abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 16:11 | IT novinky

Neziskové průmyslové konsorcium Khronos Group finalizovalo verzi 3.0 specifikace OpenCL (Open Computing Language). OpenCL je průmyslový standard pro paralelní programování heterogenních počítačových systémů.

Ladislav Hagara | Komentářů: 0
včera 14:55 | Pozvánky

The Catch, tj. hackerská soutěž organizovaná sdružením CESNET, je zpět. Začne v pondělí 12. 10. ve 12 hodin a 10 minut. Lstivé roboty z minulého roku letos překonává zákeřný vir RANSOMVID-20.

Ladislav Hagara | Komentářů: 3
včera 08:00 | Nová verze

Dylan Baker oznámil vydání Mesa 20.2.0. Změny zahrnují např. rozšíření podpory LLVMpipe s OpenGL 4.3+ a OpenGL ES 3.2; stručný přehled je v poznámkách k vydání. Uživatelé by ale měli převážně vyčkat opravnou verzi 20.2.1.

Fluttershy, yay! | Komentářů: 6
včera 07:00 | Nová verze

Byla vydána verze 26.0 svobodného softwaru OBS Studio (Open Broadcaster Software, Wikipedie) určeného pro streamování a nahrávání obrazovky počítače. Přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 0
29.9. 17:55 | Nová verze

Byla vydána betaverze Fedory 33, tj. o poslední zastávce před vydáním finální verze, která je momentálně naplánována na 20. října. Výchozí souborový systému byl změněn z Ext4 na Btrfs. Výchozí prostředí GNOME bylo aktualizováno na verzi 3.38. Mezi oficiální edice přibyla Fedora IoT.

Ladislav Hagara | Komentářů: 15
29.9. 14:22 | Zajímavý článek

David Revoy se před rokem rozhodl, že vydá svůj open source webový komiks Pepper&Carrot také knižně a ve vlastní režii. Použije k tomu pouze open source software. Nemá to jednoduché. V několika příspěvcích na svém blogu popsal problémy a jejich postupné řešení. Po roce testování je ale konečně s výsledkem spokojen.

Ladislav Hagara | Komentářů: 9
29.9. 14:00 | Komunita

Lukáš Bařinka oznámil vydávání série video cvičení Programování v shellu na YouTube.

Ladislav Hagara | Komentářů: 1
29.9. 11:11 | Zajímavý článek

Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 98 (pdf), HackSpace 35 (pdf), Wireframe 42 (pdf) a Hello World 14 (pdf).

Ladislav Hagara | Komentářů: 0
29.9. 08:00 | Nová verze

Byla vydána verze 8.4 OpenSSH. Blíží se ohlášený zákaz algoritmu „ssh-rsa“ kvůli zranitelnosti SHA-1.

Fluttershy, yay! | Komentářů: 0
28.9. 13:22 | Zajímavý projekt

Více než 60 moderních telefonů má díky práci týmu dobrovolníků SOMainline šanci na zařazení do oficiálního linuxového jádra. Patche pro podporu chipsetu SD630 a SD660, kterým jsou tyto telefony poháněny, jsou postupně začleňovány. Tým se soustředí na zprovoznění klasických linuxových distribucí pro telefony, ale věnuje se i zprovoznění běžného AOSP. Další tým vývojářů postmarketOS již delší dobu pracuje na podpoře chipsetu MSM8953, který umožňuje vdechnout život dalším nejméně 30 telefonům vydaných v letech 2017 a 2018.

David Heidelberg | Komentářů: 22
Používáte aplikaci eRouška?
 (19%)
 (3%)
 (2%)
 (12%)
 (51%)
 (8%)
 (6%)
Celkem 480 hlasů
 Komentářů: 35, poslední 20.9. 21:50
Rozcestník

Dotaz: šifrovaný disk pro notebook se swapem pro hibernaci

31.3. 19:16 lertimir | skóre: 63 | blog: Par_slov
šifrovaný disk pro notebook se swapem pro hibernaci
Přečteno: 534×
zdravím. budu instalovat nový notebook viz nadpis a rozvažuji mezi dvěmi konfiguracemi boot by byl efi->GRUB, a zašifrované vše včetně /boot oddělený oddíl na swap zašifrovaný se stejnými hesly (heslo zadávám a klič v initramfs v šifrovaném boot) jako jako root
nvme0n1
     p1
        EFI
     p2
        LUKS
            swap
     p3
        LUKS
            root - btrfs
nebo obojí swap a root mít v LVM
nvme0n1
    p1
        EFI
    p2
        LUKS
            LVM
                swap
                root - btrfs
manipulaci s velikostí swapu nebude potřeba.

Co si myslíte, že je lepší?

Odpovědi

31.3. 21:26 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Je to jedno, pokiaľ tam nebude rozumne nastavený secure boot aby niekto nepodhodil odchytenie hesla.

