abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 16:33 | Komunita

Google zveřejnil seznam 200 organizací přijatých do letošního Google Summer of Code (GSoC). Dle plánu se studenti přihlašují od 16. do 31. března. Vydělat si mohou od 3 000 do 6 600 dolarů. V Česku a na Slovensku 3 600 dolarů. Další informace v často kladených otázkách (FAQ). K dispozici jsou také statistiky z minulých let.

Ladislav Hagara | Komentářů: 0
včera 15:55 | IT novinky

Ve věku 74 let zemřel Lawrence Tesler. V 70. letech pracoval v Xerox PARC a posléze odešel do Apple. Zabýval se především zjednodušováním uživatelských rozhraní, byl odpůrcem modality a přispěl k prosazení moderního způsobu označování a kopírování textu – myší a klávesovými zkratkami (kombinace s XCV) – v raných Apple Human Interface Guidelines. Dále se podílel např. na vývoji Smalltalku a souvisejícího přenosného počítače Xerox NoteTaker nebo později PDA Apple Newton.

Fluttershy, yay! | Komentářů: 1
včera 13:11 | Zajímavý článek

Aktuální příspěvek What is Mobile PureOS? na stránkách společnosti Purism je věnován operačnímu systému Mobile PureOS, tj. PureOS pro mobilní zařízení a především pro telefon Librem 5. Víceméně se jedná o stabilní Debian s GNOME doplněný o balíčky phosh, phoc, libhandy, Calls, Chats a další.

Ladislav Hagara | Komentářů: 0
20.2. 19:33 | Zajímavý článek

Jozef Mlich se v příspěvku PinePhone je nové OpenMoko na svém blogu věnuje svému novému linuxovému chytrému telefonu PinePhone v edici BraveHeart: "Momentálně se pocity z tohohle zařízení dají přirovnat k BrokenMoku. Většina věcí prostě nefunguje. Minimálně ne sama od sebe. Začít se dá už u samotného hardware, kde existuje wiki stránka popisující nedostatky".

Ladislav Hagara | Komentářů: 14
20.2. 10:00 | Zajímavý projekt

Justine Haupt aktualizovala svůj open source mobilní telefon s rotační číselnicí a zveřejnila kompletní dokumentaci, vlastní kód, schémata i STL soubory pro 3D tisk. Desku plošných spojů případně i vytištěný obal lze koupit v jejím obchodu.

Ladislav Hagara | Komentářů: 33
20.2. 06:00 | IT novinky

Otevřená certifikační autorita Let's Encrypt v příspěvku na svém blogu informuje, že žádosti o vystavení certifikátů nově validuje z několika míst současně (Multi-Perspective Validation). Další informace v diskusním fóru.

Ladislav Hagara | Komentářů: 10
19.2. 13:55 | Nová verze

Byla vydána verze 15.0 na Debianu založené linuxové distribuce Untangle NG Firewall. Přehled novinek v poznámkách k vydání a ve videu na YouTube. Vyzkoušet lze (zatím neaktualizované) demo webového rozhraní.

Ladislav Hagara | Komentářů: 0
19.2. 12:11 | Pozvánky

Letošní ročník konference LinuxDays se uskuteční o víkendu 3. a 4. října, opět se potkáme v pražských Dejvicích na FIT ČVUT. Také během devátého ročníku nás budou čekat desítky přednášek, workshopy, stánky a spousta doprovodného programu. Aktuální dění můžete sledovat na Twitteru nebo Facebooku, přidat se můžete také do telegramové diskusní skupiny.

Petr Krčmář | Komentářů: 7
19.2. 10:22 | Zajímavý článek

Alexander Popov se v příspěvku na svém blogu podrobně věnuje možnostem zneužití bezpečnostní chyby CVE-2019-18683 v linuxovém podsystému V4L2. Videoukázka eskalace práv na YouTube. Chyba byla v upstreamu opravena v listopadu loňského roku. Alexander Popov se chybě věnoval ve své přednášce (pdf) na konferenci OffensiveCon 2020.

