abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 14:55 | Zajímavý software

Byla vydána verze Alpha 1.0 otevřeného operačního systému pro chytré hodinky AsteroidOS. Podporovány jsou hodinky LG G Watch, LG G Watch Urbane, Asus ZenWatch 2 a Sony Smartwatch 3. Ukázka ovládání hodinek na YouTube. Jaroslav Řezník přednášel o AsteroidOS na chytrých hodinkách (videozáznam) na letošní konferenci OpenAlt.

Ladislav Hagara | Komentářů: 0
dnes 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
dnes 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
včera 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
včera 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
včera 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
včera 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
7.12. 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 808 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?

11.8.2014 09:02 petr
Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Přečteno: 1823×
Zdravím,

zkouším centos 7 a zjišťuji, že dodávaný kernel nemá zkompilovanou podporu ecryptfs. Google mi akorát řekl, že redhat zahodil pro RHEL 7 podporu a v jejich Administration guide je akorát, že se mám podívat do Security Guide, kde o tom není zmínka.

Velice by mě zajímali jejich věcné důvody: je v ecryptfs nějaká zranitelnost? Nemá dostatečnou podporu komunity nebo něco?

Jejich vysvětlení, že mám použí dm-crypt, dm-crypt je lepší...nebaví mě zadávat passphrase a pak ještě heslo pro přihlášení, ecryptfs je prostě pohodlnější a elegantnější, navíc ho můžu použít na jakémkoliv fs - používám zfs a to má raději, když má přístup na disk přímo, ne přes nějakou vrstvu.

Prostě ecryptfs není podřadný dm-crypt, z uživatelského hlediska funguje jinak - je to prostě funkcionalita, kterou redhat zahodil a fakt bych chtěl znát důvody...

[conspiracy?] Nebo snad je ecryptfs tak dobré, že NSA to redhatu nakázala? :-O [/conspiracy?]

Díky

Odpovědi

pavlix avatar 11.8.2014 10:49 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Je nějaký důvod, proč by to nešlo zabalit do EPEL7?
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
11.8.2014 11:14 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Podpora je v kernel-plus z centosplus repozitáře. Ale můj dotaz není, jak to zprovoznit, ale proč to redhat vyhodil. Když to měl v rhel 6 jako tech-preview, tak proč to v následující verzi zavrhl. Ty důvody by mě zajímali. Dm-crypt má své použití a ecryptfs zase jiné, nedělají to stejné, takže redhatí odpověd lidem v mailing listu, že mají použít dm-crypt je prostě špatná. Těm lidem dm-crypt nenahradí funkcionalitu ecryptfs.
pavlix avatar 11.8.2014 13:57 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Pokud se firma rozhodne ve svém komerčním produktu něco nepodporovat, může to mít mnoho důvodů, ale pochybuju, že by zrovna k tomuhle bylo nějaké tiskové prohlášení. Klidně to mohli vyhodit jen proto, že to nikoho (zákazníky, management) nezajímalo.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
11.8.2014 14:42 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
A nebo je to jak se slavným gnome3, něco si tam bastlí a až to pak vidí první zákazník, tak musí rychle přibalit pár extensions a udělat gnome-classic mode, aby to aspoň trochu připomínalo gnome2 a bylo trochu použitelné (RHEL 7 will be a KDE Desktop). Takže pochybuji, že svůj plán pro RHEL 7 dělali na základě reakcí zákazníků, ale tak je to jen moje spekulace samozřejmě. Mně stačí vidět, co si protlačili kolem systemd, abych si utvořil názor.
pavlix avatar 11.8.2014 22:56 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Řekl bych, že gnome a systemd jsou projekty s poněkud zvláštním postavením.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
14.8.2014 20:24 ohlol
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
je tam jeden postaveny vedle druheho? nebo jak to bylo zamysleno?

ale zpet k puvodnimu dotazu... asi nekdo videl dalsi uzasny neprilis provereny zpusob jak potencialne ztratit data a jeste to podporovat, tak u te predstavy behem prvnich peti minut co ho to paralyzovalo zesedivel a pak si vytrhal vsechny vlasy a nakonec prisel na to, jak to vytrhnout z RHELu.
11.8.2014 12:24 Tom K | skóre: 20
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Jeden z důvodů by mohla být ne zcela 100%ní stabilita na NFS a v podobných situacích. Sám jsem ecryptfs zkusil používat, ale v některých případech byly výsledkem rozbité soubory na NFS.
echo -n "u48" | sha1sum | head -c3; echo
11.8.2014 13:54 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Hm, tak je to možné, že se to na nfs rozbije, takhle by mě to asi nenapadlo použít. Pro běžné použití to ale funguje dobře, přešel jsem na tento způsob šifrování domovského adresáře na debianu a je mi to mnohem milejší než dmcrypt. Žádný problém jsem dosud neměl. Navíc to mám na raidovaném zfs a každý blok ve třech kopiích, takže se moc nebojím, že bych o vše přišel (zfs má checksumy a umí vadné bloky opravit).
11.8.2014 12:36 VK
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Cryptsetup + LUKS se dá také nastavit "pohodlnější", stačí si přečíst manuál. Ale pohodlí snad není tou nejdůležitější vlastností šifrovacího systému, a často bývá na úkor bezpečnosti. A označit cryptsetup za podřadný :-o
11.8.2014 13:49 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?

