various fixes for bullseye and new ssh key changes

[automated-distro-installer] / faiserver-setup
diff --git a/faiserver-setup b/faiserver-setup

index 17dfba3db75bfe8d3799620a3ebf23a4703733ff..e1f744bcec9045c1a7c02e9285fadf21371de521 100755 (executable)
--- a/faiserver-setup
+++ b/faiserver-setup
@@ -17,11 +17,13 @@
  
  x="$(readlink -f "$BASH_SOURCE")"; source "${x%/*}/bash-trace"
  
  
  x="$(readlink -f "$BASH_SOURCE")"; source "${x%/*}/bash-trace"
  
-[[ $EUID == 0 ]] || exec sudo -i "${BASH_SOURCE}" "$@"
+[[ $EUID == 0 ]] || exec sudo -E "${BASH_SOURCE[0]}" "$@"
+
+LC_USEBASHRC=t; . ~/.bashrc
  
  usage() {
    cat <<EOF
  
  usage() {
    cat <<EOF
-usage: ${0##*/} [-h|--help] [BASE_CODENAME]
+usage: ${0##*/} [-h|--help] [BASE_CODENAME] [ARCH]
  install fai-server on the current machine
  
  Initial setup of a fai server. works on localhost.  Set's the current ip
  install fai-server on the current machine
  
  Initial setup of a fai server. works on localhost.  Set's the current ip
@@ -29,11 +31,25 @@ as the tftp server. I vaguely remember that using a hostname does not
  work.  Separate from running this, faiserver needs to be setup in dns to
  point to whatever host this is run on.
  
  work.  Separate from running this, faiserver needs to be setup in dns to
  point to whatever host this is run on.
  
-Default BASE_CODENAME is stretch, and it expects corresponding
-$BASEFILE_DIR/${UPCASED_BASE_CODENAME}64.tar.gz to exist, and it must have been
+Default BASE_CODENAME is bullseye. Default ARCH is 64. The script expects corresponding
+$BASEFILE_DIR/${UPCASED_BASE_CODENAME}${ARCH}.tar.(gz|xz) to exist, and it must have been
  generated around the same time as the nfsroot, at least so it has the
  same kernel version.
  
  generated around the same time as the nfsroot, at least so it has the
  same kernel version.
  
+
+Note: there is a bug in 5.9.4, fixed by adding
+    sleep 2
+
+Note: in t9, there is a bug in recent fai packages (eg 2021+), where
+  unshare uses a too new argument. I was able to fix it by
+  just going to the site of the error and changing unshare to
+  chroot like it used to be, but I'm not bothering to make
+  any persistent fix, since I'm now on t10. If it ever came
+  up again, using an old fai package would also work.
+
+/usr/sbin/fai-make-nfsroot:503, before apt-get update
+
+
  EOF
    exit $1
  }
  EOF
    exit $1
  }
@@ -42,15 +58,27 @@ case $1 in
  esac
  
  
  esac
  
  
-e() { echo "$@"; "$@"; }
+e() { echo "+ $@"; "$@"; }
  
  
  
  
-base=${1:-stretch}
-basefile=$BASEFILE_DIR/${base^^}64.tar.gz
+base=${1:-bullseye}
+arch=${2:-64}
+
+if [[ $base == [[:upper:]] ]]; then
+  echo $0: error: use lowercase base
+  exit 1
+fi
+
+basefile=($BASEFILE_DIR/${base^^}${arch^^}.tar.gz)
  sed="sed -ri --follow-symlinks"
  
  if [[ ! -e $basefile ]]; then
  sed="sed -ri --follow-symlinks"
  
  if [[ ! -e $basefile ]]; then
-  printf "%s\n" "$0: error BASEFILE_DIR=$BASEFILE_DIR  does not exist"
+  printf "%s\n" "$0: error basefile=$basefile  does not exist" >&2
+  exit 1
+fi
+
+if [[ ! -d $BASEFILE_DIR ]]; then
+  printf "%s\n" "$0: error BASEFILE_DIR=$BASEFILE_DIR  does not exist" >&2
    exit 1
  fi
  
    exit 1
  fi
  
@@ -63,56 +91,39 @@ armhf() {
    [[ $(dpkg --print-architecture) == armhf ]]
  }
  