Ladislav Hagara | Komentářů: 0
19.2. 06:00 | Nová verze

Byla vydána nová verze 20.02.17 svobodného multiplatformního video editoru Shotcut (Wikipedie). Přehled novinek v oznámení o vydání. Využíván je MLT Multimedia Framework 6.20.0 a WebVfx 1.2.0. Nejnovější Shotcut je k dispozici také ve formátech AppImage, Flatpak i Snap.

Ladislav Hagara | Komentářů: 2
Vydržela vám novoroční předsevzetí?
 (9%)
 (6%)
 (3%)
 (82%)
Celkem 173 hlasů
 Komentářů: 0
Rozcestník
Štítky: není přiřazen žádný štítek

www.AutoDoc.Cz


Vložit další komentář
4.9.2019 01:21 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Asi bych doplnil, ze v Proxmoxu 6 je ZFS 0.8.x, ktery uz ma sifrovani primo v sobe. LUKS teda teoreticky neni potreba. Vyhoda je, ze pokud mate vic spravcu virtualnich serveru / kontejneru, tak jde velmi snadno kazdemu virtualu nastavit extra sifrovaci klic/passphrase.

Popravde doufam, ze na to treba udelaji nejaky UI primo v proxmoxu, aby si to zakaznici mohli zadavat pri spousteni virtualu pres web. Potom jako provozovatel serveru ani nebudu muset klice od jejich virtualu znat. (aspon teda pokud nebudu chtit... ale zkusenost rika, ze nechci :-))
4.9.2019 10:06 Petr
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Super návod a teď jak zálohovat Proxmox pomocí snapshotů ZFS :-)
4.9.2019 12:25 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Ja pouzivam znapzend. Ze vseho co jsem zkousel to vypada jako nejmensi zlo. Ma to jeste naky kosmeticky vady, ale vyvoj je porad aktivni. Vyviji to stejnej clovek co napsal treba rrdtool. Ale ted se mi to nak podelalo pri upragdu na novej Debian (instaloval jsem to rucne). Budu to muset nak vyupgradovat

https://github.com/oetiker/znapzend https://www.znapzend.org/
Jendа avatar 4.9.2019 13:24 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Asi už s tím budu otravný, ale ještě mi to nikdo nevysvětlil:
ZnapZend uses the ZFS send/receive functionality to transfer backups to remote locations.
Na jaké úrovni tohle funguje (ještě víc by mě to teda zajímalo u btrfs)? Přenáší to soubory (nepravděpodobné), nebo nějaké low-level binární diffy? Pokud to přenáší binární diffy struktur souborového systému, tak to podle mě popírá jeden z hlavních důvodů zálohování: pokud se FS rozbije (i úmyslně, třeba to napadl ransomware), tak si tohle rozbití přeneseš tím sendem i na zálohovací pole a máš problém.

Chápu, že jednotlivé subvolumes/snapshoty snad budou nějak trochu izolované, ale podle mě kód FS nebude navržený aby byl proti tomuto odolný.
4.9.2019 14:23 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Puvodni dotaz byl jak zalohovat ZFS pomoci snapshotu, tak si ted nemuzes stezovat, ze jako reseni uvadim software na zalohovani pomoci ZFS snapshotu :-)

Ano. Jsou to low level binarni diffy. Na zdrojovym serveru se nesmi smazat posledni snapshot prenesenej na cilovej server, aby si mel ten diff proti cemu vygenerovat.

Na jaky urovni FS (umyslne) rozbijes/zaransomwarujes? Pokud na urovni souboru (=FS je stale konzistentni), tak mas stale k dispozici ty stary snapshoty. Je na tobe, aby sis vsimnul problemu driv nez ti vyprsi posledni snapshot/zaloha. Pokud ti soubory zasifruje ransomware, tak si nedovedu predstavit zadnej zalohovaci system, kterej te zachrani, pokud ho nechas nekonecne dlouho bezet a nevsimnes si toho (za predpokladu, ze se zalohy prepisujou po case, protoze uloziste ma konecnou velikost).