Špatně jsi mě pochopil - já nenapsal, že dmcrypt je podřadný, ale že ecryptfs není podřadný (komu čemu).

Cryptsetup + LUKS se dá také nastavit "pohodlnější"
... takže se to dá nastavit tak, že zapnu pc, to nabootuje bez interakce, zobrazí se mi přihlašovací obrazovka, já se přihlásím a ono se to napozadí rozšifruje mým uživatelským heslem?

Cokoli jiného už odmítám, mám na nb zašifrovaný celý systém a prostě mě nebaví to zapnout, čekat až se objeví výzva cryptsetup, zadat frázi a znovu čekat než to nabootuje, abych se mohl zadat další heslo pro přihlášení a zlepšováky s připojenou flashkou prostě nejsou tak pohodlné...a ano bezpečnost může být pohodlná, proč zadávat dvě fráze, když k tomu stejnému účelu (zašifrovat domovský adresář) stačí jedna?

11.8.2014 13:55 Mac_CZ | skóre: 3
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Tohle by měl řešit pam_mount.
11.8.2014 14:26 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Abych ale měl zachované schéma [ fyzický disk | zfs | něco | rozšifrovaný domovský adresář ] tak bych musel pro dmcrypt pravděpodobně vytvořit nějaký loopback soubor, které by byl uložen na zfs. Nechci a není vhodné, aby zfs bylo až nad tím, protože to pak nepodchytí hw chyby disku, ale akorát se rozbije šifrovací balast pod tím a přijdu o všechna data.

Prostě dokud zfs nebude mít vlastní šifrovací mechanismus, což si myslím je na cestě, tak prostě ecryptfs je nejlepší varianta.
Jendа avatar 12.8.2014 00:07 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Nechci a není vhodné, aby zfs bylo až nad tím, protože to pak nepodchytí hw chyby disku, ale akorát se rozbije šifrovací balast pod tím a přijdu o všechna data.
dm-crypt v XTS módu při chybě disku zničí jenom jeden blok, což je u AES 16 bajtů.
12.8.2014 15:51 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Což pořád zamrzí ne? Pár takových děr a sbírka rodinných foto je znehodnocena... Se ZFS se současnou konfigurací nepřijdu o nic, pokud oba disky nebudou děravé jak řešeto.
Jendа avatar 12.8.2014 21:37 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Myslíš, že se ten ZFSkový checksum vyrovná s otočením jednoho bitu, ale už ne s otočením 128 bitů, tj. jde ti jen o silent data corruption? Jinak HW failure disků se mi většinou projevoval neschopností přečíst celý blok, takže tam je nějakých 16 bajtů nevýznamných.
13.8.2014 08:40 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Ano, jde mi o silent data corruption. Když po letech člověk zjistí, že v jeho sbírce mp3 jsou některé skladby "vylepšené" šuměním, prskáním a jinými "remixy", tak už svá data nesvěří žádnému zastaralému fs, které neumí něco tak zásadního, jako zajištění konzistence dat.
13.8.2014 09:25 dustin | skóre: 60 | blog: dustin
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Jak se takový šum při změně pár bitů v MP3 do dekódovaného WAVu dostane? Máš nějaký příklad takového souboru? Praskání si dovedu představit, ale šum?
13.8.2014 10:06 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
To spíš nedostatek slovní zásoby na mé straně, nebo lenost to lépe popsat - ten soubor jsem už přepsal funkční verzí - konec skladby se přerušil hlasitým bzučením (to jsem nazval šum) a ten trval až do konce.
Jendа avatar 16.8.2014 10:19 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Ano, jde mi o silent data corruption.
No ale já jsem se ptal, jestli algoritmus pro detekci/opravu chyb u ZFS pracuje po bitech a ne po nějakých větších blocích.
16.8.2014 12:16 JanM | skóre: 28
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
po blocích.

každý blok má kdesi checksum, ta checksum je v jiném bloku, který má vlastní checksum a tak stále až na úplně ten nejvyšší kontrolní součet ve "stromě". Takže je kontrola nejen konzistence bloku vůči kontrolnímu součtu, ale i kontrolního součtu samotného.
16.8.2014 14:32 marbu | skóre: 28 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Pokud to chapu dobre, tak zfs i btrfs pocitaji pri zapisu checksum ke kazdemu bloku, ktery se pak pri cteni overuje. Takze je jedno, kolik bitu z toho bloku se otoci, fs to pozna (ignorujme ted moznost kolize checksumu) a bud hned ohlasi chybu a nebo muze zkusit platna data precist z dalsiho disku (podle typu pouziteho raid modu).

Takze mi prave neni uplne na prvni pohled jasne, co by se mohlo rozbit tim, ze zfs nebo btrfs dam na dm-crypt sifrovanou partition.
I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
Jendа avatar 17.8.2014 01:52 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
On je to jenom error detection? To neumí error correction?
18.8.2014 13:50 marbu | skóre: 28 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Ne, jsou to jenom ciste kontrolni soucty. Error correction se nekona (ono ony by ty opravne kody pak musely byt docela velke).
I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
pavlix avatar 18.8.2014 14:12 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Pokud kombinuješ kontrolní součty s duplikací dat mezi disky kvůli riziku výpadku disku, tak bys měl dostat error correction jako bonus. A z druhé strany k čemu je ti error correction, kdyby ti mohl odejít celý disk s jedinou kopií dat.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
18.8.2014 15:37 marbu | skóre: 28 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Jo, souhlasim - kontrolni soucty by tu nedavaly smysl. Jen jsem odpovidal na dotaz, aby bylo zrejme, ze tu jde pouze o checksum.

