。
2、 后续openEuler 版本需求收集除了在社区上进行公示外,建议与每个SIG 的maintainer再进一步确认,对于有市场诉求SIG组无法支持的,建议上TC决策。
发件人: Jiangyumin (Jimmy) 发送时间: 2020年10月27日 16:22 收件人: release@openeuler.org; dev@openeuler.org 抄送: openEuler-tc tc@openeuler.org; Hufeng (Solar, Euler) solar.hu@huawei.com; Xiexiuqi xiexiuqi@huawei.com; '方亚芬' yafen@iscas.ac.cn 主题: 【明日例会议题】openEuler Release-Management SIG meeting Time: 2020-10-28 9:30-11:30
明日Release sig 组例会议题如下:
1、openEuler 20.03 LTS SP1 冻结需求 ---- 胡峰 2、kernel切换计划 与后续的版本配套计划 --- 谢秀奇 3、树莓派镜像添加到树莓派官方第三方系统镜像工作进展 --- 方亚芬
发件人: Jiangyumin (Jimmy) [mailto:jiangyumin@huawei.com] 发送时间: 2020年10月26日 10:38 收件人: release@openeuler.org; dev@openeuler.org 抄送: openEuler-tc tc@openeuler.org 主题: [Release] 【议题收集】【Meeting Notice】openEuler Release-Management SIG meeting Time: 2020-10-28 9:30-11:30
Topic 【议题收集】Release-management sig组例会 (可直接回复此邮件申报议题) Time 2020-10-28 9:30-11:30((UTC+08:00)Beijing)
--- 会议信息 --- 会议id: 96457420049 会议链接:https://zoom.us/j/96457420049?pwd=di95MnJaUU1sNmxFQWMrNjBMZFBEZz09
--- 会议纪要归档 --- Meeting Record: https://gitee.com/openeuler/release-management/wikis
祝工作顺利,生活愉快。
方亚芬
中国科学院软件研究所 智能软件研究中心
邮箱:yafen@iscas.ac.cn
地址:北京市海淀区中关村南四街4号5楼
Dev mailing list -- dev@openeuler.org To unsubscribe send an email to dev-leave@openeuler.org
Dev mailing list -- dev@openeuler.org To unsubscribe send an email to dev-leave@openeuler.org
@王建民
你好,关于安全技术相关的内容,openEuler上当前由 sig-security-facility 这个sig组看护。相关的问题,可以联系这个sig组。
当前 sig-security-facility 共用 dev@openeuler.orgmailto:dev@openeuler.org 邮箱列表交流。官网上sig 组的信息不是很明显,抱歉。
[cid:image002.png@01D6B13C.C2E15630]
-----Original Message----- From: Jianmin Wang [mailto:jianmin@iscas.ac.cn] Sent: Monday, November 2, 2020 10:59 AM To: Xiehong (Cynthia) xiehong@huawei.com; zhujianwei (C) zhujianwei7@huawei.com; Yanxiaobing yanxiaobing@huawei.com Cc: Hufeng (Solar, Euler) solar.hu@huawei.com; Jiangyumin (Jimmy) jiangyumin@huawei.com; dev dev@openeuler.org Subject: Re: [Dev] openEuler树莓派镜像设置root密码的安全策略
谢谢 @Xiehong 提醒。
@朱建伟&颜小兵 根据网页, securities@openeuler.orgmailto:securities@openeuler.org 这个邮件列表应该是用于漏洞上报的,所以需要 GPG 加密。或许采用 GPG 加密的方式并不适合于社区讨论一般性安全问题,如果是讨论非漏洞相关的(如系统安全策略、密码策略等方面)的安全问题,该使用什么邮件列表呢?是否也可以在页面上加一下说明。