Pokud na urovni binarniho formatu FS, tak se to neprenese, protoze ZFS kontroluje checksumy. Navic je teda pravdepodobnejsi vyhackovanej kontejner, nez hostitel. (aspon teda to je zakladni myslenka celyho proxmoxu, ktery slepe verime :-) a z kontejneru se na blockdev se ZFS nedostanes, jen na soubory.

subvolumes/snapshoty jsou izolovany naprosto pokud vim. (jako ze zevnitr kontejneru neprepises existujici snapshot ani subvolume jinyho kontejneru). A ani by nemelo bejt mozny upravit subvol A tak, aby se pri jeho replikaci do subvolu B samovolne prepsal subvol C.

Nerikam, ze nemuzes paralelne ke snapshotum jeste zalohovat... Ale mel jsem loni problem, ze shorel server a obnova klasicky zalohy trvala 2dny (=2dny vypadek). Pokud mas nekde disk s replikovanym ZFS, tak se tohle proste nestane. Disk vemes, das ho do toho spadlyho serveru a jedes behem pul hodiny. V idealnim pripade mas na ty destinaci kam to replikujes rovnou nainstalovanej proxmox a jen ty virtualy vzdalene nahodis.
Jendа avatar 5.9.2019 02:07 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Na jaky urovni FS (umyslne) rozbijes/zaransomwarujes?
Na úrovni struktur FS. Neříkej, že jsi nikdy neviděl rozbitý FS, který třeba ani nešel přimountovat - typicky vlivem HW selhání (vadná RAM) nebo SW bugu.
Pokud na urovni binarniho formatu FS, tak se to neprenese, protoze ZFS kontroluje checksumy.
Přepíšu checksumy aby seděly…
A ani by nemelo bejt mozny upravit subvol A tak, aby se pri jeho replikaci do subvolu B samovolne prepsal subvol C.
Ano, o tohle mi přesně šlo. A upřímně bych tomu zas tak moc nevěřil.
5.9.2019 02:49 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Tak pouziva se nakej binarni strom. Asi nebude tezky zkontrolovat do jaky vetve zapisujes...
Jendа avatar 5.9.2019 17:02 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
A teď úplně lamerský dotaz (neboť jsem tohle nikdy nedělal): dá se specifikovat a specifikuješ do jaké větve zapisuješ? Například z 1 a 2 (první dva odkazy z Googlu na dotaz zfs send receive) mi úplně nepřišlo že by recv řekli „posílám ti nový snapshot, na nic jiného nesahej“.
5.9.2019 17:45 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
U recv se da specifikovat volume. Takze jeden virtual ti neprepise druhej. Nevim jestli jde specifikovat konkretni snapshot. Myslim ze trik bude jeste jinde:

ZFS je Copy on write filesystem. Tudiz pri recv snapshotu by se nemelo nic prepisovat, jen appendovat novy data. To myslim dostatecne zajisti, ze custom upravou novyho snapshotu nemuzes prepsat starej.
Josef Kufner avatar 5.9.2019 10:12 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
rozbitý FS, který třeba ani nešel přimountovat
Pro takové radosti máme zálohy a obnovíme to z nich.
Hello world ! Segmentation fault (core dumped)
5.9.2019 14:37 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Jste ve vlákně, kde se řeší případ, kdy se zálohuje pomocí send/receive a chyba se přenese do zálohy
Quando omni flunkus moritati
4.9.2019 14:29 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Toto je spravne
low-level binární diffy
.
5.9.2019 07:49 j
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Jedinej kdo ma problem ses ty, protoze mas v hlave nasrano ...