Ono muze byt matouci, ze jako checksum btrfs pouziva crc32c.
I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
18.8.2014 17:22 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Teoreticky by ECC mělo být k tomu, že to uživatel ví dříve, že je něco špatně i u jednoho disku a o data nepřijde.

Podle mne by to chtělo nějaké spolehlivější/rozsáhlejší informace o silent data corruption, které se budou týkat současných disků. Všechny současné záznamové systémy jak HDD tak SSD, což znamená, že není možné ze zařízení získat chybový blok s chybou v jednom či dvou bitech. Chyby v malém množství bitů jsou zachyceny ECC algoritmy v zařízení a opraveny. A pokud chyby jsou větší než ECC algoritmus dokáže korigovat, tak je zjištěn celý chybný blok. Pravděpodobně triger na relokaci bloků je právě založen na překročení nějaké hranice, kterou ECC je schopna vyřešit, ale je již natolik vysoká, že je blízko meze, po jejímž překročení ECC již vyřešit není možné. Jeden z hlavních důvodů pro zvýšení velikosti bloku z 512b na 4k bylo snížení velikosti redundantní informace pro CRC. Nemožnost málobitových chyb v blocích je za předpokladu, že vlastní řídící elektronika HDD/SSD je v pořádku. Pokud není elektronika v pořádku, tak je pak otázka s jakou pravděpodobností nastávají její poškození takové, že generuje bitové chyby a jinak se tváří OK.

18.8.2014 17:25 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Insert: Všechny současné záznamové systémy jak HDD tak SSD mají ECC korekce,...
11.8.2014 19:19 VK
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
OK, s tou podřadností jsem to možná nepochopil.

Tím pohodlnějším způsobem jsem myslel uložení dešifrovacího souboru na flashku, ale jak už bylo zmíněno výše, asi by šlo použít pam a dešifrovat pomocí přihlašovacího hesla (nezkoušel jsem).

Když jsem si asi před rokem vybíral způsob šifrování, přišel mi ecryptfs o dost pomalejší. A jak je to při změně hesla? Je to tak snadné a rychlé jako s Luksem, nebo se vše musí rozšifrovat a znovu zašifrovat?
Jendа avatar 12.8.2014 00:09 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
asi by šlo použít pam a dešifrovat pomocí přihlašovacího hesla (nezkoušel jsem)
Samozřejmě. Koneckonců existuje pam_exec, který umožňuje spustit vlastní skript - můžeš si tak zařídit odemykání jenda-cryptu nebo třeba dveří.
A jak je to při změně hesla? Je to tak snadné a rychlé jako s Luksem, nebo se vše musí rozšifrovat a znovu zašifrovat?
encfs používá stejný mechanismus jako LUKS, doufám, že ecryptfs taky.
12.8.2014 15:57 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Jak jsem psal, fígl s flashkou znám a rozhodně za pohodlný nepovažuji. Mně na dm-cryptu prostě vadí to, že funguje pod fs a já chci mít naspodu zfs - co se týče rychlosti - vůbec to nepozoruji, nevidím žádný rozdíl mezi startem z nešifrovaného adresáře a z ecryptfs. Vůbec jsem ještě na ecryptfs čekat nemusel - je tedy pravda, že filmy mám mimo domovský adresář, tam by se to možná projevilo.
11.8.2014 20:07 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?

Bo neznám ecryptfs (používám jen LUKS a encfs), tak přesně nechápu jak to myslíš, když to nastartuje bez interakce, tak to není zašifrovaný celý disk (nebo je, ale heslo si někde vezme) bo to ten disk už čte ne?

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
11.8.2014 23:40 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Řekl bych, že šifrovaná mají být uživatelská data, tedy /home
Quando omni flunkus moritati
12.8.2014 08:18 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Jestli jen pro jednoho uživatele tak stačí jen jedno heslo a přihlásit automaticky a nemusí se nic řešit - je jedno heslo.
To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
Jendа avatar 12.8.2014 10:35 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Mně se nikdy display manager nepovedl nastavit tak, aby se sice automaticky přihlásil, ale když dojde k pádu X serveru, tak chtěl heslo (protože útočník s fyzickým přístupem mi shodí zamčená Xka).
12.8.2014 13:53 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?

Nezkoušel jsem nevím, mně dvě hesla nevadí… a asi by mi tento problém nevadil, bo útočník s fyzickým přístupem, je stejně moc silný útočník…, to bych asi zkusil pam_mount

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
Jendа avatar 12.8.2014 21:39 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
a asi by mi tento problém nevadil, bo útočník s fyzickým přístupem, je stejně moc silný útočník
Mně se kolemjdoucí furt snaží nainstalovat backdoory, ale na coldboot si netroufnou.
12.8.2014 17:17 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Hádám dobře, že to je myšleno jako ochrana proti útočníkovi, který shodil Xka, ale nechce si odnést disk nebo celý komp...?
Quando omni flunkus moritati
Jendа avatar 12.8.2014 21:40 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Disk ať si klidně odnese, k ničemu mu nebude.

