Portál AbcLinuxu, 30. dubna 2025 11:08
Po pár letech spokojeného používání ubuntu 10.10 jsem se konečně rozhoupal a upgradoval na novější verzi. Nevybral jsem si však nové Ubuntu (hnus fialový), ale něco perspektivnějšího - Linux Mint 12. Když už jsem byl u toho, řekl jsem si že po těch letech upgradování provedu čistou instalaci a přenesu jen důležité konfigurační soubory v ~. Bohužel, Mint nemá alternativní instalační disk a tak jsem ho musel nainstalovat na šifrovaný disk ručně, což je docela práce.
Pro jistotu jsem si vyrobil binární kopii mého HDD a zazálohoval jí na externí disk, takže jsem se nebál pořádně si zaexperimentovat.
Na internetu se povaluje několik návodů a jeden nefunkční script, jenž by vám měl ulehčit instalaci Mintu na zašifrovaný disk. Bohužel, ani podle jednoho z nich se mi nepodařilo systém na šifrovaný disk dostat - jednomu chybělo to, druhému zase ono..
Nakonec jsem si vzpomněl, že jsem dřív podle jednoho návodu nainstaloval Ubuntu netbook remix na můj netbook, takže jsem se ho pokusil najít, jenže ouha. Návod už na staré adrese nesídlí. Vyhrabal jsem ho tedy z webarchive a začal podle něj postupovat.
Dobrá zpráva je, že to funguje. Špatná, že k tomu potřebujete v průběhu instalace internet, což může být v některých případech poněkud nevhodné.
Každopádně, zde je velice volný a lehce doplněný překlad:
Jakmile CD nabootuje, otevřete si konzoli a použijte utilitu 'cfdisk' k rozdělení disku. Teoreticky by šlo použít i gparted, ale netuším jak v něm nastavit typ oddílu na LLVM.
sudo cfdisk /dev/sdaZa '/dev/sda' dosaďte samozřejmně váš disk. Jakmile cfdisk naběhně, vytvořte na něm následující dva oddíly:
83 (Linux)8e (Linux LVM)sudo su
aptitude install lvm2 cryptsetupDále je dobré zavést pár modulů do jádra. Je možné že některé jsou již zavedené, ale zjišťování je namáhavější než to prostě zkusit:
modprobe aes-i586
modprobe dm-crypt
modprobe dm-modaes-xts-plain, jako v současnosti nejsilnější šifra. Můžete samozřejmě použít i ostatní druhy, cryptsetup jich nabízí docela dost, nezapomeňte však nahrát patřičné moduly v kroku 5.
cryptsetup luksFormat -s 256 -c aes-xts-plain /dev/sda2Program se vás bude ptát na potvrzení, zda chcete všechno smazat - nezapomeňte napsat VELKÝMI PÍSMENY: 'YES'. Pokud to napíšete malými, nic se nestane a nemá smysl pokračovat, protože další krok vás dál nepustí.
sda2_crypt:
cryptsetup luksOpen /dev/sda2 sda2_cryptVytvoříme root oddíl a swap (nezapomeňte upravit podle velikosti vaší RAM - obecně se doporučuje cca 1.3 násobek EDIT: pokud si uděláte moc malý swap, nepůjde vám počítač uspat na disk!!):
pvcreate /dev/mapper/sda2_crypt
vgcreate vg /dev/mapper/sda2_crypt
lvcreate -L 2500M -n swap vg
lvcreate -l 100%FREE -n root vgPoužívám ext4 pro / a ext2 pro /boot:
mkfs.ext4 /dev/mapper/vg-root
mkfs.ext2 /dev/sda1
mkswap /dev/mapper/vg-swapNyní spusťte instalaci Mintu pomocí ikony na ploše. Postupujte normálně, dokud se vás instalátor nezeptá, jak chcete rozdělit disk. Zvolte vlastní rozdělení, kde se vám zobrazí tabulka ukazující jednotlivé oddíly na disku. Vyberte /dev/sda1 pro /boot (klikněte na něj, dejte změnit, zaškrtněte že chcete ext2 a přípojný bod /boot). Podobně vyberte i partišnu pro / - pozor, rozhodně to nebude /dev/sda2, ale něco jako /dev/mapper/vg-root. Poznáte jí podle toho, že už na ní je ext4, takže dejte opět změnit, vyberte ext4 a přípojný bod /, odškrtněte formátovací checkbox, pokud je zaškrtlý.
Nyní nechte systém nainstalovat, na konci instalace však nezapomeňte zvolit, že chcete pokračovat v prohlížení live!
