abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 17:00 | Nová verze

Multiplatformní open source počítačová hra Minetest byla vydána ve verzi 5.3.0. Jedná se o hru inspirovanou Minecraftem.

Ladislav Hagara | Komentářů: 0
dnes 15:22 | IT novinky

Mezinárodní organizace pro sledování rotace Země a referenčních systémů (IERS) oznámila (Bulletin C 60), že letošní rok bude opět bez přestupné sekundy. Poslední vkládání přestupné sekundy proběhlo v prosinci 2016.

Ladislav Hagara | Komentářů: 0
dnes 02:22 | Zajímavý projekt

Lze si počítačovou klávesnici navrhnout a následně vytisknout na 3D tiskárně? I spínače? James Stanley se rozhodl, že to zkusí a výsledky svého snažení zveřejňuje na svém blogu. V aktuálním příspěvku představil první funkční prototyp s třemi klávesami. Ne, nejsou to Ctrl-Alt-Delete. :-)

Ladislav Hagara | Komentářů: 10
dnes 01:11 | Nová verze

Byla vydána nová verze 1.47 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.47 bude vydáno také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 1
včera 13:33 | Komunita

Služba Firefox Send (zprávička) pro jednoduché a soukromé sdílení souborů s end-to-end šifrováním je dočasně pozastavena. Byla zneužívaná k šíření malwaru [reddit].

Ladislav Hagara | Komentářů: 10
včera 05:55 | Komunita

Google a Canonical společně oznámili možnost běhu aplikací postavených na Flutteru (Wikipedie) také na Linuxu. Na Linuxu lze tyto grafické aplikace také přímo vyvíjet. Současně byla představena pomocí Flutteru vytvořená aplikace pro správu kontaktů Flokk. Ukázka aplikace běžící na Ubuntu na YouTube. Flutter SDK i Flokk jsou již k dispozici také jako Snap balíčky na Snapcraftu.

Ladislav Hagara | Komentářů: 8
včera 02:22 | Komunita

Google na svém blogu věnovanému open source představil novou organizaci Open Usage Commons. Cílem této organizace je rozšířit filozofii a definici open source také na ochranné známky projektů. První tři zapojené projekty jsou Angular, Gerrit a Istio. Více v často kladených otázkách (FAQ).

Ladislav Hagara | Komentářů: 0
včera 01:11 | Nová verze

Společnost NVIDIA oficiálně vydala verzi 11.0 toolkitu CUDA (Wikipedie) umožňujícího vývoj aplikací běžících na jejich grafických kartách. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
8.7. 17:44 | Nová verze

Byla vydána verze 6 vizuálního programovacího jazyka Snap! (Wikipedie) inspirovaného jazykem Scratch (Wikipedie). Přehled novinek a diskuse v diskusním fóru. Poznámky k vydání na GitHubu. Videoukázky na YouTube.

Ladislav Hagara | Komentářů: 1
8.7. 17:33 | Komunita

MojeFedora.cz informuje, že souborový systém Btrfs míří do desktopové Fedory. Návrh na změnu výchozího souborového systému z Ext4 na Btrfs včera schválilo FESCo a vrátilo ho k finálnímu schválení pracovní skupině kolem edice Workstation. Tam se zamítnutí nepředpokládá, takže se nyní řeší ne jestli, ale kdy ke změně dojde.

Ladislav Hagara | Komentářů: 21
Používáte některé open-source řešení [protokol] pro šifrovaný instant messaging?
 (22%)
 (30%)
 (4%)
 (12%)
 (17%)
 (6%)
 (13%)
 (24%)
Celkem 325 hlasů
 Komentářů: 35, poslední včera 02:05
Rozcestník
Štítky: není přiřazen žádný štítek


Vložit další komentář
4.9.2019 01:21 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Asi bych doplnil, ze v Proxmoxu 6 je ZFS 0.8.x, ktery uz ma sifrovani primo v sobe. LUKS teda teoreticky neni potreba. Vyhoda je, ze pokud mate vic spravcu virtualnich serveru / kontejneru, tak jde velmi snadno kazdemu virtualu nastavit extra sifrovaci klic/passphrase.