Je to zamýšleno jako ochrana proti útočníkovi, který nemá koule nebo hardware na coldboot útok.
13.8.2014 14:46 Houvado
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
A proc si nechavas moznost schodit Xka?
Jendа avatar 13.8.2014 17:57 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Protože ještě nikdo nevymyslel implementaci X bez bugů.
14.8.2014 07:20 Houvado
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Hm. Znamena to tedy ze *getty nebo systemd nemaji bugy? Nebo ty umis shodit libovolna Xka?
Jendа avatar 14.8.2014 07:34 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Znamena to tedy ze *getty nebo systemd nemaji bugy?
Neznamená a nechápu, jak jsi tuhle implikaci vyvodil.
Nebo ty umis shodit libovolna Xka?
Libovolná ne.
12.8.2014 16:02 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Tak si to zkusit ještě jednou rychle přečíst - použití ecryptfs z uživatelského hlediska je úplně stejné, jako neřešit šifrování vůbec - zapne pc, nabootuje, objeví se přihlašovací obrazovka, přihlásí se a pam se postará o to, že se automaticky rozšifruje domovský adresář - ecryptfs funguje na úrovni fs, nikoli pod ním. Změnu hesla jsem zatím neřešil, takže to nevím, ale myslím, že to funguje jako luks, může být více frází apod.
12.8.2014 16:43 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Jenže i opětovně mi tam falíruje:
Cokoli jiného už odmítám, mám na nb zašifrovaný celý systém a prostě mě nebaví to zapnout…
To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
12.8.2014 17:02 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Protože jsem mluvil o pc a zmínil nb - jinak řečeno mluvil jsem o dvou strojích, jedno používající cryptsetup a druhý ecryptfs
14.8.2014 20:30 ohlol
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
mas mit gnome3, ktery te prihlasi bez zadani uzivatelskyho hesla pokud system splnuje hned nekolik podminek + nastaveni. zadas pak akorat heslo na desifrovani vseho(mimo boot initramfs to je jedina dira do systemu, kterou by melo hlidat TPM)
Jendа avatar 12.8.2014 00:03 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Velice by mě zajímali jejich věcné důvody: je v ecryptfs nějaká zranitelnost?
Leakuje názvy souborů, časy přístupu, velikosti a další metadata.

Nemůžeš použít encfs?
12.8.2014 15:49 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Aha, tak to jsem nevěděl, je někde nějaký chytrý dokument k tomu - např. proč nepoužívat ecryptfs?

Já našel akorát tento komentář, takže zatím zůstanu u ecryptfs: Nevertheless, I like the idea of using eCryptfs as it is supposedly faster and seemingly enjoys more widespread support. Additionally, if I've understood it correctly, the metadata is stored in the files themselves instead of EncFS's per-directory configuration file (.encfs6.xml). The files can therefore be decrypted as long as they exist, whereas EncFS files depend on an extra file that could be lost (unlikely with proper backups, but still possible).
Jendа avatar 12.8.2014 21:43 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Aha, tak to jsem nevěděl, je někde nějaký chytrý dokument k tomu - např. proč nepoužívat ecryptfs?
Není, všechny důvody jsem popsal. Pokud tě zajímá attack vector, tak jsem ho popsal tady:
Sniffoval jsem u jednoho vládního objektu. Našli mi ten notebook, ale nepovedlo se jim dokázat, že je to fakt sniffovalo. Pak ale porovnali záznamy ze svého systému (logují si poslané SMS, komunikaci vysílačkama a čas otevření dveří RFIDama), respektive jejich timestampy, se souborama, které našli na disku, a ještě viděli, že dlouhá hlasová komunikace má megabajt, zatímco v čase, kdy procházely jen SMS, je tam spousta krátkých souborů. No a byl průser.
Já našel akorát tento komentář, takže zatím zůstanu u ecryptfs
To, že to leakuje metadata, si můžeš ověřit prostě tím, že na ten šifrovaný adresář pustíš ls -l.
13.8.2014 08:48 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Trošku jsem zmaten, z toho vlákna tam píšeš to stejné o encfs, co jsi napsal zde o ecryptfs..a nebo který ten jenda jsi?
Jendа avatar 13.8.2014 10:27 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
ecryptfs je na tom ještě hůř (leakuje i názvy souborů), encfs leakuje „jenom“ adresářovou strukturu, velikosti a datum změny. EncFS jsem doporučoval proto, že není potřeba modul do kernelu ani support od RH, ale jede to přes FUSE.
pavlix avatar 13.8.2014 10:59 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Tak v tom případě je to jasné. To jsem v diskuzi nějak nepostřehl, že tím hlavním zdůvodněním je potřeba podpory v kernelu.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
13.8.2014 14:21 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Vždyť jsem psal hned v první větě: dodávaný kernel nemá zkompilovanou podporu ecryptfs