多谢。
——王建民
On 2 Nov 2020, at 10:27 AM, Xiehong (Cynthia) <xiehong@huawei.commailto:xiehong@huawei.com> wrote:
@王建民
发邮件给 安全委员会 是需要
使用GPG公钥的https://openeuler.org/zh/security/vulnerability-reporting/
@朱建伟&颜小兵:看看这个约束除了在网站上说明以外,是否在邮件列表服务器上或者其他渠道说明一下,方便邮件发送者
发件人: Jianmin Wang [mailto:jianmin@iscas.ac.cn]
发送时间: 2020年11月2日 10:21
收件人: security@openeuler.orgmailto:security@openeuler.org; zhujianwei (C) <zhujianwei7@huawei.commailto:zhujianwei7@huawei.com>
抄送: Hufeng (Solar, Euler) <solar.hu@huawei.commailto:solar.hu@huawei.com>; Jiangyumin (Jimmy)
<jiangyumin@huawei.commailto:jiangyumin@huawei.com>; dev <dev@openeuler.orgmailto:dev@openeuler.org>
主题: [Dev] Fwd: openEuler树莓派镜像设置root密码的安全策略
Hi,建伟和安全委员会的委员们,
围绕社区的密码策略以及后续树莓派镜像的默认密码希望大家给出建议和意见,如果需要,我们可以通过在线会议沟通讨论。预期本周提交相关的草案上 TC
会议讨论。
由于 yafen 发给 security 邮件列表总是被拒,所以我再转发一次并抄送给了 dev 邮件列表。
谢谢。
——王建民
Begin forwarded message:
From: 方亚芬 <yafen@iscas.ac.cnmailto:yafen@iscas.ac.cn>
Subject: openEuler树莓派镜像设置root密码的安全策略
Date: 29 October 2020 at 2:31:06 PM SGT
To: security@openeuler.orgmailto:security@openeuler.org
Cc: jianmin@iscas.ac.cnmailto:jianmin@iscas.ac.cn, "Jiangyumin (Jimmy)" <jiangyumin@huawei.commailto:jiangyumin@huawei.com>,
"Hufeng (Solar, Euler)" <solar.hu@huawei.commailto:solar.hu@huawei.com>, "zhujianwei (C)"
<zhujianwei7@huawei.commailto:zhujianwei7@huawei.com>
安全委员会的委员们,大家好。
我是 openEuler 社区树莓派 SIG 组的 Maintainer,需要咨询一下当前 openEuler 系统 root
密码设置的安全策略问题,并进一步征求一下安全委员会对 openEuler 树莓派镜像的 root 密码设置的意见。(该问题在 Release
SIG 组 10 月 28 号的例会上初步讨论,具体会议纪要参见本邮件最后“Release-Management SIG
组例会会议纪要“的议题三部分,Release SIG 组建议跟安全委员会沟通一下并且于下周提交 TC 委员会决策。)
当前情况:openEuler 20.09 的树莓派镜像已于 9 月 30 号发布,当前镜像设置的 root 用户的默认密码为
openeuler。[1]
前期社区建议:之前与 Release SIG 组沟通得出的方案是,出于对安全的考虑,建议和虚拟机镜像 初始密码设置一致,即root
密码设置为 openEuler12#$ 。[2] [3]
问题:由于存在发布镜像的密码与最初约定不一致的问题,同时也考虑到更多方面的因素,需要遵循社区的密码策略来确定树莓派默认密码的长期设定。
树莓派 SIG 组内部经过讨论,如果满足社区的密码策略,建议 openEuler 的树莓派镜像保持 root 密码为
openeuler,主要出于以下几点考虑:
不像服务器对密码复杂度要求比较高,作为个人使用的树莓派,初始密码设置相对简单好记一点,方便用户使用。如果用户对于树莓派安全有更高要求,用户可
以登录后可以重新设置密码。
- 参考的是其他操作系统发行版发布的的树莓派镜像,root 密码设置得相对比较简单。
- Raspberry Pi OS(之前叫 Raspbian) 默认用户名是 pi(具有 sudo 权限),默认密码是 raspberry。root 用户默认禁用。[4]