Popravde doufam, ze na to treba udelaji nejaky UI primo v proxmoxu, aby si to zakaznici mohli zadavat pri spousteni virtualu pres web. Potom jako provozovatel serveru ani nebudu muset klice od jejich virtualu znat. (aspon teda pokud nebudu chtit... ale zkusenost rika, ze nechci :-))
4.9.2019 10:06 Petr
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Super návod a teď jak zálohovat Proxmox pomocí snapshotů ZFS :-)
4.9.2019 12:25 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Ja pouzivam znapzend. Ze vseho co jsem zkousel to vypada jako nejmensi zlo. Ma to jeste naky kosmeticky vady, ale vyvoj je porad aktivni. Vyviji to stejnej clovek co napsal treba rrdtool. Ale ted se mi to nak podelalo pri upragdu na novej Debian (instaloval jsem to rucne). Budu to muset nak vyupgradovat

https://github.com/oetiker/znapzend https://www.znapzend.org/
Jendа avatar 4.9.2019 13:24 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Asi už s tím budu otravný, ale ještě mi to nikdo nevysvětlil:
ZnapZend uses the ZFS send/receive functionality to transfer backups to remote locations.
Na jaké úrovni tohle funguje (ještě víc by mě to teda zajímalo u btrfs)? Přenáší to soubory (nepravděpodobné), nebo nějaké low-level binární diffy? Pokud to přenáší binární diffy struktur souborového systému, tak to podle mě popírá jeden z hlavních důvodů zálohování: pokud se FS rozbije (i úmyslně, třeba to napadl ransomware), tak si tohle rozbití přeneseš tím sendem i na zálohovací pole a máš problém.

Chápu, že jednotlivé subvolumes/snapshoty snad budou nějak trochu izolované, ale podle mě kód FS nebude navržený aby byl proti tomuto odolný.
4.9.2019 14:23 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Puvodni dotaz byl jak zalohovat ZFS pomoci snapshotu, tak si ted nemuzes stezovat, ze jako reseni uvadim software na zalohovani pomoci ZFS snapshotu :-)

Ano. Jsou to low level binarni diffy. Na zdrojovym serveru se nesmi smazat posledni snapshot prenesenej na cilovej server, aby si mel ten diff proti cemu vygenerovat.

Na jaky urovni FS (umyslne) rozbijes/zaransomwarujes? Pokud na urovni souboru (=FS je stale konzistentni), tak mas stale k dispozici ty stary snapshoty. Je na tobe, aby sis vsimnul problemu driv nez ti vyprsi posledni snapshot/zaloha. Pokud ti soubory zasifruje ransomware, tak si nedovedu predstavit zadnej zalohovaci system, kterej te zachrani, pokud ho nechas nekonecne dlouho bezet a nevsimnes si toho (za predpokladu, ze se zalohy prepisujou po case, protoze uloziste ma konecnou velikost).

Pokud na urovni binarniho formatu FS, tak se to neprenese, protoze ZFS kontroluje checksumy. Navic je teda pravdepodobnejsi vyhackovanej kontejner, nez hostitel. (aspon teda to je zakladni myslenka celyho proxmoxu, ktery slepe verime :-) a z kontejneru se na blockdev se ZFS nedostanes, jen na soubory.

subvolumes/snapshoty jsou izolovany naprosto pokud vim. (jako ze zevnitr kontejneru neprepises existujici snapshot ani subvolume jinyho kontejneru). A ani by nemelo bejt mozny upravit subvol A tak, aby se pri jeho replikaci do subvolu B samovolne prepsal subvol C.