Ta podpora byla přidána až na bugreport jiného uživatele centosu do balíčku kernel-plus v centosplus repozitáři, takže doteď to pravděpodobně v RHEL vůbec není bez vlastní rekompilace jádra.
pavlix avatar 13.8.2014 14:49 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
A jo, máš pravdu, ten kernel tam napsaný je. Ale je fakt, že zrovna na práci s jednotlivými soubory se mi kernelový modul taky moc nelíbí, i když jestli platí ten audit, tak to zas mluví spíše ve prospěch ecryptfs. No zatím to vypadá, že RH ve svým oficiálním jádře ecryptfs nepotřebuje, takže ano, je potřeba vzít buď centosí nebo vlastní build.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
13.8.2014 14:37 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
S tím dokážu žít, jak jsem psal, jde mi hlavně o obsah souborů, adresářovou strukturu ať si cizinec třeba vytiskne. A pokud se encfs mountuje přes fuse tak to asi bude i znatelně pomalejší. RHEL instalovat/kupovat nehodlám, v centosu se to dá relativně nepracně rozchodit. Hlavně mě zajímali ty důvody, které redhat mohl mít, což jsi mi asi poskytl, i když oficiální zdůvodnění se asi nedozvím.

Do budoucna snad zfs bude mít zabudované šifrování a s pomocí pam se vyřeší rozšifrování s přihlášením.

A proč se tak vyhýbám dm-crypt pod zfs?: Rather than using dmcrypt and LUKS, which would bypass a lot of the features ZFS brings to the table
13.8.2014 09:03 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Jinak ta leaknutá metadata mi nevadí, jde mi jen o to, aby si cizinec nesedl k mému pc, připojil sysrescd, nebo jinou živou distribuci a nemohl vesele vidět obsah souborů, pracovní dokumenty, maily atd. Na tom stroji nebude operovat příslušník anonymous, takže policejní návštěvy se neobávám.
13.8.2014 14:58 Houvado
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
To zni jako povedena urban tale. Nabizi se totiz spousta zajimavych otazek. Napriklad jak mohli najit pasivni sniffer. Nebo jak dokazali, ze notebook je tvuj.
Heron avatar 13.8.2014 15:04 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?

Poučení z té urban tale je ale jasné. Metadata matters.

Jendа avatar 13.8.2014 18:03 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
To zni jako povedena urban tale.
Ano, to se samozřejmě nikdy nestalo. Šifruju totiž celý blockdevice.
Napriklad jak mohli najit pasivni sniffer. Nebo jak dokazali, ze notebook je tvuj.
Ostraha objektu mě viděla, že chodím každý večer do parku naproti objektu do keře něco dělat a pak se tam šli podívat taky. Konkrétně měnit prázdnou baterku za plnou a plnou paměťovou kartu za prázdnou.

OT: Záznamy získané z Bravova [vrahova] iPhonu dokazují, že jeho majitel osudný den mezi časy 23:31 a půlnocí devětkrát použil funkci baterka.
14.8.2014 20:41 ohlol
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
> Siri na to odpověděla otázkou „Jaké místo hledáte?“ a poté nabídla čtyři možnosti – bažinu, vodní nádrž, slévárnu kovů a skládku.

uz nekdo obvinil autory Siri ze spolupachatelstvi?
13.8.2014 10:24 marbu | skóre: 28 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Pokud te to zajima, muzes si projit vysledky kratkeho auditu: EncFS a eCryptfs.
I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
13.8.2014 14:47 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Tak toto byl asi nejužitečnější komentář - děkuji. Ecryptfs má sice nedostatky, ale v porovnání s nabízeným encfs už nemám pochybnosti o správné volbě.
13.8.2014 10:32 marbu | skóre: 28 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Jinak mel bych malou technickou poznamku, tady pisou:
eCryptfs is a stacked, cryptographic file system. It is transparent to the underlying file system and provides per-file granularity. eCryptfs is provided as a Technology Preview in Red Hat Enterprise Linux 6.
Kdyz je neco dodavane jako "technology preview", tak to znamena, ze si to muzes vyskouset a melo by to fungovat, ale neni obecne podporovane nebo doporucovane do produkce.
I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
13.8.2014 15:55 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Pro všechny fandy dmcryptu přikládám zajímavé čtení: Definitivně jsem skončil s šifrováním na úrovni blokového zařízení...

Nejsem znalec kryptografie, ale článek mě přesvědčil, že šifrování pod fs je prostě špatné.
Jendа avatar 13.8.2014 18:06 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Bohužel na Linuxu neznám alternativu. Teda vlastně ne jen na Linuxu.

Článek rozebírá útoky, kdy útočník bude ciphertext na blockdevice měnit a bude koukat na výsledky. To v mém případě nehrozí. V mém případě si útočník může blockdevice přečíst právě jednou a pak o něj nejspíš fyzicky přijdu nebo ho minimálně celý přepíšu a začnu znova.
Heron avatar 13.8.2014 18:40 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Nejsem znalec kryptografie, ale článek mě přesvědčil, že šifrování pod fs je prostě špatné.

Fajn a jakou jinou alternativu tedy budeš používat? Ani v článku není naznačená.

Resp. on doporučuje šifrovat zprávu (dřív, než se uloží do souboru), šifrovat data ještě před uložením do db apod. Tedy vesměs aplikace proudové šifry (pokud jsem to nesprávně pochopil, tak mě opravte).