KAZDEJ zalohovaci system kupodivu zalohuje PRESNE to, co je aktualne na disku, a naprosto vubec ho nezajima, jestli je to dobre nebo ne, protoze to nema naprosto jak zjistit.

Teprve AZ nejaka aplikace padne nebo nejak zjisti ze se ji zmenila data, obnovi administrator (ty rozhodne ne) data ze zalohy, a to tak stara, jak je treba k tomu aby chybu napravil.

O jak moc dat pak pripadne prijde nezalezi vubec na systemu zalohovani, ale prave a vyhradne na aplikaci. Pokud databazi mesice nevadi, ze ma rozjebany soubory, tak prijde o mesice dat.

ZADNEJ filesystem NEUMI a NIDKY nebude umet zajistit konzistenci dat. FS zajistuje konzistenci FS. Jak prekvapive co?
5.9.2019 09:34 Peter Golis | skóre: 59 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
FS vie zabezpečiť konzistenciu údajov počas zálohy. Vo svete MS existuje technológia VSS ktorá to dokáže zaručiť pri _kompatibilných_ aplikáciách.

Zaujímalo by ma či niečo také existuje aj vo svete Linuxu. Žurnál vo FS je málo, a treba k tomu komunikačné API.
5.9.2019 17:48 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Tak ZFS ma kontrolni soucty VSECH dat. Narozdil od ostatnich FS nebo mdraidu, kde jsou overitelny jen metadata.
6.9.2019 07:06 Peter Golis | skóre: 59 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Kontrolný súčet zapísaných dát ti ale nezaručí že napríklad databáza vykonala konzistentný transakčný zápis pre potreby zálohy.
6.9.2019 00:49 kvr
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
V podstatě by k tomu z hlediska aplikace měly stačit transakce. Ty Windows pokud vím umí (předpokládám, že se následně zapíšou do journal změny a poté označí jako commit celek), wiki ale říká, že "its use is now discouraged". U Linuxu kdysi byla snaha, ale matně si vzpomínám, že byla dost svázaná s implementací BTRFS (takže osud asi dost nejistý). A API snad vyžadovalo všechny operace v jednom system call, aby se předešlo deadlocks (a potenciálně DoS) mezi procesy.

IMHO to nikoho moc nezajímá, neboť využití je mizivé - jednoduchý update konfigurace se dá udělat přejmenováním. Zajímavější by to bylo pro instalace, ale ta se stejně nedělá paralelně, takže se ověří, že všechno projde a zbytek je jeden velký rename (a oba snapshot + instalace jsou obvykle pod kontrolou administrátora). Na všechnu ostatní správu dat se používá stejně databáze, která konzistenci zajišťuje na vyšší úrovni.
6.9.2019 07:10 Peter Golis | skóre: 59 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Ak na disk(y) zapisuje aplikácia ktorá kvôli zvýšeniu výkonu používa asynchrónne diskové operácie, tak ti je ten žurnál len na ozdobu keďže ten snapshot nebude obsahovať dáta ktoré by mali byť konzistentné z pohľadu aplikácie.
6.9.2019 17:02 kvr
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Tak to si samozřejmě musí pohlídat samotná aplikace, aby data zapisovala ve správném pořadí. V případě asynchronous IO například zapsat celý payload a poté, co dostane potvrzení ukončení AIO, tak teprve zapsat značku commitu (příklad transakční DB, ale platí obecně). Mezitím samozřejmě může probíhat jiné AIO na nezávislých datech.