Nerikam, ze nemuzes paralelne ke snapshotum jeste zalohovat... Ale mel jsem loni problem, ze shorel server a obnova klasicky zalohy trvala 2dny (=2dny vypadek). Pokud mas nekde disk s replikovanym ZFS, tak se tohle proste nestane. Disk vemes, das ho do toho spadlyho serveru a jedes behem pul hodiny. V idealnim pripade mas na ty destinaci kam to replikujes rovnou nainstalovanej proxmox a jen ty virtualy vzdalene nahodis.
Jendа avatar 5.9.2019 02:07 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Na jaky urovni FS (umyslne) rozbijes/zaransomwarujes?
Na úrovni struktur FS. Neříkej, že jsi nikdy neviděl rozbitý FS, který třeba ani nešel přimountovat - typicky vlivem HW selhání (vadná RAM) nebo SW bugu.
Pokud na urovni binarniho formatu FS, tak se to neprenese, protoze ZFS kontroluje checksumy.
Přepíšu checksumy aby seděly…
A ani by nemelo bejt mozny upravit subvol A tak, aby se pri jeho replikaci do subvolu B samovolne prepsal subvol C.
Ano, o tohle mi přesně šlo. A upřímně bych tomu zas tak moc nevěřil.
5.9.2019 02:49 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Tak pouziva se nakej binarni strom. Asi nebude tezky zkontrolovat do jaky vetve zapisujes...
Jendа avatar 5.9.2019 17:02 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
A teď úplně lamerský dotaz (neboť jsem tohle nikdy nedělal): dá se specifikovat a specifikuješ do jaké větve zapisuješ? Například z 1 a 2 (první dva odkazy z Googlu na dotaz zfs send receive) mi úplně nepřišlo že by recv řekli „posílám ti nový snapshot, na nic jiného nesahej“.
5.9.2019 17:45 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
U recv se da specifikovat volume. Takze jeden virtual ti neprepise druhej. Nevim jestli jde specifikovat konkretni snapshot. Myslim ze trik bude jeste jinde:

ZFS je Copy on write filesystem. Tudiz pri recv snapshotu by se nemelo nic prepisovat, jen appendovat novy data. To myslim dostatecne zajisti, ze custom upravou novyho snapshotu nemuzes prepsat starej.
Josef Kufner avatar 5.9.2019 10:12 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
rozbitý FS, který třeba ani nešel přimountovat
Pro takové radosti máme zálohy a obnovíme to z nich.
Hello world ! Segmentation fault (core dumped)
5.9.2019 14:37 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Jste ve vlákně, kde se řeší případ, kdy se zálohuje pomocí send/receive a chyba se přenese do zálohy
Quando omni flunkus moritati
4.9.2019 14:29 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Toto je spravne
low-level binární diffy
.
5.9.2019 07:49 j
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Jedinej kdo ma problem ses ty, protoze mas v hlave nasrano ...

KAZDEJ zalohovaci system kupodivu zalohuje PRESNE to, co je aktualne na disku, a naprosto vubec ho nezajima, jestli je to dobre nebo ne, protoze to nema naprosto jak zjistit.

Teprve AZ nejaka aplikace padne nebo nejak zjisti ze se ji zmenila data, obnovi administrator (ty rozhodne ne) data ze zalohy, a to tak stara, jak je treba k tomu aby chybu napravil.

O jak moc dat pak pripadne prijde nezalezi vubec na systemu zalohovani, ale prave a vyhradne na aplikaci. Pokud databazi mesice nevadi, ze ma rozjebany soubory, tak prijde o mesice dat.

ZADNEJ filesystem NEUMI a NIDKY nebude umet zajistit konzistenci dat. FS zajistuje konzistenci FS. Jak prekvapive co?
5.9.2019 09:34 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
FS vie zabezpečiť konzistenciu údajov počas zálohy. Vo svete MS existuje technológia VSS ktorá to dokáže zaručiť pri _kompatibilných_ aplikáciách.

Zaujímalo by ma či niečo také existuje aj vo svete Linuxu. Žurnál vo FS je málo, a treba k tomu komunikačné API.
5.9.2019 17:48 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Tak ZFS ma kontrolni soucty VSECH dat. Narozdil od ostatnich FS nebo mdraidu, kde jsou overitelny jen metadata.
6.9.2019 07:06 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Kontrolný súčet zapísaných dát ti ale nezaručí že napríklad databáza vykonala konzistentný transakčný zápis pre potreby zálohy.
6.9.2019 00:49 kvr
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
V podstatě by k tomu z hlediska aplikace měly stačit transakce. Ty Windows pokud vím umí (předpokládám, že se následně zapíšou do journal změny a poté označí jako commit celek), wiki ale říká, že "its use is now discouraged". U Linuxu kdysi byla snaha, ale matně si vzpomínám, že byla dost svázaná s implementací BTRFS (takže osud asi dost nejistý). A API snad vyžadovalo všechny operace v jednom system call, aby se předešlo deadlocks (a potenciálně DoS) mezi procesy.