- ubuntu,默认提供两个版本,一个有桌面,一个服务器版。服务器版本,默认用户 ubuntu,密码 ubuntu。桌面版本默认提供启动初始设置,用户可以自主设置用户名和密码)。[5]
- centos 的树莓派镜像的 root 密码为 centos。[6]
- 树莓派 SIG 组未来会发布各个版本的树莓派镜像(20.09、20.03 LTS、带有桌面等多个版本)。鉴于 openEuler
20.09的树莓派镜像已经发布,且 root 密码已经设置为 openeuler,树莓派 SIG 组建议之后的镜像的 root
密码也与已发布的openEuler 20.09 的树莓派镜像保持一致,避免同时有 root 密码不同的树莓派镜像同时存在,给用户造成混淆。
附加问题:考虑到 openEuler
后期会添加桌面环境,那么树莓派镜像就需要系统有一个默认的普通用户,这个默认的普通用户的用户名和密码该如何设置,其密码设置有没有确定的安全策略
?针对这一问题也想征求一下安全委员会的意见,如openeuler:openeuler。
以上问题对应 issue 链接参考:
- openEuler
树莓派安装:https://openeuler.org/zh/docs/20.09/docs/Installation/%E5%AE%89%E8%A3%85%E6%...
l 2. openEuler
安装介绍:https://openeuler.org/zh/docs/20.09/docs/Releasenotes/%E7%B3%BB%E7%BB%9F%E5%...
- openEuler 20.09
版本新增树莓派版本:https://gitee.com/openeuler/release-management/issues/I1RG4M
?from=project-issue#note_3176782 4. Raspberry Pi
OS:https://www.raspberrypi.org/documentation/installation/installing-i
mages/README.md 5. Ubuntu for Raspberry
- CentOS for Raspberry
Pi:https://wiki.centos.org/SpecialInterestGroup/AltArch/Arm32/Raspberr
yPi3
谢谢大家。
-----原始邮件-----
发件人:"Jiangyumin (Jimmy)" <jiangyumin@huawei.commailto:jiangyumin@huawei.com>
发送时间:2020-10-28 20:51:07 (星期三)
收件人: "release@openeuler.orgmailto:release@openeuler.org" <release@openeuler.orgmailto:release@openeuler.org>,
"dev@openeuler.orgmailto:dev@openeuler.org" <dev@openeuler.orgmailto:dev@openeuler.org>
抄送: openEuler-tc <tc@openeuler.orgmailto:tc@openeuler.org>, "Hufeng (Solar, Euler)"
<solar.hu@huawei.commailto:solar.hu@huawei.com>, Xiexiuqi <xiexiuqi@huawei.commailto:xiexiuqi@huawei.com>, "方亚芬"
<yafen@iscas.ac.cnmailto:yafen@iscas.ac.cn>, "chen_yaqiang@qq.commailto:chen_yaqiang@qq.com" <chen_yaqiang@qq.commailto:chen_yaqiang@qq.com>
主题: [Dev] 【会议纪要】//答复: 【明日例会议题】openEuler Release-Management SIG meeting
Time: 2020-10-28 9:30-11:30
Release-Management SIG 组例会会议纪要(时间:2020-10-28 9:30-11:30):
议题一:openEuler社区版本分支管理规范初稿讨论
1、 openEuler 20.03 LTS NEXT分支将作为 20.03 LTS SP版本的开发分支进行特性开发合入。
2、 20.03 LTS SP1版本发布后,CVE漏洞与BUG修复需要同时在 20.03 LTS、20.03 LTS NEXT、20.03
LTS SP1三个分支合入。
3、 OpenEuler 版本分支管理规范稿在release sig 组发起讨论后最终定稿。
议题二: kernel切换计划与后续的版本配套计划
1、
kernel计划本周v5.10-rc1版本发布后,启动在master分支上的切换,并最终5.10正式发布后(预计12月下旬),配套openE