Obecně to ale není problém transakcí, ale aplikace. Většinu problémů mezi filesystem a procesy lze vyřešit zárukou pořadí operací, což je nejspíš hlavní důvod, proč zájem o transakční filesystemy upadl.
7.9.2019 20:51 Peter Golis | skóre: 59 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Akurát že robiť stále flush cache je plytvanie výkonu diskov. Schválne, skúste si v práci napríklad zapnúť backup mode v databáze počas vykonávania uzávierky, a odmerajte si koľko krát to bude pomalšie.
8.9.2019 21:26 /dev/win
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
to by ma sef zabil ... a veduce 78 pobociek tiez... a to bezime na ZFS over NVME @ FreeBSD...
8.9.2019 21:40 Peter Golis | skóre: 59 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Tak potom prajem veľa zdaru pri recovery z takého snapshotu. Vyjsť to môže, al garantované to nebude.
Jendа avatar 5.9.2019 16:49 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
KAZDEJ zalohovaci system kupodivu zalohuje PRESNE to, co je aktualne na disku, a naprosto vubec ho nezajima, jestli je to dobre nebo ne, protoze to nema naprosto jak zjistit.
A proto zálohuji s historií, aby když zjistím, že před týdnem se na disku udělalo něco špatně, tak bych mohl obnovit zálohu starou 8 dní.
O jak moc dat pak pripadne prijde nezalezi vubec na systemu zalohovani, ale prave a vyhradne na aplikaci.
Hovoříme o situaci, kdy je systém zálohování možná postavený tak, že tu historii nedokáže uchovat.
ZADNEJ filesystem NEUMI a NIDKY nebude umet zajistit konzistenci dat.
O tomto vůbec nehovoříme.
4.9.2019 10:12 MP
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Slusne receno, ve srovnani s Windows je sifrovani v Linuxu slusny pruser.

Umi luks2 presifrovat disk za behu? Umi luks2 jednoduchym zpusobem pouzit TPM? Podpora pri startu systemu? atd...

Bitlocker nastavim ja nevim, v 5 krocich s podporou TPM a je vyreseny i boot/update, zaloha klicu na ruzna mista...

Jako linux admin jsem dost rozladeny (komplikuje mi to praci).
4.9.2019 11:27 Peter Golis | skóre: 59 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
A akú má človek záruku že ten bitlocker neodomkne univerzálny šperhák od výrobcu toho closed source riešenia? Bez toho sa jedná len o placebo ktoré je v prípade bezpečnosti dosť závažným rizikom.
4.9.2019 12:22 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Podle me je zas slusny pruser verit TPM. Uz jsem videl hodne "slusnych pruseru" ze strany vyrobcu HW, tak nevim proc bych jim mel sverovat zrovna sifrovaci klice.

Na co je potreba presifrovat disk za behu? Nevim jak to ma LUKS, ale vetsinou mas primarni klic zasifrovanej sekundarnim klicem, takze presifrujes jen ten, kdyz chces treba zmenit passphrase.
5.9.2019 15:54 MP
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Od toho jsou recovery keys, kdyby neco. Navic, oproti luks2 to chrani alespon proti vybrani disku ze stroje, aniz by to narusilo schopnost stroje nabootovat.
Jendа avatar 4.9.2019 13:37 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Slusne receno, ve srovnani s Windows je sifrovani v Linuxu slusny pruser.
Mně naopak přijde jako průser ta neprůhlednost šifrování (stejně jako asi tak všeho dalšího) na Windows.
Umi luks2 presifrovat disk za behu?
Ne, jenom offline inplace (cryptsetup-reencrypt). Jaký je usecase? Já jsem reencrypt použil při duplikování VM aby měly jiný klíč (což je na tom duplikátu offline operace) a jednou snad pro změnu módu šifry za silnější.
Umi luks2 jednoduchym zpusobem pouzit TPM?
Ne, to by bylo proti unixové filozofii. LUKS má API jak mu předat klíč, a je na jiné utilitě, aby mu klíč předala (a je jedno jestli si ho sežene z TPM, po SSH nebo odkud).
Podpora pri startu systemu?
Opět, toto není věcí LUKSu, ale startovacích skriptů. Všechny distribuce které jsem používal (Debian, Arch, Ubuntu) mají podporu pro šifrovaný / už cca. 10 let, z toho 5 let doslova na jedno kliknutí/jeden příkaz (podle toho jestli používáte grafický nebo textový instalátor :) při instalaci.
Bitlocker nastavim ja nevim, v 5 krocich s podporou TPM a je vyreseny i boot/update, zaloha klicu na ruzna mista...
A necrackne to každý Franta se šroubovákem?
5.9.2019 16:02 MP
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Jenze ve Win to funguje, v Linuxu se s tim musi kazdy nadrit.