IMHO to nikoho moc nezajímá, neboť využití je mizivé - jednoduchý update konfigurace se dá udělat přejmenováním. Zajímavější by to bylo pro instalace, ale ta se stejně nedělá paralelně, takže se ověří, že všechno projde a zbytek je jeden velký rename (a oba snapshot + instalace jsou obvykle pod kontrolou administrátora). Na všechnu ostatní správu dat se používá stejně databáze, která konzistenci zajišťuje na vyšší úrovni.
6.9.2019 07:10 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Ak na disk(y) zapisuje aplikácia ktorá kvôli zvýšeniu výkonu používa asynchrónne diskové operácie, tak ti je ten žurnál len na ozdobu keďže ten snapshot nebude obsahovať dáta ktoré by mali byť konzistentné z pohľadu aplikácie.
6.9.2019 17:02 kvr
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Tak to si samozřejmě musí pohlídat samotná aplikace, aby data zapisovala ve správném pořadí. V případě asynchronous IO například zapsat celý payload a poté, co dostane potvrzení ukončení AIO, tak teprve zapsat značku commitu (příklad transakční DB, ale platí obecně). Mezitím samozřejmě může probíhat jiné AIO na nezávislých datech.

Obecně to ale není problém transakcí, ale aplikace. Většinu problémů mezi filesystem a procesy lze vyřešit zárukou pořadí operací, což je nejspíš hlavní důvod, proč zájem o transakční filesystemy upadl.
7.9.2019 20:51 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Akurát že robiť stále flush cache je plytvanie výkonu diskov. Schválne, skúste si v práci napríklad zapnúť backup mode v databáze počas vykonávania uzávierky, a odmerajte si koľko krát to bude pomalšie.
8.9.2019 21:26 /dev/win
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
to by ma sef zabil ... a veduce 78 pobociek tiez... a to bezime na ZFS over NVME @ FreeBSD...
8.9.2019 21:40 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Tak potom prajem veľa zdaru pri recovery z takého snapshotu. Vyjsť to môže, al garantované to nebude.
Jendа avatar 5.9.2019 16:49 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
KAZDEJ zalohovaci system kupodivu zalohuje PRESNE to, co je aktualne na disku, a naprosto vubec ho nezajima, jestli je to dobre nebo ne, protoze to nema naprosto jak zjistit.
A proto zálohuji s historií, aby když zjistím, že před týdnem se na disku udělalo něco špatně, tak bych mohl obnovit zálohu starou 8 dní.
O jak moc dat pak pripadne prijde nezalezi vubec na systemu zalohovani, ale prave a vyhradne na aplikaci.
Hovoříme o situaci, kdy je systém zálohování možná postavený tak, že tu historii nedokáže uchovat.
ZADNEJ filesystem NEUMI a NIDKY nebude umet zajistit konzistenci dat.
O tomto vůbec nehovoříme.
4.9.2019 10:12 MP
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Slusne receno, ve srovnani s Windows je sifrovani v Linuxu slusny pruser.

Umi luks2 presifrovat disk za behu? Umi luks2 jednoduchym zpusobem pouzit TPM? Podpora pri startu systemu? atd...

Bitlocker nastavim ja nevim, v 5 krocich s podporou TPM a je vyreseny i boot/update, zaloha klicu na ruzna mista...

Jako linux admin jsem dost rozladeny (komplikuje mi to praci).
4.9.2019 11:27 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
A akú má človek záruku že ten bitlocker neodomkne univerzálny šperhák od výrobcu toho closed source riešenia? Bez toho sa jedná len o placebo ktoré je v prípade bezpečnosti dosť závažným rizikom.
4.9.2019 12:22 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Podle me je zas slusny pruser verit TPM. Uz jsem videl hodne "slusnych pruseru" ze strany vyrobcu HW, tak nevim proc bych jim mel sverovat zrovna sifrovaci klice.