Přepněte se zpět do terminálu - pokud jste ho již zavřeli, otevřete ho a zadejte opět 'sudo su'. Nyní provedete chroot do nainstalovaného systému, protože je nutné nastavit ještě několik věcí:
mkdir /target
mount /dev/mapper/vg-root /target
mount /dev/sda1 /target/boot
mount -t proc proc /target/proc
mount -t sysfs sysfs /target/sys
mount –-bind /dev/ /target/dev/
chroot /targetJakmile jste vevnitř, upravte soubor '/etc/initramfs-tools/modules' přidáním následujících řádek, aby měl initrd k dispozici patřičné moduly pro připojení šifrovaného oddílu:
aes-i586
xts
dm-crypt
dm-mod
sha256Nyní přidejte následující řádky do '/etc/crypttab' (možná ho budete muset vytvořit):
sda2_crypt /dev/sda2 none luksDalším krokem je upravení '/etc/fstab'. Dost možná že tento krok budete moct vynechat, protože instalátor tam již zapsal správné informace. Potřebujete změnit řádky začínající na 'UUID=x' tak aby ukazovaly na oddíly uvnitř šifrovaného LVM:
UUID=x / ext4 etc...změňte na:
/dev/mapper/vg-root / ext4 etc..a to samé samozřejmě i pro swap.
Nyní potřebujete nainstalovat pár balíčků, které jsme instalovali i v live verzi:
apt-get install lvm2 cryptsetupPokud narazíte na chyby připojení k internetu uvnitř chrootu, neklesejte na mysli. Jelikož jste již oba dva balíčky instalovali na live distribuci, najdete je v aptcache. Otevřete si v live nový terminál a zkopírujte balíček začínající na 'lvm2' a balíček začínající na 'cryptsetup' z '/var/cache/apt/archives/' do '/target'.
Balíčky pak nainstalujte pomocí 'dpkg -i jméno_balíčku.deb'. Jako bonus pak ještě doporučuji nechat proběhnout 'update-grub' a 'update-initramfs'.
Poté můžete rebootovat a s trochou štěstí vám systém naběhne.
Mint se mi celkově docela líbí. Jako jediná distribuce z těch co jsem kdy vyzkoušel nemá po instalaci naprosto pošahaně nastavený nautilus, takže se dá skoro hned používat.
Gnome shell verze je pro mě osobně docela nepoužitelná, i když věřím že na mobilu, nebo netbooku by mi to mohlo vyhovovat.
V současnosti používám Mate (Gnome2 fork), které jsem bez problémů nakonfiguroval tak, jak jsem byl zvyklý už od dob Ubuntu 10.4.
Po dni běhu jsem narazil na několik menších problémů, které však nejsou moc vážné:
mate-screenshot. Bohužel však není nainstalovaný (:D), takže buď vyrobte symlink na gnome-screenshot, nebo ho nainstalujte - je v balíku 'mate-utils'./usr/bin/xdg-screensaver lock'.nautilus a vypádá jako nautilus, není to nautilus. Jmenuje se to 'caja' (božšký cája zas míří mezi nás..). To má za následek, že aplikace které otevírají nautilus (truecrypt třeba) otevřou nautilus, nikoliv caju a tak se nelekněte že na vás vyskočilo cizojazyčné okno s jiným nastavením chování.sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys KEYID', kde za KEYID dosaďte ID repozitáře který se systému nezdá. Tohle je jedna z klasických ukázek nedotaženosti Mintu - to tu distribuci vůbec netestovali před release? Přitom je to triviální chyba.40976EAF437D05B5. Ten je nutné fixnout následovně:
sudo su
apt-get clean
cd /var/lib/apt
mv lists lists.old
mkdir -p lists/partial
apt-get clean
apt-get update
Jakmile dojde k vychytání několika chybek, bude kombinace Mint/Mate zase jednou distribuce, kterou bych mohl doporučit i lidem, kteří nejsou na linux zvyklí.
Mate je v současnosti známka punku, protože místy má fakt debilní chyby se jmény z gnome2, takže většina rozumných lidí zůstane u gnome2, dokud se to nedoladí.
Tiskni
Sdílej:
15.1.2012 05:09
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Jakmile jste vevnitř, upravte soubor '/etc/initramfs-tools/modules' přidáním následujících řádek, aby měl initrd k dispozici patřičné moduly pro připojení šifrovaného oddílu:Poslední rok tohle minimálně v Debianu a Ubuntu dělá update-initramfs automaticky.aes-i586 xts dm-crypt dm-mod sha256
15.1.2012 13:26
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
15.1.2012 13:26
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
15.1.2012 13:56
Jendа | skóre: 78
| blog: Jenda
| JO70FB
15.1.2012 14:37
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Tenhle text je tady sice OT, ale přišel mi zajímavý.Díky za link, na to jsem kupodivu při "průzkumu trhu" před psaním svého článku nenarazil.
