abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Coppwr 1.6.0
    včera 13:11 | Nová verze

    Coppwr, tj. GUI nástroj pro nízkoúrovňové ovládání PipeWire, byl vydán v nové verzi 1.6.0. Zdrojové kódy jsou k dispozici na GitHubu. Instalovat lze také z Flathubu.

    Ladislav Hagara | Komentářů: 0
    Visual Studio Code a VSCodium 1.89
    2.5. 22:33 | Nová verze

    Byla vydána dubnová aktualizace aneb nová verze 1.89 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Vypíchnout lze, že v terminálu lze nově povolit vkládání kopírovaného textu stisknutím středního tlačítka myši. Ve verzi 1.89 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 14
    Proton 9.0-1
    2.5. 21:22 | Nová verze

    Proton, tj. fork Wine integrovaný v Steam Play a umožňující v Linuxu přímo ze Steamu hrát hry určené pouze pro Windows, byl vydán ve verzi 9.0-1 (𝕏). Přehled novinek se seznamem nově podporovaných her na GitHubu. Aktuální přehled her pro Windows běžících díky Protonu také na Linuxu na stránkách ProtonDB.

    Ladislav Hagara | Komentářů: 2
    Rust 1.78.0
    2.5. 19:33 | Nová verze

    Byla vydána verze 1.78.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání na GitHubu. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    Služba Dropbox Sign byla hacknuta
    2.5. 11:22 | Bezpečnostní upozornění

    Služba Dropbox Sign (původně HelloSign) pro elektronické podepisování smluv byla hacknuta.

    Ladislav Hagara | Komentářů: 2
    GNU nano 8.0 s "moderními" klávesovými zkratkami
    2.5. 11:00 | Nová verze

    Byla vydána nová major verze 8.0 textového editoru GNU nano (Wikipedie). Podrobný přehled novinek a oprav v oznámení v diskusním listu info-nano nebo v souboru ChangeLog na Savannah. Volbou --modernbindings (-/) lze povolit "moderní" klávesové zkratky: ^C kopírování, ^V vložení, ^Z vrácení zpět, … Tato volba je aktivována také pokud binárka s nano nebo link na ni začíná písmenem "e".

    Ladislav Hagara | Komentářů: 3
    Před 60 lety byl představen programovací jazyk BASIC
    1.5. 23:22 | IT novinky

    Před 60 lety, 1. května 1964, byl představen programovací jazyk BASIC (Beginners' All-purpose Symbolic Instruction Code).

    Ladislav Hagara | Komentářů: 21
    LibreELEC (Omega) 12.0
    1.5. 22:22 | Nová verze

    Byla vydána nová verze 12.0 minimalistické linuxové distribuce (JeOS, Just enough Operating System) pro Kodi (dříve XBMC) a multimediálního centra LibreELEC (Libre Embedded Linux Entertainment Center). Jedná se o fork linuxové distribuce OpenELEC (Open Embedded Linux Entertainment Center). LibreELEC 12.0 přichází s Kodi 21.0 "Omega".

    Ladislav Hagara | Komentářů: 0
    Cascadia Code 2404.23
    1.5. 12:55 | Nová verze

    Microsoft vydal novou velkou aktualizaci 2404.23 v září 2019 pod licencí SIL Open Font License (OFL) zveřejněné rodiny písma Cascadia Code pro zobrazování textu v emulátorech terminálu a vývojových prostředích.

    Ladislav Hagara | Komentářů: 0
    OpenTofu 1.7.0
    1.5. 05:33 | Nová verze

    OpenTofu, tj. svobodný a otevřený fork Terraformu vzniknuvší jako reakce na přelicencování Terraformu z MPL na BSL (Business Source License) společností HashiCorp, bylo vydáno ve verzi 1.7.0. Přehled novinek v aktualizované dokumentaci. Vypíchnout lze State encryption.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Podle hypotézy Mrtvý Internet mj. tvoří většinu online interakcí boti.
     (14%)
     (25%)
     (39%)
     (21%)
    Celkem 28 hlasů
     Komentářů: 7, poslední včera 22:24
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / boot do šifrovaného rootu na btrfs raid 1
    Štítky: boot, Btrfs, disk, EFI, Grub, GRUB2, heslo, jádro, nastavení, proces, RAID, root

