Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 211. sraz, který proběhne v pátek 19. září od 18:00 ve Studentském klubu U Kachničky na Fakultě informačních technologií Vysokého učení technického na adrese Božetěchova 2/1. Na srazu proběhne přednáška Jiřího Eischmanna o nové verzi prostředí GNOME 49. Nemáte-li možnost se zúčastnit osobně, přednáškový blok bude opět streamován živě na server VHSky.cz a následně i zpřístupněn záznam.
Microsoft se vyhnul pokutě od Evropské komise za zneužívání svého dominantního postavení na trhu v souvislosti s aplikací Teams. S komisí se dohodl na závazcích, které slíbil splnit. Unijní exekutivě se nelíbilo, že firma svazuje svůj nástroj pro chatování a videohovory Teams se sadou kancelářských programů Office. Microsoft nyní slíbil jasné oddělení aplikace od kancelářských nástrojů, jako jsou Word, Excel a Outlook. Na Microsoft si
… více »Samba (Wikipedie), svobodná implementace SMB a Active Directory, byla vydána ve verzi 4.23.0. Počínaje verzí Samba 4.23 jsou unixová rozšíření SMB3 ve výchozím nastavení povolena. Přidána byla podpora SMB3 přes QUIC. Nová utilita smb_prometheus_endpoint exportuje metriky ve formátu Prometheus.
Správcovský tým repozitáře F-Droid pro Android sdílí doporučení, jak řešit žádosti o odstranění nelegálního obsahu. Základem je mít nastavené formální procesy, vyhrazenou e-mailovou adresu a být transparentní. Zdůrazňují také důležitost volby jurisdikce (F-Droid je v Nizozemsku).
Byly publikovány informace o další zranitelnosti v procesorech. Nejnovější zranitelnost byla pojmenována VMScape (CVE-2025-40300, GitHub) a v upstream Linuxech je již opravena. Jedná se o variantu Spectre. KVM host může číst data z uživatelského prostoru hypervizoru, např. QEMU.
V červenci loňského roku organizace Apache Software Foundation (ASF) oznámila, že se částečně přestane dopouštět kulturní apropriace a změní své logo. Dnes bylo nové logo představeno. "Indiánské pírko" bylo nahrazeno dubovým listem a text Apache Software Foundation zkratkou ASF. Slovo Apache se bude "zatím" dál používat. Oficiální název organizace zůstává Apache Software Foundation, stejně jako názvy projektů, například Apache HTTP Server.
Byla vydána (𝕏) srpnová aktualizace aneb nová verze 1.104 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.104 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.
Spotify spustilo přehrávání v bezztrátové kvalitě. V předplatném Spotify Premium.
Spoluzakladatel a předseda správní rady americké softwarové společnosti Oracle Larry Ellison vystřídal spoluzakladatele automobilky Tesla a dalších firem Elona Muska na postu nejbohatšího člověka světa. Hodnota Ellisonova majetku díky dnešnímu prudkému posílení ceny akcií Oraclu odpoledne vykazovala nárůst o více než 100 miliard dolarů a dosáhla 393 miliard USD (zhruba 8,2 bilionu Kč). Hodnota Muskova majetku činila zhruba 385 miliard dolarů.
Bylo vydáno Eclipse IDE 2025-09 aneb Eclipse 4.37. Představení novinek tohoto integrovaného vývojového prostředí také na YouTube.
Možná jsem se špatně rozhlížel a někdo mě vyvede z omylu, ale dle mého zjištění, nelze bez úpravy na CentOS nastartovat systém, který má šifrovanou root partition jinak, než v interaktivním režimu a vyťukat heslo pro odemčení root partition. Tak jsem to přemluvil a zde je „návod“ jak…
mdadm
RAID a na něm LUKS(cryptsetup) a na něm LVM,
/boot je mimo a nešifrovaná (a může být i na flašce).
Klíč k odemčení je na na flašce (či jiném médiu).
Systém musí nastartovat „bezobslužně“.
Protože flaška s klíčem je trvale instalovaná, tak takto šifrovaná partition zajišťuje jen to, že disk samostatně lze následně použít kdekoliv, či jej reklamovat, bez jakéhokoliv zásahu a obav a lze při případné změně podmínek, tuto flasku po nastartovaní systému odebrat (nejlépe i s /boot-em) a zakopat na zahradě.
Každá distribuce to má trochu jinak, tento postup je platný pro CentOS 6+.