PS: Podobnú vec ako je v prvej voľbe som teraz niekedy riešil, ale na dvoch fyzických diskoch v NB zakryptovaných pomocou LUKS a spojených do jednej VG v ktorej je viacero LV. Zadávanie hesla mám riešené cez caching, aby ho to nepýtalo 2x. Chcel som to hodiť aj do blogu, ale teraz nevyšiel čas.
1.4. 14:55 lertimir | skóre: 63 | blog: Par_slov
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Zatím jsem neviděl notebok s vahou pod 1,5 kg s dvěma disky. Ale jestli je tak se rád poučím. BTRFS RAID1 bych měl radeji.
1.4. 15:51 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Jedná sa o NB v ktorom som vymenil optickú mechaniku za šachtu na pevný disk, aj s SSD. To už vyšlo z módy.
2.4. 23:39 lertimir | skóre: 63 | blog: Par_slov
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Něco kde je optická mechanika je tak 3 kg.
k3dAR avatar 3.4. 00:28 k3dAR | skóre: 59
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
T420s = 1.67kg, misto dvd mechaniky lze dat "suplik" na druhej 2.5" disk (nebo druhou baterii)...
+ krome interniho 2.5" disku, lze dat jeste mSATA SSD
porad nemam telo, ale uz mam hlavu... nobody
k3dAR avatar 31.3. 22:49 k3dAR | skóre: 59
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
pouzivam vsude druhou variantu(resp. s root-ext4 + LV boot), akorat bacha, jestli pouzivas *buntu (nevim jak to maj jinde), tak distribucni jadro se SecureBoot (umyslne) nedovoli (nesmyslne) hibernaci, udajne kvuli bezpecnosti, takze kde mam SecureBoot a chci hiernovat davam ubuntu-mainlne jadro v kterem to blokovane neni...
a druha vec, se SecureBoot misto GRUB/LUKS zavadece doporucuju sicherboot+vlastni_klice
porad nemam telo, ale uz mam hlavu... nobody
1.4. 10:43 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
... *buntu ... distribucni jadro se SecureBoot (umyslne) nedovoli (nesmyslne) hibernaci, udajne kvuli bezpecnosti
Toto by ma zaujímalo. Vzhľadom na moje lenivé plány som si to nasimuloval v 64Bit VM s UEFI OVMF na Ubuntu 20.04, a normálne mi to s jadrom linux-signed-generic/now 5.3.0.24.28 hibernuje. Jediný zádrhel bol vo veľkosti SWAP. Pri využití východzej inštalácie (kryptovaný disk s LUKS) robí Ubuntu zásadne len 1G SWAP, a do toho sa pri bežnom použití desktopu nedá hibernovať.

Keď to budem robiť na ostro, tak mám očakávať nejaké problémy ktoré sa nedajú nasimulovať?

PS: Tie plamenné diskusie že pri LUKS nie je dobré hibernovať lebo medveď som čítal, ale nikde nemali žiaden logický argument.
k3dAR avatar 1.4. 22:22 k3dAR | skóre: 59
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
hele, nevim zda sem to zkousel s 5.3(=18.04.4), ale s 5.0(=18.04.3) to urcite jeste neslo, za hodku budu u NB kde to mam a overim...
jinak ve virtualu si mel OVMF se SecureBoot a zaplej?
ad vychozi install, nevim jak v 20.04 a nejsem si teda jist ani s 18.04 jak FDE na UEFI, ale ja si disk pripravim predem abych mel i /boot sifrovanej, minimalne na legacy default install delal boot mimo, i kdyz stacilo aby instalator pridal 1 parametr pro grub a 1 radek pro auto druhe odemceni klicem do initramfs...

jj, take sem toho "medveda" nechapal, argument byl ze to neni bezpecne, ale pritom zacatek boot pri start i probuzeni je naprosto totoznej, jedinej rozdil je v tom, zda initramdisk z LUKS swap obnovi stav nebo ne, ale to uz probiha samozrejme az po odemceni LUKS...
porad nemam telo, ale uz mam hlavu... nobody
2.4. 08:57 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Ten zbytočný limit 1G na SWAP pri wizzarde je už niekoľko rokov. Z môjho pohľadu sa jedná o jedinú prekážku pre hibernáciu (okrem nekompatibility ovládačov HW, čo sa dá forsnúť).

OVMF som mal síce zapnuté, ale služby TPM sa mi nechcelo inštalovať a passthrough do fyzického TPM som nechcel použiť. Takže SecureBoot sa tváril ako zapnutý, ale bol neaktívny.

Ohľadne tej akoby nebezpečnosti hibernácie, tak som čítal nesprávne argumenty že hibernácia do kryptovaného swapu je moźná, ale obnova už nie. Najmä ak sa obnovuje až po odomknutí LUKS a detekcii LVM z initrd kde je ten swap už čitateľný. Boli tam aj podobné veci ktoré sa počas histórie zneplatnili.