Use case pro presifrovani za behu: potrebuji nesifrovany disky zasifrovat. Tedy ne reencrypt, ale encrypt neceho, kde se s sifrovanim drive ani neuvazovalo - napr. zalohovaci masiny se storage v desitkach TB.

K cemu unix filozofie, kdyz Linux neni Unix? Ja potrebuji nastroj, ktery nastavim a funguje to out of box, ne to bastlit z X modulu (to at je volitelna konfigurace toho nastroje). Navic, zkuste zautomatizovat ten postup !

Umi ta podpora pri startu pocitat s tim, ze se aktualizuji kernely/initramfs apod? Pokud ano, tak muzu jeden bod skrtnout. A propos, vyzaduje to UEFI?
Jendа avatar 5.9.2019 16:55 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Jenze ve Win to funguje, v Linuxu se s tim musi kazdy nadrit.
Mně to v Linuxu funguje i bez nadření.
Use case pro presifrovani za behu: potrebuji nesifrovany disky zasifrovat. Tedy ne reencrypt, ale encrypt neceho, kde se s sifrovanim drive ani neuvazovalo - napr. zalohovaci masiny se storage v desitkach TB.
OK, good point. Tohle bohužel pro Linux neexistuje.
Ja potrebuji nastroj, ktery nastavim a funguje to out of box, ne to bastlit z X modulu
Protože když to bude jedna věc co „umí všechno“, tak za chvíli narazíš na něco, co ve skutečnosti neumí.
Navic, zkuste zautomatizovat ten postup !
Co? Představuju si to tak, že si ten skript k odemčení přes TPM přidáš do /etc/initramfs-tools/hooks/něco a to pak máš na všech strojích stejné.
Umi ta podpora pri startu pocitat s tim, ze se aktualizuji kernely/initramfs apod?
Eh, ano? Jak si představuješ že to funguje?
A propos, vyzaduje to UEFI?
Proč by proboha mělo? Kernel a initramfs se libovolným způsobem naloaduje a pak už se služby firmware nijak nevyužívají.
Josef Kufner avatar 5.9.2019 18:14 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Use case pro presifrovani za behu: potrebuji nesifrovany disky zasifrovat. Tedy ne reencrypt, ale encrypt neceho, kde se s sifrovanim drive ani neuvazovalo - napr. zalohovaci masiny se storage v desitkach TB.
man cryptsetup-reencrypt praví:
To encrypt data on (not yet encrypted) device, use --new with combination with --reduce-device-size or with --header option for detached header.
Tedy není to za běhu, ale aspoň to je in-place. Pokud bych to chtěl za běhu a nemuselo to být in-place, tak by se dalo uvažovat o triku s RAID 1, kdy bych přidal šifrované zařízení a odebral nešifrované. Výpadek by byl jen na remount do RAIDu, ale během přešifrovávání by to bylo dostupné.
Hello world ! Segmentation fault (core dumped)
6.9.2019 11:16 MP
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Coz je milionkrat rizikovejsi zpusob, pokud napr. dojde k restartu serveru, tak jsou vsechna data v pr...
Josef Kufner avatar 6.9.2019 11:21 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
A nebyla by to jinak nuda?
Hello world ! Segmentation fault (core dumped)
Jendа avatar 6.9.2019 17:58 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Naopak, ne? Když to šifruješ do RAIDu a resetuje se server, tak v nejhorším stačí tu neúplnou kopii zahodit a začít znova. Zatímco pokud šifruješ blokové zařízení inplace, tak po resetu nevíš kde přesně jsi skončil. Leda že bys měl externí datový žurnál, což znamená 2x víc zápisů než by bylo potřeba. (jiná věc je šifrování na úrovni souborů žurnálovacího FS)
Josef Kufner avatar 5.9.2019 18:27 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Co? Představuju si to tak, že si ten skript k odemčení přes TPM přidáš do /etc/initramfs-tools/hooks/něco a to pak máš na všech strojích stejné.
Stačí do /etc/crypttab nebo do parametru jádra přidat volbu keyscript=něco, kde něco je cesta ke skriptu, který získá klíč a vypíše ho na stdout. Pak ještě je potřeba přidat ten skript do initramfs, pokud ho tam nějaký balíček ještě nedal.