Ale takhle se s daty nepracuje (resp. někdy vyjímečně ano a to pouze do určité velikosti). Se soubory se pracuje tak, že se mapují do paměti, kde se s nimi pracuje jako s jakýmkoliv jiným polem. Změním jeden byte na offsetu 64 GiB z celkem 200 GiB souboru (pokud by se vám tyto velikosti zdáli příliš malé tak si je vynásobte libovolnou bulharskou konstantou, na podstatě problému to nic nemění), systém souborů změní jeden příslušný blok a vyšle ATA příkaz do disku. Job done. Není vůbec možné při každé změně přešifrovávat celý soubor. Proto jsou nutné šifry na úrovni bloků diskového zařízení.

Na straně druhé jsou tady implementace nad úrovní systémů souborů, které zase pouští ven tuny metadat. Metadata jsou mnohdy důležitější, než data samotná.

A implementace ve FS samotném také nutně bude používat blokové šifry, protože se tak se soubory v operačním systému prostě zachází. (Každý soubor je současně i blokovým zařízením.)

14.8.2014 09:46 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Napsat, že metadata jsou důležitější než data je snad jasná blbost. Že se dá z metadat hodně odvodit nepopírám, ale jaksi pro někoho, kdo jen nechce, aby mu cizinec ukradl NejlepšíLiterárníDíloSvěta.txt, mu ecryptfs poskytuje vše, co potřebuje. Šifrování nad fs je pro mě v současné době to nepoužitelnější - neomezuje mě to v práci, obsah mých souborů si nikdo nepřečte a jestliže zloděj uvidí SupertajnéMaily.msf, tak ať si to užije...
Heron avatar 14.8.2014 10:40 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Napsat, že metadata jsou důležitější než data je snad jasná blbost.

... mnohdy ...

pavlix avatar 13.8.2014 19:42 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
If you’re an end-user looking for crypto advice: use Truecrypt, use Filevault, use dm-crypt. Also, use PGP, and Tarsnap. Read on only if you’re interested in crypto nerdery.
Ehm...
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
14.8.2014 09:40 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Nevím, co je na tom ehm, prostě náhodného kolemjdoucího slušně odbyl a ostatní si mohli přečíst důvody, proč konkrétně dm-crypt apod. nepoužívat.
14.8.2014 11:15 marbu | skóre: 28 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Tohle je ponekud odvazne tvrzeni. Primo tam stoji, ze pokud nerozumite kryptografii, nema cenu to dal cist :)

Btw ten eCryptfs take nesifruje soubor jako celek, ale po blocich - viz ecryptfs paper:
eCryptfs breaks the data into extents. These extents, by default, span the page size (as specified for each kernel build). Data is dealt with on a per-extent basis; any data read from the mid- dle of an extent causes that entire extent to be decrypted,
I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
pavlix avatar 14.8.2014 12:51 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Tohle je ponekud odvazne tvrzeni. Primo tam stoji, ze pokud nerozumite kryptografii, nema cenu to dal cist :)
+1
Btw ten eCryptfs take nesifruje soubor jako celek, ale po blocich - viz ecryptfs paper:
To by ale znamenalo, že ten stejný článek od ecryptfs odrazuje ještě více než od šifrování disků/oddílů.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
14.8.2014 13:10 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
To je možné, ale toto vlákno se zvrhlo ke konfrontaci, co je lepší. A já tím jen ukázal, že dm-crypt není ultimátní řešení pro šifrování, ale jak sám autor napsal, je to až ta nejzažší možnost, protože je po všech stránkách (a jim podobné) nedokonalé. A k alternativě dm-crypt POD zfs a ecryptfs NAD zfs u mě vítězí ta druhá alternativa, o což šlo. Ve světle pro a proti je moje řešení pro mě a kdejakého obyčejného uživatele vhodnější, pokud uživateli sejde na bezpečí (uložení, konzistence) dat ručeným zfs a zároveň nechce, aby mu někdo viděl na choulostivý OBSAH souborů. Opravdu metadata v mém domovském adresáři pro mě mají hodnotu blízkou nule...a stejně tak by to bylo případné návštěvě policie - páč žádné ataky na vládní instituce neprovádím. A ti, kteří musejí ukrývat i metadata, jsou pravděpodobně jsou dost chytří na to, aby spoléhali jen na jednu technologii, protože samotná bude nedostatečná každá.
pavlix avatar 14.8.2014 13:20 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
To je možné, ale toto vlákno se zvrhlo ke konfrontaci, co je lepší.
Nikoliv.
Nejsem znalec kryptografie, ale článek mě přesvědčil, že šifrování pod fs je prostě špatné.
Diskuze je o tom, zda lze vůbec rozumně z článku dojít k výše uvedenému a to především právě bez znalosti kryptografie.
jak sám autor napsal, je to až ta nejzažší možnost
To je přinejmenším trochu vytržené z kontextu. Z pohledu kryptografie to sice autor hodnotí jako až tu nejzazší možnost, ale z pohledu uživatele, který potřebuje přistupovat k blokům souborů tomu tak ani podle článku není.
A k alternativě dm-crypt POD zfs a ecryptfs NAD zfs u mě vítězí ta druhá alternativa, o což šlo.
Pokud správně článek chápu a pokud věřím informaci od Martina, tak k takovému závěru článek ani v nejmenším nenabádá.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
14.8.2014 13:54 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Nesouhlasím s jedinou věcí, co jsi napsal:
To je možné, ale toto vlákno se zvrhlo ke konfrontaci, co je lepší. Nikoliv.
Zaprvé jsem měl na mysli celé vlákno poradny - důvody proč rh vyhodil ecryptfs. A pokud jsi to tu alespoň trochu četl, tak tu lidé psali, abych zvážil encfs místo ecryptfs, který z toho porovnání vyšel ještě hůř, nebo dm-crypt, který mi nevyhovuje použitím a dle autora článku ani filozofií - tak jak je současně implementováno blokové šifrování je nevhodné.
Diskuze je o tom, zda lze vůbec rozumně z článku dojít k výše uvedenému a to především právě bez znalosti kryptografie. jak sám autor napsal, je to až ta nejzažší možnost To je přinejmenším trochu vytržené z kontextu. Z pohledu kryptografie to sice autor hodnotí jako až tu nejzazší možnost, ale z pohledu uživatele, který potřebuje přistupovat k blokům souborů tomu tak ani podle článku není.
On napsal, že je to nejzažší možnost, protože to je nejzažší možnost. Jenom ti, co MUSÍ z nějakého důvodu použít šifrování na úrovni bloku/sektoru, tak ať jej použíjí. Všichni ostatní by měli použít alternativní technologii pro šifrování. To je tam jasně napsané, přečti si to znovu (ne jen tento snippet, ale raději celý článek..): But that’s the big problem: sector-level encryption sucks. It’s messy, provides fewer security guarantees than conventional message encryption, and makes tradeoffs tailored to the challenges of encrypting disk sectors. Sector-level crypto is last-resort crypto. That problem is significant enough to be dispositive. If you don’t have the sector-level problem, don’t use sector-level crypto.