    [[ $(dpkg --print-architecture) == armhf ]]
  }
  
-if armhf; then
-  if apt-cache policy | grep o=Debian,a=testing,n=stretch &>/dev/null; then
-    cat >/etc/apt/sources.list.d/testing.list <<'EOF'
-deb http://http.us.debian.org/debian testing main contrib non-free
-deb-src http://http.us.debian.org/debian testing main contrib non-free
-
-deb http://security.debian.org/ testing/updates main contrib non-free
-deb-src http://security.debian.org/ testing/updates main contrib non-free
+# fai on ubuntu only has official support using the universe repo, but newer
+# tends to have less bugs.
+wget -O - https://fai-project.org/download/2BF8D9FE074BCDE4.asc | apt-key add -
  
  
-deb http://http.us.debian.org/debian testing-updates main contrib non-free
-deb-src http://http.us.debian.org/debian testing-updates main contrib non-free
+update=false
+case $base in
+  stretch|bullseye|bullseye)
+    if ! grep -qFx "deb https://fai-project.org/download $base koeln" /etc/apt/sources.list.d/fai.list; then
+      update=true
+    fi
+    cat >/etc/apt/sources.list.d/fai.list <<EOF
+deb https://fai-project.org/download $base koeln
  EOF
  EOF
+    ;;
+  *)
+    echo "$0: error: script needs updating for new base" >&2
+    exit 1
+    ;;
+esac
  
  
-    cat >/etc/apt/preferences.d/fai <<'EOF'
-Package: fai-server fai-client fai-doc
-Pin: release a=testing
-Pin-Priority: 500
-
-Package: *
-Pin: release a=testing
-Pin-Priority: -10
-EOF
+f=/var/cache/apt/pkgcache.bin;
+if [[ -r $f ]]; then
+  cachetime=$(stat -c %Y $f );
+  now=$(date +%s)
+  limittime=$(( now - 60*60*2 ))
+  if (( cachtime > limittime )); then
+    update=true
    fi
    fi
-elif grep -xFq 'VERSION="8 (jessie)"' /etc/os-release; then
-  gpg -a --recv-keys 2BF8D9FE074BCDE4; gpg -a --export 2BF8D9FE074BCDE4 | apt-key add -
-  cat >/etc/apt/sources.list.d/fai.list <<'EOF'
-deb https://fai-project.org/download jessie koeln
-EOF
-elif grep -xFq 'VERSION="9 (stretch)"' /etc/os-release || grep -iE 'flidas|xenail' /etc/os-release ; then
-  # fai on ubuntu only has official support using the universe repo, but newer
-  # tends to have less bugs.
-  gpg --keyserver hkp://pool.sks-keyservers.net -a --recv-keys 2BF8D9FE074BCDE4; gpg -a --export 2BF8D9FE074BCDE4 | apt-key add -
-
-  case $base in
-    stretch)
-      cat >/etc/apt/sources.list.d/fai.list <<'EOF'
-deb https://fai-project.org/download stretch koeln
-EOF
-      ;;
-    buster)
-      cat >/etc/apt/sources.list.d/fai.list <<'EOF'
-deb https://fai-project.org/download buster koeln
-EOF
-      ;;
-  esac
-else
-  rm -f /etc/apt/sources.list.d/fai.list
  fi
  
  fi
  
-apt-get update
+if $update; then
+  apt-get update
+fi
  
  # Relevant packages from fai-quickstart depends and fai-server recommends.
  # I especially do not wait isc-dhcp-server or an inetd. Also excludes
  
  # Relevant packages from fai-quickstart depends and fai-server recommends.
  # I especially do not wait isc-dhcp-server or an inetd. Also excludes
@@ -120,7 +131,7 @@ apt-get update
  # kernel, or the ability to install it.
  # xorriso is for running fai-cd -a, not strictly need for fai-server
  # perl-tk is for fai-monitor-gui
  # kernel, or the ability to install it.
  # xorriso is for running fai-cd -a, not strictly need for fai-server
  # perl-tk is for fai-monitor-gui
-pkgs=(fai-doc tftpd-hpa tar reprepro squashfs-tools binutils xorriso)
+pkgs=(fai-doc tftpd-hpa tar reprepro squashfs-tools binutils xorriso perl-tk)
  if modprobe nfsd &>/dev/null; then
    pkgs+=(nfs-kernel-server)
  else
  if modprobe nfsd &>/dev/null; then
    pkgs+=(nfs-kernel-server)
  else
@@ -128,43 +139,54 @@ else
  fi
  
  
  fi
  
  
-apt-get install -y ${pkgs[@]}
+e apt-get install -y ${pkgs[@]}
  # confnew since we edit /etc/fai/NFSROOT in an automated way
  # fai-client is already a fai-server dependency, but make sure it gets upgraded
  # confnew since we edit /etc/fai/NFSROOT in an automated way
  # fai-client is already a fai-server dependency, but make sure it gets upgraded
-apt-get install --no-install-recommends -y -o Dpkg::Options::="--force-confnew" fai-server fai-client
+e apt-get install --no-install-recommends -y -o Dpkg::Options::=--no-force-confdef -o Dpkg::Options::=--force-confnew fai-server fai-client
  
  r=http://http.us.debian.org/debian
  # like default, but scrap httpredir, and nonfree.
  # All my systems should be able to get along without nonfree
  # for a base working system afaik.
  