Tedy těch X modulů je dva (cryptsetup, TPM) a propojíš je jednou vobou a jedním triviálním skriptem.
Hello world ! Segmentation fault (core dumped)
Max avatar 4.9.2019 15:16 Max | skóre: 68 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Bitlocker má jednu velkou výhodu s TPM a jednu nevýhodu. Výhodou je možnost odemykat volume přes síť. Když tedy není uživatel přítomen, je možné otočit PC a pokračovat v údržbě aniž by člověk měl fyzický přístup k PC. Pro správu tedy ideální. Jak moc bezpečnostních slabin to má, to je otázkou. Nicméně primárně se většinou řeší šifrování kvůli reklamacím vadných disků, případně kvůli krádeži ntb. Automatické odemykání v rámci firemní sítě tedy nemusí být v těchto případech tak extra zabezpečené.

Nevýhou je, že člověk nemůže mít zapnutý fast start, nemůže si připojovat a odpojovat některé věci k ntb, jak se mu zachce, protože win zjistí změnu hw a místo PINu pak vyžadují recovery key (docela dlouhé číslo, které je dobré si zálohovat do AD).
Zdar Max
Měl jsem sen ... :(
4.9.2019 21:12 Zdenek 'Mst. Spider' Sedlak | skóre: 38 | blog: xMstSpider
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Neni problem, fast start stoji za velky smradlavy stejne, takze to automaticky vypiname.
Jendа avatar 5.9.2019 02:08 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Bitlocker má jednu velkou výhodu s TPM a jednu nevýhodu. Výhodou je možnost odemykat volume přes síť. Když tedy není uživatel přítomen, je možné otočit PC a pokračovat v údržbě aniž by člověk měl fyzický přístup k PC.
To snad nesouvisí s TPM, přímo v článku je návod jak tohle udělat pomocí dropbearu v initramdisku.
5.9.2019 07:56 j
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Ony umej widle sifrovat? A od kdy? JO a ha, widle jakoze sifrujou ... ale jen data, sytem sifrovat vubec neumej ... takze si tam kdokoli muze nahrat cokoli a pak staci uz jen pockat, az se user prihlasi ze? A nebo jeste lip, nastartovat ophcrack a za 10s ma hesla 80% useru ze?
5.9.2019 08:29 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Ehm...
4.9.2019 22:13 3bit
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Proxmox velmi nepoznam, ale spytam sa tych co s nim pracuju, da sa nadefinovat samostatne SSD na read cache aj samostatne SSD na write cache? Dakujem.
5.9.2019 02:51 Harvie.CZ
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Proxmox neni storage. Muzes pouzivat libovolnou storage co jede na Linuxu. ZFS treba tohle umi. Nevim jak bcache.
5.9.2019 07:58 j
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Tohle na tuxovi udelas s libovolnym FS, jen sem si skoro 100% jistej, ze to je neco, co rozhodne delat nechces. Protoze typicky presne to, co si prave zapsal chces precist.
cbrpnk avatar 5.9.2019 10:48 cbrpnk | skóre: 2 | blog: bl0gium
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Ale veď keď je HW na UPS tak je to jedno, nie ? Akurát že to bude rýchlejšie... A keď SSD budú trebárs 2TB na zápis a 2TB na čítanie tak zrýchlenie musí byť enormné...
5.9.2019 11:46 Peter Golis | skóre: 59 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Samozrejme. Najmä ak aplikácia chce prečítať to, čo zapísala. Skús opísať kadiaľ by to teda cestovalo, a koľko krát.
8.9.2019 22:38 Aleš Kapica | skóre: 49 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
V tom blogu má chybu, kterou jsi převzal. Sice ne zásadní, ale někoho by mohla mást. Jako příklad portu na kterém ná dropbear naslouchat píše 12345, ale v následujícím ukázkovém konfigu je vidět, že použil 2222.