A k alternativě dm-crypt POD zfs a ecryptfs NAD zfs u mě vítězí ta druhá alternativa, o což šlo. Pokud správně článek chápu a pokud věřím informaci od Martina, tak k takovému závěru článek ani v nejmenším nenabádá.
O tom vůbec ten článek nebyl, byl o xts módu a blokovém šifrování obecně...o co šlo bylo v kontextu tohoto celého vlákna, které odbočilo z úvodního dotazu o rh a ecryptfs na to, co používat za technologie. A s ohledem na to, že neustoupím s požadavkem mít zfs naspodu. A i když jsem článek četl s otevřenou myslí, že dm-crypt je jinak dobrý a kdy by mi nešlo o zfs a pohodlí, tak bych mu dal v šifrování přednost, tak po jeho přečtení jeho proti převažují.

Pravděpodobně jsi to četl stejně zkratkovitě jako tuhle poradnu, když jsi napsal, že jsi netušil, že ecryptfs musí mít podporu v kernelu.
pavlix avatar 14.8.2014 14:14 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Zaprvé jsem měl na mysli celé vlákno poradny - důvody proč rh vyhodil ecryptfs.
Dejme tomu, ale pokud byl dotaz o důvodech RH, tak byl prostě položen na špatném místě, protože pochybuju, že tu běžně narazíš na člověka, který má přečtené všechny tiskové zprávy a sleduje všechna oficiální oznámení RH, to už je větší šance že to najdeš googlem než že tady dostaneš odpověď.

Ten dotaz byl od začátku odsouzený k nezodpovězení s vyvoláním diskuze o možných řešeních jako vedlejším efektem. Proto si netroufám to nazývat zvrhnutím, ale spíše jediným užitečným důsledkem dotazu.
Pravděpodobně jsi to četl stejně zkratkovitě jako tuhle poradnu, když jsi napsal, že jsi netušil, že ecryptfs musí mít podporu v kernelu.
Pardon, že nevěnuju čtení příspěvků na sociálních sítích 100% své pozornosti.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
pavlix avatar 14.8.2014 14:26 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Když tak nad tím přemýšlím, tak je možná celý dotaz (na důvody RH) offtopic, vzhledem k tomu, že je to linuxová poradna pro řešení problémů s linuxem, nikoliv diskuzní fórum o politice komerčních firem.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
14.8.2014 14:37 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Jak čtu všechny tvoje příspěvky, tak mi přijdeš, že jsi typ člověka, co má názor na všechno a hlavně o něm musí všude dát vědět. Nic proti, ale když na téma nemám co říct, tak nereaguji. Všechny tvoje odpovědi měli nulovou sémantickou hodnotu. Na dotaz: zná někdo důvody proč rh ... odpovíš zabal si to do epel. Prvně pochybuji, že v epel mohou být balíčky kernelu, možná ano nevím. Ale to bude tím, že jsi ani nečetl první větu, takže jsi nevěděl, že se to kernelu týká...

Pak napíšeš +1 k vyjádření, že nic nevím o kryptografii, vzhledem k tvým příspěvkům je jasné, že ty taky ne - proč se vyjadřuješ?