  r=http://http.us.debian.org/debian
  # like default, but scrap httpredir, and nonfree.
  # All my systems should be able to get along without nonfree
  # for a base working system afaik.
+
  cat >/etc/fai/apt/sources.list <<EOF
  deb $r $base main contrib
  cat >/etc/fai/apt/sources.list <<EOF
  deb $r $base main contrib
-deb http://security.debian.org/debian-security $base/updates main contrib
  EOF
  
  EOF
  
-
+### begin setup security repo ###
  case $base in
  case $base in
-  jessie|stretch|buster)
+  stretch|buster)
      cat >>/etc/fai/apt/sources.list <<EOF
      cat >>/etc/fai/apt/sources.list <<EOF
-# use fai repo. it's commented in the defaults. it's got bug fixes.
-# and may contain newer packages.
-deb http://fai-project.org/download $base koeln
+deb http://security.debian.org/debian-security $base/updates main contrib
  EOF
      ;;
  EOF
      ;;
+  *)
+    # new naming convention
+    cat >>/etc/fai/apt/sources.list <<EOF
+deb http://security.debian.org/debian-security $base-security main contrib
+EOF
  esac
  esac
+### end setup security repo ###
  
  
-if [[ $base == jessie ]]; then
-  cat >>/etc/fai/apt/sources.list <<'EOF'
-# fix tar https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=819978
-deb http://ftp.debian.org/debian jessie-backports main
-EOF
-  # note, fai doesn\'t look at /etc/fai/apt/preferences.d
-  cat >/etc/fai/apt/preferences <<'EOF'
-Package: tar
-Pin: release a=jessie-backports
-Pin-Priority: 500
+
+cat >>/etc/fai/apt/sources.list <<EOF
+# use fai repo. it's commented in the defaults. it's got bug fixes.
+# and may contain newer packages.
+deb http://fai-project.org/download $base koeln
  EOF
  EOF
-fi
+
+## Get latest kernel and btrfs for dealing with btrfs issues.
+# if [[ $base == buster ]]; then
+#   cat >>/etc/fai/apt/sources.list <<'EOF'
+# deb http://ftp.debian.org/debian buster-backports main
+# EOF
+#   # note, fai doesn\'t look at /etc/fai/apt/preferences.d
+#   cat >/etc/fai/apt/preferences <<'EOF'
+# Package: linux-* firmware-linux-free btrfs-progs
+# Pin: release a=buster-backports
+# Pin-Priority: 500
+# EOF
+# fi
  
  
  $sed -f - /etc/fai/nfsroot.conf <<EOF
  
  
  $sed -f - /etc/fai/nfsroot.conf <<EOF
@@ -181,25 +203,34 @@ s,^( *FAI_DEBOOTSTRAP=).*,\1"$base $r",
  EOF
  
  $sed 's/#LOGUSER/LOGUSER/' /etc/fai/fai.conf
  EOF
  
  $sed 's/#LOGUSER/LOGUSER/' /etc/fai/fai.conf
+$sed -i '/^LOGUSER=/d' /etc/fai/fai.conf
  $sed -i '/^FAI_FLAGS=/d' /etc/fai/fai.conf
  echo "FAI_FLAGS=verbose" >>/etc/fai/fai.conf
  $sed -i '/^FAI_FLAGS=/d' /etc/fai/fai.conf
  echo "FAI_FLAGS=verbose" >>/etc/fai/fai.conf
+# note if this isnt set, the user isnt created
+echo "LOGUSER=fai" >>/etc/fai/fai.conf
  
  # from man fai-make-nfsroot,
  # figured out after partitioning ignored my crypt partition
  
  
  