Na co je potreba presifrovat disk za behu? Nevim jak to ma LUKS, ale vetsinou mas primarni klic zasifrovanej sekundarnim klicem, takze presifrujes jen ten, kdyz chces treba zmenit passphrase.
5.9.2019 15:54 MP
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Od toho jsou recovery keys, kdyby neco. Navic, oproti luks2 to chrani alespon proti vybrani disku ze stroje, aniz by to narusilo schopnost stroje nabootovat.
Jendа avatar 4.9.2019 13:37 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Slusne receno, ve srovnani s Windows je sifrovani v Linuxu slusny pruser.
Mně naopak přijde jako průser ta neprůhlednost šifrování (stejně jako asi tak všeho dalšího) na Windows.
Umi luks2 presifrovat disk za behu?
Ne, jenom offline inplace (cryptsetup-reencrypt). Jaký je usecase? Já jsem reencrypt použil při duplikování VM aby měly jiný klíč (což je na tom duplikátu offline operace) a jednou snad pro změnu módu šifry za silnější.
Umi luks2 jednoduchym zpusobem pouzit TPM?
Ne, to by bylo proti unixové filozofii. LUKS má API jak mu předat klíč, a je na jiné utilitě, aby mu klíč předala (a je jedno jestli si ho sežene z TPM, po SSH nebo odkud).
Podpora pri startu systemu?
Opět, toto není věcí LUKSu, ale startovacích skriptů. Všechny distribuce které jsem používal (Debian, Arch, Ubuntu) mají podporu pro šifrovaný / už cca. 10 let, z toho 5 let doslova na jedno kliknutí/jeden příkaz (podle toho jestli používáte grafický nebo textový instalátor :) při instalaci.
Bitlocker nastavim ja nevim, v 5 krocich s podporou TPM a je vyreseny i boot/update, zaloha klicu na ruzna mista...
A necrackne to každý Franta se šroubovákem?
5.9.2019 16:02 MP
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Jenze ve Win to funguje, v Linuxu se s tim musi kazdy nadrit.

Use case pro presifrovani za behu: potrebuji nesifrovany disky zasifrovat. Tedy ne reencrypt, ale encrypt neceho, kde se s sifrovanim drive ani neuvazovalo - napr. zalohovaci masiny se storage v desitkach TB.

K cemu unix filozofie, kdyz Linux neni Unix? Ja potrebuji nastroj, ktery nastavim a funguje to out of box, ne to bastlit z X modulu (to at je volitelna konfigurace toho nastroje). Navic, zkuste zautomatizovat ten postup !

Umi ta podpora pri startu pocitat s tim, ze se aktualizuji kernely/initramfs apod? Pokud ano, tak muzu jeden bod skrtnout. A propos, vyzaduje to UEFI?
Jendа avatar 5.9.2019 16:55 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Jenze ve Win to funguje, v Linuxu se s tim musi kazdy nadrit.
Mně to v Linuxu funguje i bez nadření.
Use case pro presifrovani za behu: potrebuji nesifrovany disky zasifrovat. Tedy ne reencrypt, ale encrypt neceho, kde se s sifrovanim drive ani neuvazovalo - napr. zalohovaci masiny se storage v desitkach TB.
OK, good point. Tohle bohužel pro Linux neexistuje.
Ja potrebuji nastroj, ktery nastavim a funguje to out of box, ne to bastlit z X modulu
Protože když to bude jedna věc co „umí všechno“, tak za chvíli narazíš na něco, co ve skutečnosti neumí.
Navic, zkuste zautomatizovat ten postup !
Co? Představuju si to tak, že si ten skript k odemčení přes TPM přidáš do /etc/initramfs-tools/hooks/něco a to pak máš na všech strojích stejné.
Umi ta podpora pri startu pocitat s tim, ze se aktualizuji kernely/initramfs apod?
Eh, ano? Jak si představuješ že to funguje?
A propos, vyzaduje to UEFI?
Proč by proboha mělo? Kernel a initramfs se libovolným způsobem naloaduje a pak už se služby firmware nijak nevyužívají.
Josef Kufner avatar 5.9.2019 18:14 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Use case pro presifrovani za behu: potrebuji nesifrovany disky zasifrovat. Tedy ne reencrypt, ale encrypt neceho, kde se s sifrovanim drive ani neuvazovalo - napr. zalohovaci masiny se storage v desitkach TB.
man cryptsetup-reencrypt praví:
To encrypt data on (not yet encrypted) device, use --new with combination with --reduce-device-size or with --header option for detached header.
Tedy není to za běhu, ale aspoň to je in-place. Pokud bych to chtěl za běhu a nemuselo to být in-place, tak by se dalo uvažovat o triku s RAID 1, kdy bych přidal šifrované zařízení a odebral nešifrované. Výpadek by byl jen na remount do RAIDu, ale během přešifrovávání by to bylo dostupné.
Hello world ! Segmentation fault (core dumped)
6.9.2019 11:16 MP
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Coz je milionkrat rizikovejsi zpusob, pokud napr. dojde k restartu serveru, tak jsou vsechna data v pr...
Josef Kufner avatar 6.9.2019 11:21 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
A nebyla by to jinak nuda?
Hello world ! Segmentation fault (core dumped)
Jendа avatar 6.9.2019 17:58 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Naopak, ne? Když to šifruješ do RAIDu a resetuje se server, tak v nejhorším stačí tu neúplnou kopii zahodit a začít znova. Zatímco pokud šifruješ blokové zařízení inplace, tak po resetu nevíš kde přesně jsi skončil. Leda že bys měl externí datový žurnál, což znamená 2x víc zápisů než by bylo potřeba. (jiná věc je šifrování na úrovni souborů žurnálovacího FS)
Josef Kufner avatar 5.9.2019 18:27 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Co? Představuju si to tak, že si ten skript k odemčení přes TPM přidáš do /etc/initramfs-tools/hooks/něco a to pak máš na všech strojích stejné.
Stačí do /etc/crypttab nebo do parametru jádra přidat volbu keyscript=něco, kde něco je cesta ke skriptu, který získá klíč a vypíše ho na stdout. Pak ještě je potřeba přidat ten skript do initramfs, pokud ho tam nějaký balíček ještě nedal.