A k tomuto:
Když tak nad tím přemýšlím, tak je možná celý dotaz (na důvody RH) offtopic, vzhledem k tomu, že je to linuxová poradna pro řešení problémů s linuxem, nikoliv diskuzní fórum o politice komerčních firem.
Tohle je abclinuxu, tak proč jsou ve zprávičkách věci, které se linuxu vůbec nedotýkají, či okrajově a to se dá říct i o mém dotazu, který je o linuxové distribuci...

Ale hlavně, že jsi musel reagovat.

Pozitivum této poradny bylo to, že jsi registrovaný uživatel a já tak teď vím, že když něco napíše pavlix, tak to nemusím číst, natož reagovat.
pavlix avatar 14.8.2014 14:55 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Na dotaz: zná někdo důvody proč rh ... odpovíš zabal si to do epel.
Udržuju několik balíků pro Gentoo, Fedoru a EPEL, některé z nich čistě pro svou vlastní potřebu a veřejně je držím jen kdyby se náhodou někomu hodily. Vytvoření vlastního balíku a začlěnění do veřejné infrastruktury distribuce, kde ho chci používat považuju za standardní postup pro komunitní distribuce, jakou CentOS je.

Dokonce se nakonec ukázalo, že CentOS již toto řeší prostřednictvím doplňkového repozitáře, tudíž žádný problém neexistuje. Pokud jde o stanovisko RH, nevšiml jsem si, že by někdo v diskuzi dodal odkaz.
Pak napíšeš +1 k vyjádření, že nic nevím o kryptografii
Nikoliv. To vyjádření, které jsem podpořil, o tobě vůbec nebylo. Pouze jsem vyjádřil souhlas s tím, že člověk bez dostatečné znalosti kryptografie (tedy ty i já) by přinejmenším neměl vyvozovat z článku závěry.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
Heron avatar 14.8.2014 14:28 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Dejme tomu, ale pokud byl dotaz o důvodech RH, tak byl prostě položen na špatném místě, protože pochybuju, že tu běžně narazíš na člověka, který má přečtené všechny tiskové zprávy a sleduje všechna oficiální oznámení RH, to už je větší šance že to najdeš googlem než že tady dostaneš odpověď.

Ehm? Asi tu nenarazí na člověka, co má přečtené všechny RH tiskovky, ale za to tady narazí na hned několik lidí, kteří v RH přímo pracují.

michich avatar 14.8.2014 15:04 michich | skóre: 50 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Ti by ovšem takové informace neměli sdělovat.
pavlix avatar 14.8.2014 15:08 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Ehm? Asi tu nenarazí na člověka, co má přečtené všechny RH tiskovky, ale za to tady narazí na hned několik lidí, kteří v RH přímo pracují.
Tedy tu narazí na lidi, kteří (a) taky nemají ponětí, proč se management rozhodl, jak se rozhodl, (b) myslí si, že vědí, ale jejich informace nejsou lepší než tip nebo (c) vědí, ale neměli by se vyjadřovat, pokud to nebylo oficiálně oznámeno.

Nebavíme se tu o vývojářském rozhodnutí v upstreamovém projektu, které by mělo být vždy nějak zdůvodněno, pokud si člověk nechce hrát na uzavřený vývoj, ale o rozhodnutí nezapnout (či vypnout, podle úhlu pohledu) vlastnost v komerční distribuci.

Pokud je nějaká cesta pro nezákazníka, jak zjistit pohled RH, tak to nejspíše bude najít již existující vyjádření nebo zadat podnět do bugzilly a počkat, co se z toho vyvrbí.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
Jendа avatar 14.8.2014 19:05 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Všichni ostatní by měli použít alternativní technologii pro šifrování.
Ano, ale ecryptfs není alternativní technologie. Funguje stejně, jako kdybys měl šifrování blockdevice a pro každý soubor měl „vlastní blockdevice“.
pavlix avatar 14.8.2014 19:14 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
+1
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
14.8.2014 20:42 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Ano, že to šifruje jakési extenty, analogii sektorů, tu už někdo napsal. A alternativní není protože sdílejí 100% kódů, používají se zcela stejně a liší se jen názvem..? Už se tu jen slovíčkaří. A zbytečně přitákává..
pavlix avatar 14.8.2014 20:47 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Hlavně tu někdo zbytečně šlape v hovnech. Někdy je mnohem jednodušší alespoň sám sobě přiznat, že jsem už na začátku vlákna napsal hovadinu a nerozmazávat to a nekopat kolem sebe.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
15.8.2014 18:00 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Když už tady hořekujete nad tím jak vám full disk encryption nevyhovuje a jak vám nevyhovuje, že ecryptfs vyhodili z RH a přitom používáte ZFS, tak proč nepoužíváte nativní ZFS crypto
16.8.2014 00:36 petr
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
Protože pokud se nepletu, tak to bych musel koupit oraclí solaris - zfsonlinux je otevřená implementace verze zfs před akvizicí a než to oracle uzavřel, takže nemá nativní podporu šifrování.
16.8.2014 10:06 marbu | skóre: 28 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?
A je mozne zfs pouzit nad dm-crypt/luks oddilem?
I think warning here is a bug. The biggest cloud service provider. There is no point in being so cool in a cold world.
Jendа avatar 16.8.2014 10:18 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Neví někdo důvody RedHatu, že zahodil podporu ecryptfs?

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.