  # from man fai-make-nfsroot,
  # figured out after partitioning ignored my crypt partition
  
  
-if ! grep cryptsetup /etc/fai/NFSROOT &>/dev/null; then
-  cat >>/etc/fai/NFSROOT <<'EOF'
+cedit /etc/fai/NFSROOT <<'EOF' || [[ $? == 1 ]]
  # inserted by faserver-setup
  PACKAGES install
  cryptsetup
  # inserted by faserver-setup
  PACKAGES install
  cryptsetup
+# default one is linux-image-server, doesnt exist anymore
+linux-image-amd64
+# default is btrfs-tools which doesnt exist anymore
+btrfs-progs
+iw
+# got an error in error.log about not having gpg.
+# system seemed to still install ok, so i havent tested if this fixes it.
+gpg
  EOF
  EOF
-fi
  
  if armhf; then
    cd /srv/fai
  
  if armhf; then
    cd /srv/fai
-  rm -rf nfsroot
-  tar Jxf $basefile
+  e rm -rf nfsroot
+  e tar Jxf $basefile
    # background: Can't build the nfsroot on my arm system now.  First,
    # fai-make-nfsroot won't work out of the box. One idea to make it work
    # is by installing qemu-user-static, then copying qemu-x86_64-static
    # background: Can't build the nfsroot on my arm system now.  First,
    # fai-make-nfsroot won't work out of the box. One idea to make it work
    # is by installing qemu-user-static, then copying qemu-x86_64-static
@@ -218,13 +249,8 @@ if armhf; then
      # tftp environment
      local pxebin
  
      # tftp environment
      local pxebin
  
-    # wheezy path
-    if [ -f $NFSROOT/usr/lib/PXELINUX/pxelinux.0 ]; then
-      pxebin=$NFSROOT/usr/lib/PXELINUX/pxelinux.0
-    else
-      # jessie+ path
-      pxebin=$NFSROOT/usr/lib/syslinux/pxelinux.0
-    fi
+    # jessie+ path
+    pxebin=$NFSROOT/usr/lib/syslinux/pxelinux.0
  
      rm -f $NFSROOT/boot/*.bak
      mkdir -p $TFTPROOT/pxelinux.cfg
  
      rm -f $NFSROOT/boot/*.bak
      mkdir -p $TFTPROOT/pxelinux.cfg
@@ -245,12 +271,12 @@ if armhf; then
  type setup_tftp
  EOF
                                )
  type setup_tftp
  EOF
                                )
-  setup_tftp
+  e setup_tftp
  
    # -g causes skipping set_root_pw() in fai-make-nfsroot, -ag
    # is the only way to make it run without chrooting. the options
    # seem contradictory, but it works.
  
    # -g causes skipping set_root_pw() in fai-make-nfsroot, -ag
    # is the only way to make it run without chrooting. the options
    # seem contradictory, but it works.
-  fai-setup -evag
+  e fai-setup -evag
  
  else # not armhf
    # note, this copies the -B arg to
  
  else # not armhf
    # note, this copies the -B arg to
@@ -269,11 +295,22 @@ EOF
  fi
  
  rm -f /srv/fai/nfsroot/root/.ssh/known_hosts
  fi
  
  rm -f /srv/fai/nfsroot/root/.ssh/known_hosts
-key=$(ssh-keyscan localhost |& grep -o "ecdsa-sha2-nistp256.*")
+if [[ $HOSTNAME == kd ]]; then
+  keyscan_arg="-p 8989"
+  fi
+key=$(ssh-keyscan $keyscan_arg localhost |& grep -o "ecdsa-sha2-nistp256.*")
  for ip in faiserver $(ip addr show up| grep -w '^ *inet' | awk '{print $2}'| cut -d / -f 1 | grep -vF 127.0.0.1); do
    echo "$ip $key" >>/srv/fai/nfsroot/root/.ssh/known_hosts
  done
  
  for ip in faiserver $(ip addr show up| grep -w '^ *inet' | awk '{print $2}'| cut -d / -f 1 | grep -vF 127.0.0.1); do
    echo "$ip $key" >>/srv/fai/nfsroot/root/.ssh/known_hosts
  done
  
+# make it the root because pxe-kexec only looks there.
+# It wouldn't be too hard to change if we needed.
+# We could also just dump things in /srv/tftp, but fai
+# has some defaults, which I don't even use, which expect
+# the other directory, so it's kind of a tossup, whatever.
+sed -ri 's,^ *(TFTP_DIRECTORY=).*,\1"/srv/tftp/fai",' /etc/default/tftpd-hpa
+systemctl restart tftpd-hpa
+
  
  # serial console
  # mainly from
  
  # serial console
  # mainly from