Tedy těch X modulů je dva (cryptsetup, TPM) a propojíš je jednou vobou a jedním triviálním skriptem.
Hello world ! Segmentation fault (core dumped)
Max avatar 4.9.2019 15:16 Max | skóre: 68 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Bitlocker má jednu velkou výhodu s TPM a jednu nevýhodu. Výhodou je možnost odemykat volume přes síť. Když tedy není uživatel přítomen, je možné otočit PC a pokračovat v údržbě aniž by člověk měl fyzický přístup k PC. Pro správu tedy ideální. Jak moc bezpečnostních slabin to má, to je otázkou. Nicméně primárně se většinou řeší šifrování kvůli reklamacím vadných disků, případně kvůli krádeži ntb. Automatické odemykání v rámci firemní sítě tedy nemusí být v těchto případech tak extra zabezpečené.

Nevýhou je, že člověk nemůže mít zapnutý fast start, nemůže si připojovat a odpojovat některé věci k ntb, jak se mu zachce, protože win zjistí změnu hw a místo PINu pak vyžadují recovery key (docela dlouhé číslo, které je dobré si zálohovat do AD).
Zdar Max
Měl jsem sen ... :(
4.9.2019 21:12 Zdenek 'Mst. Spider' Sedlak | skóre: 38 | blog: xMstSpider
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Neni problem, fast start stoji za velky smradlavy stejne, takze to automaticky vypiname.
Jendа avatar 5.9.2019 02:08 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Bitlocker má jednu velkou výhodu s TPM a jednu nevýhodu. Výhodou je možnost odemykat volume přes síť. Když tedy není uživatel přítomen, je možné otočit PC a pokračovat v údržbě aniž by člověk měl fyzický přístup k PC.
To snad nesouvisí s TPM, přímo v článku je návod jak tohle udělat pomocí dropbearu v initramdisku.
5.9.2019 07:56 j
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Ony umej widle sifrovat? A od kdy? JO a ha, widle jakoze sifrujou ... ale jen data, sytem sifrovat vubec neumej ... takze si tam kdokoli muze nahrat cokoli a pak staci uz jen pockat, az se user prihlasi ze? A nebo jeste lip, nastartovat ophcrack a za 10s ma hesla 80% useru ze?
5.9.2019 08:29 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Ehm...
4.9.2019 22:13 3bit
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Proxmox velmi nepoznam, ale spytam sa tych co s nim pracuju, da sa nadefinovat samostatne SSD na read cache aj samostatne SSD na write cache? Dakujem.
5.9.2019 02:51 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Proxmox neni storage. Muzes pouzivat libovolnou storage co jede na Linuxu. ZFS treba tohle umi. Nevim jak bcache.
5.9.2019 07:58 j
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Tohle na tuxovi udelas s libovolnym FS, jen sem si skoro 100% jistej, ze to je neco, co rozhodne delat nechces. Protoze typicky presne to, co si prave zapsal chces precist.
cbrpnk avatar 5.9.2019 10:48 cbrpnk | skóre: 3 | blog: bl0gium
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Ale veď keď je HW na UPS tak je to jedno, nie ? Akurát že to bude rýchlejšie... A keď SSD budú trebárs 2TB na zápis a 2TB na čítanie tak zrýchlenie musí byť enormné...
5.9.2019 11:46 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Samozrejme. Najmä ak aplikácia chce prečítať to, čo zapísala. Skús opísať kadiaľ by to teda cestovalo, a koľko krát.
8.9.2019 22:38 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
V tom blogu má chybu, kterou jsi převzal. Sice ne zásadní, ale někoho by mohla mást. Jako příklad portu na kterém ná dropbear naslouchat píše 12345, ale v následujícím ukázkovém konfigu je vidět, že použil 2222.