Vytvořil jsem tři patch-e (viz níže) a použil:
patch -u /usr/share/dracut/modules.d/90crypt/install 90crypt_install.patch patch -u /usr/share/dracut/modules.d/90crypt/parse-crypt.sh 90crypt_parse-crypt.sh.patch patch -u /usr/share/dracut/modules.d/90crypt/cryptroot-ask.sh 90crypt_cryptroot-ask.sh.patch
Připravil nový initrd
(, na konci je doplněno „-modified“). Je třeba vyřadit modul plymouth
aby se použil modul crypt
.
dracut -f -o plymouth /boot/initramfs-$(uname -r)-modified.img $(uname -r)
V /etc/grub.conf
(linka na /boot/grub/grub.conf
) vsunul novou položku s tímto novým initrd
.
Patch-e přidávájí možnost k parametru
předřadit i cestu ke klíči uvozenou rd_LUKS_UUID=
cryptkey-
a ukončenou posledním-
před luks=
.
Původní a stále funkční zápis <code>rd_LUKS_UUID=luks-<UuidOfLuksBlockDevice></code> lze rozšířit na:
rd_LUKS_UUID=cryptkey-<sleep sec>:<uuidOfPartitionWithKey>:<filesystem>:<FileNameKey>-luks-<UuidOfLuksBlockDevice>pro zadání klíče ze souboru.
Nebo
rd_LUKS_UUID=cryptkey-<sleep sec>:/dev/sd<X>:<offset>:<size>-luks-<UuidOfLuksBlockDevice>pro zadání klíče přečteného přímo ze zařízení z adresy <offset> a o délce <size>.
Vzhledem k tomu „jak“ systém startuje, může se stát, že zařízení nebude ještě připraveno, proto je možnost zadat <sleep sec>.
Když uložíme klíč na zařízení dle uuid ddddddddd-aaaa-bbbb-bbbb-aaaaaaaaaaaa
s ext4 a klíč bude v cestě /private/mykey
, tak parametr bude vypadat takto (2 sec prodleva):
rd_LUKS_UUID=cryptkey-2:/dev/disk/by-uuid/ddddddddd-aaaa-bbbb-bbbb-aaaaaaaaaaaa:ext4:/private/mykey-luks-ffffffff-eeee-4444-aaaa-333333333333(
luks-ffffffff-eeee-4444-aaaa-333333333333
je to odemykané zařízení, tedy žádná změna - původní hodnota)
Nebo pokud klíč délky 2048 zapíšeme na pozici 1024 (dd of=/dev/sdX if=mykeyfile bs=1 seek=1024
), tak paramter bude vypadat takto (1 sec prodleva):
rd_LUKS_UUID=cryptkey-1:/dev/sdX:1024:2048-luks-ffffffff-eeee-4444-aaaa-333333333333
¡BINGO! těmito patch-i, touto úpravou parametru jádra a použití nového initrd si systém sám odemkne podkladový šifrovaný „RAID“, a z použitých disků bez flašky nikdo nic nepřečte.
Bo zde nejdou vložit přílohy (nebo mi zas něco uniklo), tak jednotlivé patch-e zde inline.
90crypt_install.patch:
--- /usr/share/dracut/modules.d/90crypt/install 2013-02-22 06:03:43.000000000 +0100 +++ usr/share/dracut/modules.d.patch.cryptsetup/90crypt/install 2013-09-29 17:13:42.000000000 +0200 @@ -5,3 +5,5 @@ inst_hook pre-pivot 30 "$moddir/crypt-cleanup.sh" inst_hook pre-pivot 31 "$moddir/crypt-cleanup.sh" inst /etc/crypttab +inst dd +inst rmdir90crypt_parse-crypt.sh.patch:
--- /usr/share/dracut/modules.d/90crypt/parse-crypt.sh 2013-02-22 06:03:45.000000000 +0100 +++ usr/share/dracut/modules.d.patch.cryptsetup/90crypt/parse-crypt.sh 2013-09-29 16:01:09.000000000 +0200 @@ -11,8 +11,15 @@ if [ -n "$LUKS" ]; then echo '. /lib/dracut-lib.sh' > /emergency/90-crypt.sh for luksid in $LUKS; do - luksid=${luksid##luks-} - printf 'ENV{ID_FS_TYPE}=="crypto_LUKS", ENV{ID_FS_UUID}=="%s*", RUN+="/sbin/initqueue --unique --onetime --name cryptroot-ask-%%k /sbin/cryptroot-ask $env{DEVNAME} luks-$env{ID_FS_UUID}"\n' $luksid \ + cryptkey=${luksid%luks-*} + cryptkey=${cryptkey##*cryptkey-} + cryptkey=${cryptkey%-*} + if [ -z "$cryptkey" ]; then + $cryptkey=- + fi + luksid=${luksid##*-luks-} + luksid=${luksid##*luks-} + printf 'ENV{ID_FS_TYPE}=="crypto_LUKS", ENV{ID_FS_UUID}=="%s*", RUN+="/sbin/initqueue --unique --onetime --name cryptroot-ask-%%k /sbin/cryptroot-ask $env{DEVNAME} luks-$env{ID_FS_UUID} '$cryptkey'"\n' $luksid \ >> /etc/udev/rules.d/70-luks.rules printf '[ -e /dev/disk/by-uuid/*%s* ] || exit 1 \n' $luksid >> /initqueue-finished/crypt.sh printf '[ -e /dev/disk/by-uuid/*%s* ] || warn "crypto LUKS UUID "%s" not found" \n' $luksid $luksid >> /emergency/90-crypt.sh90crypt_cryptroot-ask.sh.patch: (upraveno 2013-09-30 19:18 v duchu vlastního komentáře)