15.1.2012 15:42
Jendа | skóre: 78
| blog: Jenda
| JO70FB
15.1.2012 17:05
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Teoreticky by šlo použít i gparted, ale netuším jak v něm nastavit typ oddílu na LLVM.Strýček Google mi na otázku "parted type lvm" vyhodil hned na prvním místě tenhle odkaz, kde je následující příklad:
For example: (parted) mkpart primary ext2 0 4000 (parted) set 1 lvm onCo jsem koukal na výstup partedu na mém notebooku, opravdu tam není lvm zadané jako typ filesystemu, nýbrž jako flag (mimochodem, stejně tomu je třeba i u RAIDu):
Číslo Začátek Konec Velikost Typ Systém souborů Přepínače 1 32,3kB 37,7GB 37,7GB primary lvm 3 37,7GB 500GB 462GB extended 5 37,7GB 37,9GB 148MB logical ext3 6 37,9GB 500GB 462GB logical lvm
15.1.2012 13:25
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
15.1.2012 14:29
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
16.1.2012 15:32
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Popravdě, jsem docela zklamaný - samostatný boot oddíl, nuda.Praví paranoici můžou mít /boot samozřejmě na flashdisku, který nespouští z očí, stačí ho jen překopírovat a smazat ten původní.
To už mi připadá, že je lepší a efektivnějši šifrovat jenom /home..Efektivnější z hlediska rychlosti jistě ano, ale jak už jsi psal - leaky probíhají přes /tmp a hlavně swap. Ne teoreticky, ale zcela prakticky. Navíc díky tomu že reálné umístění souborů není vždy stejné a smazané soubory se tak dají obnovovat, i když jsou přepsány, je možné z disku vyhrabat lecos. Jinak ten rychlostní propad není tak strašný, naopak prakticky nepostřehnutelný. Co může víc vadit je zatížení procesoru, který při větších diskových operacích jede na plný koule, protože má plné ruce práce s (de)šifrováním. Pokud máš dvě a více jader, tak to však není problém. Časem bych rád přidal můj script, který mě upozorňuje na změny v /boot, takže i kdyby ho někdo napadl v offline režimu, měl bych se o tom dozvědět. Zatím však není moc vytuněný a tak ho prezentovat nebudu.
16.1.2012 17:02
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Praví paranoici můžou mít /boot samozřejmě na flashdisku, který nespouští z očí, stačí ho jen překopírovat a smazat ten původní.To už je snazší ti tam narvat HW keylogger, než se štvát s patchováním initramdisku. Nebo použít legendární pilník (na tebe) :).
leaky probíhají přes /tmp a hlavně swapUpřímně já bych nerad ještě
/var/log/ (pohyb notebooku za posledních pár měsíců - podle SSID) a do /root/ taky občas něco uložím.
16.1.2012 17:24
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
To už je snazší ti tam narvat HW keylogger, než se štvát s patchováním initramdisku.Spoléhám na to, že HW keyloggeru bych si u notebookové klávesnice všiml, to by muselo být něco fakt hodně speciálního a drahého, aby se to tam vešlo (navíc je tam podstatně víc datových vodičů, protože na té klávesnici imho není řadič) a zas tak velká ryba nejsem. Jinak tohle může čistě teoreticky řešit identifikační karta s čipem. Všiml jsem si, že na pracáku jí má ta pracovnice vždy zasunutou do klávesnice ze strany, vcelku by mě zajímaly podrobnosti.
Nebo použít legendární pilník (na tebe) :).Jo, to by zabralo. Jediné řešení co mě napadlo jsou nějaké autodestrukční mechanismy (stačí umazat prvních pár KB kde jsou zašifrované klíče) po dvou špatných heslech, nebo tak něco. Jinak primárně mi jde spíš o ukradení notebooku, v případě že by to heslo někdo fakt hodně chtěl by ho samozřejmě dostal, protože zas takovej drsňák abych kvůli svému systému nechal zabít svojí rodinu, popřípadě se mučit fakt nejsem. Teď mě ještě napadá že by šlo použít cosi jako DM-steg.
16.1.2012 18:41
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Jediné řešení co mě napadlo jsou nějaké autodestrukční mechanismy (stačí umazat prvních pár KB kde jsou zašifrované klíče) po dvou špatných heslech, nebo tak něco.K tomu potřebuješ HW podporu.
Teď mě ještě napadá že by šlo použít cosi jako DM-steg.Vždycky to nastav tak, abys mohl dokázat, že „teď jsem už opravdu rozšifroval všechno“. Třeba vyplň volné místo nulama nebo tak něco (pravda, co s těmi 10 GB, co jsem navzorkoval nekvalitním AD převodníkem, a tak je v tom hromada bílého šumu?). Ušetříš si tím zbytečné zalévání, kdy už jsi jim stejně všechno řekl, ale oni si myslí, že tam ještě něco je.
16.1.2012 17:03
Jendа | skóre: 78
| blog: Jenda
| JO70FB
/usr/sbin aircrack…
A co ~root/.bash_history?
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.