Další věc – zrovna dnes jsem dropbear instaloval (Debian unstable) – měnit číslo portu není nutné, pokud se nepovolí jeho spouštění i v nastartovaném systému (tak jak je to uvedeno zde). Dropbear se spustil automaticky, když nastal v ramdisku problém. Bylo jenom potřeba naimportovat klíče (tak jak je popsáno zde).

Taky není nutné nastavovat IP adresu pokud si ji stroj bere z DHCP.
8.9.2019 22:42 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
V tom blogu má chybu, kterou jsi převzal. Sice ne zásadní, ale někoho by mohla mást. Jako příklad portu na kterém ná dropbear naslouchat píše 12345, ale v následujícím ukázkovém konfigu je vidět, že použil 2222.
Diky, par chyb jsme zachytili jiz pri prekladu, o tomto autora take informuji...
Další věc – zrovna dnes jsem dropbear instaloval (Debian unstable) – měnit číslo portu není nutné, pokud se nepovolí jeho spouštění i v nastartovaném systému (tak jak je to uvedeno zde). Dropbear se spustil automaticky, když nastal v ramdisku problém. Bylo jenom potřeba naimportovat klíče (tak jak je popsáno zde).
To dava smysl, ale tohle si radeji otestuji sam a muj testovaci server je tedka v zapujcce.
Taky není nutné nastavovat IP adresu pokud si ji stroj bere z DHCP.
To je ponekud logicke...
9.9.2019 07:01 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
K tomu dhcp. Logické to je, ale pokud někdo půjde podle postupu, tak mu to jasné být nemusí. Řešil jsem teď diskless přes Wi-Fi, a u původního postupu pro nahození Wi-Fi v ramdisku, co jsem našel na netu, se jméno Wi-Fi rozhraní předávalo přes ip=
9.9.2019 07:55 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
A neměl bych ještě čtenářům připomenout, že postup nebude fungovat pokud nebudou mít připojené médium na první vrstvě ISO/OSI modelu? V článku je v dané sekci odkaz na dokumentaci, takže své konkrétní use-casy si člověk může dovodit z ní.
9.9.2019 14:32 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
To platí jen pokud používají defaultní nfs skript ;-) Upřímně řečeno, je dost primitivní, ale na jednoduché věci to stačí.
9.9.2019 14:36 Aleš Kapica | skóre: 50 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Já se bavím tímhle.
10.9.2019 06:22 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Opověď originálního autora...
Cool!

Thanks for bringing this to my attention, this could really be confusing for readers! I was changing all the specific information on my setup to dummy values and this one slipped through my fingers, guess not everyone knows I'm really using port 2222^^ I will change the line it in the post!

Changing the port however is important, because I'm not importing the Openssh key from the openssh server that is already installed. I'm instead converting the key that Dropbear generates automatically when it is installed. The openssh server that is running once the system has booted up is using different keys. When I run Dropbear on port 22 I still get the MITM warning.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.