--- /usr/share/dracut/modules.d/90crypt/cryptroot-ask.sh 2013-02-22 06:03:43.000000000 +0100 +++ usr/share/dracut/modules.d.patch.cryptsetup/90crypt/cryptroot-ask.sh 2013-09-30 18:58:21.976944456 +0200 @@ -51,15 +51,65 @@ unset name dev rest fi +#parse key file params +par0='-' +par0=${3%%:*} +par1=${3#*:} +par2=${par1#*:} +par1=${par1%%:*} +par2=${par2%%:*} +par3=${3##*:} + +if [ "$par2" = "0" -o "$((${par2}+0))" -gt "0" ]; then + par2num='1' +else + par2num='0' +fi + info "luksOpen $device $luksname" # flock against other interactive activities -{ flock -s 9; - echo -n "$device ($luksname) is password protected" - cryptsetup luksOpen -T1 $1 $luksname +{ flock -s 9; + #key file params exist or not + if [ "$par0" != "-" ]; then + #use key file + echo "$device ($luksname) is key file protected" + sleep $((${par0}+0)) + if [ "$par2num" = "1" ]; then + echo 'Use raw data as key file...' + dd if=$par1 bs=1 skip=$par2 count=$par3 | cryptsetup luksOpen --key-file - $1 $luksname + if [ $? -ne 0 ]; then + echo "Error when using key file, try password..." + cryptsetup luksOpen -T3 $1 $luksname + fi + else + echo 'Mount and use the key file...' + tmfile='/tmp/cryptroot-keyfile-mnt' + cryptsetup_open='0' + mkdir "$tmfile" + if [ $? -eq 0 ]; then + mount -r -t $par2 "$par1" "$tmfile" + if [ $? -eq 0 ]; then + cryptsetup luksOpen --key-file "${tmfile}${par3}" $1 $luksname + if [ $? -eq 0 ]; then + cryptsetup_open='1' + fi + umount "$tmfile" + fi + rmdir "$tmfile" + fi + if [ "$cryptsetup_open" = "0" ]; then + echo "Error when using key file, try password..." + cryptsetup luksOpen -T3 $1 $luksname + fi + fi + else + echo "$device ($luksname) is password protected" + cryptsetup luksOpen -T3 $1 $luksname + fi } 9>/.console.lock # mark device as asked >> /tmp/cryptroot-asked-$2 exit 0 -# vim:ts=8:sw=4:sts=4:et \ No newline at end of file +# vim:ts=8:sw=4:sts=4:et
Tiskni
Sdílej:
Má to výhodu, že když si dáš fotku své nahé Rúty do domovské složky Roota , tak ani v případě RMA disku ji nikdo neuvidí (nebo do DB ve VAR). Prostě celý disk je šifrovaný, ale nepotřebuješ zadávat heslo (neopakuju se )…
V tomto případě je to tak, že se lze připojit jedním klíčem a jedním hnusným 32 znaků dlouhým heslem (když můžeš a nemusíš ho zadávat proč ne…) a oba jsou samozřejmě jinde „schované“.
V Grub-u jsou dvě položky v menu, takže lze zvolit položku s interaktivním zadáním hesla.
Ale pomohl jsi si mi uvědomit, že i když bylo cílem, aby při zklamání přihlášení klíčem se to zeptalo na heslo, tak v případě zadání klíče ze souboru, tomu tak není, protože se to zeptá jen v případě když zklame odemčení klíčem, ale ne v případě pokud zklame mkdir či mount (tedy třeba i neexistence flašky) - musím to opravit, i když mám ten 2. případ (klíč přímo ze zařízeni), kde to funguje správně .
To tam určitě nebude, ale najdou se recepty na pečení chleba s tajnou přísadou….
Nicméně „proč ne, když můžu“, a navíc Arch a Bubuntu to snad umí out-of-box, tak jsem to musel naučit i CentOS (a navíc jsem se musel zamyslet „jak bez bashismů“, což neuškodí)