    Dotaz: boot do šifrovaného rootu na btrfs raid 1

    26.1.2023 20:32 lertimir | skóre: 64 | blog: Par_slov
    boot do šifrovaného rootu na btrfs raid 1
    Přečteno: 274×
    Instaluji si novou pracovní stanici. Root je na ni umístěn na BTRFS RAID 1, který sedí na dvou oddílech které jsou šifrované oddíly (root1 a root2) fyzicky, které sedi na nvme0n1p3 a nvme1n1p3. Jako bootování jsem zvolil GRUB2 (v EFI oddílu) primárně proto, že ho dlouho používám a jsem s ním spokojen. Ale to co mne trápí, že při bootu dávám v grubu heslo dvakrát, pro každý z oddílů ho píšu znovu. Chápu to, pro každý oddílu mi GRUB jasně zobrazí, pro který disk heslo píšu, ale otravuje to, Takže moje otázka je jestli neexistuje nějaký způsob jak mít bott nastavení abych heslo psal jen jednou? Další proces tedy grub načte jádro intiramfs, v něm je klíč znovu pro oba oddíly a ten je korektně odemkne, je OK v pořádku a funguje.

    Řešení dotazu:

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    Řešení 1× (xxl)
    26.1.2023 21:45 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: boot do šifrovaného rootu na btrfs raid 1

    To se řeší tak, že se

    • přidá key slot ke každému oddílu, který nebude založený na hesle, nýbrž na malém souboru s náhodnými daty,

    • přidá položka do /etc/crypttab pro každý oddíl (odkazující na soubor s klíčem), aby se oddíly daly automaticky otvírat; v závislosti na distribuci může být nutné příslušné řádky přidat také do /etc/crypttab.initramfs;

    • zajistí, aby byl soubor s klíčem dostupný v initramdisku, a to dvěma možnými (méně či více bezpečnými) způsoby:

      1. EFI oddíl, GRUB, kernel a initramdisk bude na flashdisku. Jedna z výhod je, že pak na interních discích nemusí být vůbec žádné oddíly; nejsou potřeba. Jediný oddíl (ve smyslu GPT) je EFI oddíl na bootovacím flashdisku. Tam je pak taky ten klíč k odemykání disků, buď v plaintextu (!) nebo … viz níže↓↓↓. (Během delší nepřítomnosti (a nepředpokládá-li se, že počítač sám dokáže přebootovat) stačí flashdisk odpojit a odnést — kromě cold boot útoků se k datům nedá dostat.)

      2. EFI oddíl a GRUB je jediný nešifrovaný oddíl, kernel i initramdisk jsou uvnitř šifrovaného oddílu (Btrfs v LUKS). Klíčová fakta k tématu: GRUB umí číst LUKS oddíly. GRUB umí číst Btrfs. To je ideální řešení, protože se nemusí myslet na odpojování a ukrývání ;-) bootovacího flashdisku. Pak je konfigurace taková, že (0) v EFI oddílu je jenom GRUB a nic jiného, žádný Linux, žádný initramdisk, a (2) neexistuje žádný /boot oddíl, /boot je prostě normální subvolume (nebo dokonce obyčejný adresář) na Btrfs. Boot probíhá tak, že

        1. GRUB se uživatele zeptá na heslo — jednou a naposledy.
        2. GRUB si otevře LUKS oddíl (vypočítá master key atd.).
        3. GRUB získá přístup k Btrfs v LUKS oddílu a načte z něj kernel a initramdisk.
        4. Initramdisk obsahuje (nešifrovaný) šifrovací klíč pro LUKS a /etc/crypttab s potřebnými řádkami.
        5. Kernel dostane načtený initramdisk a díky němu dovede (nezávisle na GRUBu) automaticky otevřít oba šifrované oddíly, dokonce paralelně. (V závislosti na distribuci se o to stará instance systemd v initramdisku, Dracut, Udev a/nebo něco jiného.)
        6. Kernel normálně dál bootuje a už se na LUKS hesla neptá.
    26.1.2023 22:39 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: boot do šifrovaného rootu na btrfs raid 1
    No Andreji, buď jsi dotaz nedočetl nebo nepochopil. Ano mám kliče, které jsou v initramdisku a ano jediný nešifrovaný kousek je EFI.

    1. Rozumím řešení s flaskou. Pak to vygeneruje, ale další security management kategorie: Jak flash neztratit, nepoškodit, nezapomět, popřípadě když by byly kopie, jak je spravovat, aby byly bezpečně uloženy. To se mi moc nechce, věci ztrácím.