Další věc – zrovna dnes jsem dropbear instaloval (Debian unstable) – měnit číslo portu není nutné, pokud se nepovolí jeho spouštění i v nastartovaném systému (tak jak je to uvedeno zde). Dropbear se spustil automaticky, když nastal v ramdisku problém. Bylo jenom potřeba naimportovat klíče (tak jak je popsáno zde).

Taky není nutné nastavovat IP adresu pokud si ji stroj bere z DHCP.
8.9.2019 22:42 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
V tom blogu má chybu, kterou jsi převzal. Sice ne zásadní, ale někoho by mohla mást. Jako příklad portu na kterém ná dropbear naslouchat píše 12345, ale v následujícím ukázkovém konfigu je vidět, že použil 2222.
Diky, par chyb jsme zachytili jiz pri prekladu, o tomto autora take informuji...
Další věc – zrovna dnes jsem dropbear instaloval (Debian unstable) – měnit číslo portu není nutné, pokud se nepovolí jeho spouštění i v nastartovaném systému (tak jak je to uvedeno zde). Dropbear se spustil automaticky, když nastal v ramdisku problém. Bylo jenom potřeba naimportovat klíče (tak jak je popsáno zde).
To dava smysl, ale tohle si radeji otestuji sam a muj testovaci server je tedka v zapujcce.
Taky není nutné nastavovat IP adresu pokud si ji stroj bere z DHCP.
To je ponekud logicke...
9.9.2019 07:01 Aleš Kapica | skóre: 49 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
K tomu dhcp. Logické to je, ale pokud někdo půjde podle postupu, tak mu to jasné být nemusí. Řešil jsem teď diskless přes Wi-Fi, a u původního postupu pro nahození Wi-Fi v ramdisku, co jsem našel na netu, se jméno Wi-Fi rozhraní předávalo přes ip=
9.9.2019 07:55 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
A neměl bych ještě čtenářům připomenout, že postup nebude fungovat pokud nebudou mít připojené médium na první vrstvě ISO/OSI modelu? V článku je v dané sekci odkaz na dokumentaci, takže své konkrétní use-casy si člověk může dovodit z ní.
9.9.2019 14:32 Aleš Kapica | skóre: 49 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
To platí jen pokud používají defaultní nfs skript ;-) Upřímně řečeno, je dost primitivní, ale na jednoduché věci to stačí.
9.9.2019 14:36 Aleš Kapica | skóre: 49 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Já se bavím tímhle.
10.9.2019 06:22 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Šifrovaný Proxmox VE 6: ZFS, LUKS, systemd_boot a Dropbear
Opověď originálního autora...
Cool!

Thanks for bringing this to my attention, this could really be confusing for readers! I was changing all the specific information on my setup to dummy values and this one slipped through my fingers, guess not everyone knows I'm really using port 2222^^ I will change the line it in the post!

Changing the port however is important, because I'm not importing the Openssh key from the openssh server that is already installed. I'm instead converting the key that Dropbear generates automatically when it is installed. The openssh server that is running once the system has booted up is using different keys. When I run Dropbear on port 22 I still get the MITM warning.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.