uler 21.03版本。
2、 kernel 将在openEuler 20.03 LTS
SP2版本做较大的改动合入,可能会引起兼容性问题,需要kernel分析影响后在社区发起讨论,最终在TC决策。
3、 kernel是否单独建仓,在过程迭代中发布独立版本供开发者快速获取尝试,待进一步讨论在TC决策。
议题三:树莓派镜像添加到树莓派官方第三方系统镜像工作进展
1、 树莓派关于openEuler在使用与运营数据需要补充在全球的使用情况与发展趋势,运营数据可从运营团队获取。
2、 Jason文件的存放目录需要与运营负责人马全一讨论后确定。
3、 对于密码设置的策略需要与安全委员会成员沟通后,根据不同场景给出方案,在TC进行决策。
议题四:openEuler 20.03 LTS SP1 冻结需求
1、 openEuler 20.03 LTS SP1需求已冻结,需求列表在release sig组进行公布。
2、 后续openEuler 版本需求收集除了在社区上进行公示外,建议与每个SIG
的maintainer再进一步确认,对于有市场诉求SIG组无法支持的,建议上TC决策。
发件人: Jiangyumin (Jimmy)
发送时间: 2020年10月27日 16:22
收件人: release@openeuler.orgmailto:release@openeuler.org; dev@openeuler.orgmailto:dev@openeuler.org
抄送: openEuler-tc <tc@openeuler.orgmailto:tc@openeuler.org>; Hufeng (Solar, Euler)
<solar.hu@huawei.commailto:solar.hu@huawei.com>; Xiexiuqi <xiexiuqi@huawei.commailto:xiexiuqi@huawei.com>; '方亚芬'
<yafen@iscas.ac.cnmailto:yafen@iscas.ac.cn>
主题: 【明日例会议题】openEuler Release-Management SIG meeting Time: 2020-10-28
9:30-11:30
明日Release sig 组例会议题如下:
1、openEuler 20.03 LTS SP1 冻结需求 ---- 胡峰
2、kernel切换计划 与后续的版本配套计划 --- 谢秀奇
3、树莓派镜像添加到树莓派官方第三方系统镜像工作进展 --- 方亚芬
发件人: Jiangyumin (Jimmy) [mailto:jiangyumin@huawei.com]
发送时间: 2020年10月26日 10:38
收件人: release@openeuler.orgmailto:release@openeuler.org; dev@openeuler.orgmailto:dev@openeuler.org
抄送: openEuler-tc <tc@openeuler.orgmailto:tc@openeuler.org>
主题: [Release] 【议题收集】【Meeting Notice】openEuler Release-Management SIG
meeting Time: 2020-10-28 9:30-11:30
Topic
【议题收集】Release-management sig组例会 (可直接回复此邮件申报议题)
Time
2020-10-28 9:30-11:30((UTC+08:00)Beijing)
--- 会议信息 ---
会议id: 96457420049
会议链接:https://zoom.us/j/96457420049?pwd=di95MnJaUU1sNmxFQWMrNjBMZFBEZz0
9
--- 会议纪要归档 ---
Meeting Record: https://gitee.com/openeuler/release-management/wikis
祝工作顺利,生活愉快。
方亚芬
中国科学院软件研究所 智能软件研究中心
邮箱:yafen@iscas.ac.cnmailto:yafen@iscas.ac.cn
地址:北京市海淀区中关村南四街4号5楼
Dev mailing list -- dev@openeuler.orgmailto:dev@openeuler.org
To unsubscribe send an email to dev-leave@openeuler.orgmailto:dev-leave@openeuler.org
Dev mailing list -- dev@openeuler.orgmailto:dev@openeuler.org
To unsubscribe send an email to dev-leave@openeuler.orgmailto:dev-leave@openeuler.org
-
Jianmin Wang -
Xiehong (Cynthia) -
Yanxiaobing