    2. to mám tak, jak popisuješ, ale:

    2.1 tady se mne grub ptá na heslo dvakrát. protože s jedním heslem otevře jeden oddíl na jednom disku, ale zatím nemá otevřený druhý disk a neotevře tedy btrfs protože ho zatím nemá jak. grub potřebuje otevřít oba šifrované disky, aby nad nimi mohl složit rootový btrfs, Odtud potřeba druhého hesla. Z něho si přečíst kernel a intitramfs. A od bodu 2.3 jede, jak popisuješ. (kromě toho že /etc/crypttab potřebuješ až na další disky ne na root.

    Takže buď najdu, jak dát grubu heslo, aby ho měl pro oba disky.

    Nebo mi někdo poradí jiný zavaděč, který by toho dokázal otevřít jedním heslem dva LUKSy..

    Nebo patrně by byla cesta, že vytvořím další šifrovaný oddíl single, bude v něm /boot, v něm bude kernel a initramfs, který obsahuje klič k sobe i k obou disků, vytvářejícím root. Ten by se odemkl jedním heslem z GRUBu a v initramdisku by měl klíče na otevření zbytku.

    Ten popis, co jsi dal je v pořádku, přesně takto ho používám už léta, ale zatím jsem měl root jen na jednom disku. Ano, pokud nevložím klíč do initramdisku, tak jsou také dva dotazy na heslo, jeden posílá Grub a druhý kernel. Ale toto není můj případ.
    Max avatar 26.1.2023 22:16 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: boot do šifrovaného rootu na btrfs raid 1
    Já zadávám heslo až při bootu, nikoli v rámci grubu. A to stačí řešit takto:
    Do "/etc/crypttab" přidat "ecrypt_keyctl", příklad: 
    # <name>       <device>                                         <keyfile>              <options>
system          UUID=d3ab737e-3a7b-3fca-95bc-32d01a3c3d38        crypt_disks            luks,initramfs,keyscript=decrypt_keyctl
system2         UUID=f9a3b527-179a-4620-8107-036ab55a5262        crypt_disks            luks,initramfs,keyscript=decrypt_keyctl
...
    A přegenerovat initramfs.
    Zdar Max
    Měl jsem sen ... :(
    26.1.2023 22:40 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: boot do šifrovaného rootu na btrfs raid 1
    kolik toho máš tedy nešifrovaného?
    26.1.2023 23:25 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: boot do šifrovaného rootu na btrfs raid 1
    Přečetl jsem si dokumentaci, ale pořád mi nevychází, co tím myslíš? Máš root na raid 1? Ten příklad crypttabu používám pro všechny další disky kromě roota. Takhle jsem to měl někde dříve, ale i když máš boot nešifrovaný, tak v něm nemáš žádné klíče (jinak šifrování nemá smysl) a když ti najede jádro a initramfs a máš odemknout root volume, tak když dáš jedno heslo pro jeden disk, tak se odemknout dva?
    Max avatar 27.1.2023 08:11 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: boot do šifrovaného rootu na btrfs raid 1
    Přesně tak, dáš jedno heslo a odemknou se oba v rámci mounpointu. Pokud budeš mít raid1c3, tak se ti odemknou všechny tři.
    Nešifrovaný mám "/boot".
    Pokud mě někdo lokálně napadne, tak je jedno, zda mám šifrováno vše, nebo ne. Jedině bych chodil s tokenem a na něm měl cert.
    Zdar Max
    Měl jsem sen ... :(
    Řešení 1× (lertimir (tazatel))
    28.1.2023 18:43 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: boot do šifrovaného rootu na btrfs raid 1
    Fakticky jsem to udělal obdobně, nebo přesněji tak jak jsme nastínil.

    V EFI je efi od grubu. zapsaným heslem se otvírá /boot na samostatném disku (btrfs) na /boot je initramfs, kernel a klíč k dalším diskům. v /etc/default/grub je rd.luks.name==UUID=jméno kde jméno jsou disky root1 root2 (na složení rootu btrfs1), boot (krome hesla má i klíč - jak píše Andrej), a swap, (všechny se stejným klíčem), který jsem vytvořil jako RAID 0 (mdraid) nad dvěma oddíly v dvou nvme discích, Nad ním jeden LUKS. Tento swap předpokládám jednak pro hibernaci a také, že může být rychlý. nvme disky mají 7000/5000MB read/write rychlost a 1 000 000 IOPS, tak uvidíme jak to pojede. Výsledek je funkční, heslo zadávám jedno, a kromě grub-efi je vše zašifrované a po odemknutí grub se otevře vše.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.