Автоматизация автоматизации или как мы обеспечили автоустановку не только ОС Astra Linux, но и софта в один «проход»

Там ещё занятно - пакеты подписаны ключом, которого нет в initrd. Поэтому у нас так:

# Не аутентифицировнная инсталляция: в образе netinst/initrd.gz отсутствует
# публичный ключ для проверки dists/smolensk/Release.gpg
d-i debian-installer/allow_unauthenticated string true
d-i debian-installer/allow_unauthenticated_ssl boolean true

Мне в своё время очень помогли наработки вот этого парня: https://github.com/stillru/astralinux-packer-template

Про PKI «на пальцах» за 10 минут

Да, увидел уже потом.
Действительно, очень незаметно написали.
Возможно, вы не сталкивались с такой необходимостью, а в моей практике это очень сильно зацепило.
Теперь инфраструктуру без CRL не строю, обжёгся один раз — хватит.

Про PKI «на пальцах» за 10 минут

Раз уж заговорили, что ключ может быть украден — следует упомянуть о возможности отзыва сертификата. (openssl ca -revoke).
В этом случае серверам требуется рассылать ещё CRL-ку, у которой по-хорошему должен быть короткий срок жизни.

SSH вместо VPN

Скриншот из игрушки simadmin, если кто не в курсе.
Сам сайт (simadmin.ru) приказал долго жить, но флешку можно скачать на просторах интернета.
Не сочтите за рекламу производителей севревров :)