Existuje jediný argument ktorý by som zobral. Teda ak sa použijú cudzie kľúče (napríklad od MS ktoré tam boli pchané kvôli dualbootu), tak je toto celé len placebo. A tie kľúče sú posvätené pri všetkých distribúciách. Z tohot sa dá utiecť jedine cez niečo ako spomínaný sicherboot s vlastnými kľúčami. To mám na pláne neskôr, ale bez záväzkov.
k3dAR avatar 10.4. 07:00 k3dAR | skóre: 59
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
tak overeni az ted, Xubuntu 18.04.4, FDE/LUKS, aktualni jadro, zaplej SecureBoot a pri:
systemctl hibernate
dostanu hlasku:
"failed to hibernate system via logind: sleep verb not supported"
nejake info k tomu:
https://askubuntu.com/a/1125038
https://bugzilla.redhat.com/show_bug.cgi?id=1467045
ocividne tvurce patche netusi o tom ze by swap mohl byl na LUKS kde ta moznost kompromitovani swap proste neni...
porad nemam telo, ale uz mam hlavu... nobody
10.4. 07:40 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Presne takú chybu som dostával aj ja, až do doby kým som nezväčšil SWAP na rozumnú veľkosť a nepoužil novšie jadro. Viac som sa s tým nekašľal.

To odopretie hibernácie na zašifrovaný swap je nezmysel. Oveľa väčší bezpečnostný problém je Sleep, aj s Cold Swap RAM bez kompletnej enkrypcie RAM ktorá sa až teraz niekedy dostáva do HW.
k3dAR avatar 10.4. 18:09 k3dAR | skóre: 59
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
pokus novejsim jadrem myslis mimo systemovej repositar, tak jak sem psal jinde s Ubuntu MainlineBuld to chodi, tam ten patch neni protoze Linus ho neprijal, a nemuselo jit o novejsi, tehdy sem to zkousel s totoznou verzi jadra jako s v repositari...
ohledne velikosti SWAP, vcera sem to zkousel na novem stroji kde mam zatim 4GB RAM, ale SWAP udelal 18GB ;-)
prave ten patch nevnima moznej LUKS, a ignoruje to ze pri suspend do ram, zustava pripadnej LUKS odemcenej, takze narozdil od bezpecne SecureBoot hibernace z/do LUKS swap, muze utocnik zneuzit pripadne chyby lock/screensaver reseni pri resume from sleep a dostal by se k odemcenemu LUKS...
porad nemam telo, ale uz mam hlavu... nobody
k3dAR avatar 10.4. 18:16 k3dAR | skóre: 59
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
potvrzuji, i na tomto stroji, stacilo nainstalovat ubuntu mainline jadro, restartovat a hibernace jde, v obou pripadech slo o zaplej SecureBoot, z EFI smazane default klice, sicherboot a nahrane vlastni klice (nejdriv sem zkousel s SB on, default klicema a Grub)
porad nemam telo, ale uz mam hlavu... nobody
k3dAR avatar 10.4. 18:26 k3dAR | skóre: 59
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
btw: ten patch je v 20.04 trochu jinak nez v bionic ale predpokladam/obavamse ze je to jen sledovani prejmenovane ci rozsirene "detekce"
porad nemam telo, ale uz mam hlavu... nobody
10.4. 21:18 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Ten SWAP 18G si si ku 4G vyrobil sám?
k3dAR avatar 10.4. 22:00 k3dAR | skóre: 59
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
jj, rucne - protoze pocital ze tam vrazim 16GB RAM

overeno na stejnem stroji Xubuntu 20.04-Beta s EFI default klice, SB=on + default jadro = hibernace nejde
porad nemam telo, ale uz mam hlavu... nobody
11.4. 07:38 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
No, tak ja zatiaľ nemám voľný fyzický HW na odladenie. A virt-manager má síce možnosť práce so swtpm, ale nerád riešim custom made balíčky mimo VM. Vo fyzickej mašine sa veci z mimo repozitárov odstraňujú a hlavne udržiavajú horšie.
k3dAR avatar 11.4. 20:28 k3dAR | skóre: 59
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
chces vyuzivat TPM na automaticke odemceni? pokud ne, neni treba pro ciste UEFI+SB+DefaultKlice, nezkousel sem zda jde pouzit misto default vlastni, ale ani to by nemelo snad vyzadovat TPM (na fyzickem netreba)
porad nemam telo, ale uz mam hlavu... nobody
11.4. 20:38 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Chcem použiť TPM na uloženie mojich kľúčov pre Secure Boot.
1.4. 15:21 lertimir | skóre: 63 | blog: Par_slov
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Bude to na Archu. Podívám se na ten sicherboot.
1.4. 16:49 Andrej | skóre: 48 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Co si myslíte, že je lepší?

Co je lepší — bláto nebo louže? Obojí je špatně.

Swap má být soubor, nikoliv oddíl. Včetně hibernace na Btrfs.

Swap tedy není třeba řešit při inicializaci disku. Lze ho přidávat nebo odebírat kdykoliv, podle potřeby a (hlavně) bez zbytečného dělení diskového prostoru.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
k3dAR avatar 1.4. 21:30 k3dAR | skóre: 59
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
uniklo ti ze s LVM lze swap pridavat/odebirat take podle potreby a (hlavne) bez zbytecneho deleni diskoveho prostoru...
porad nemam telo, ale uz mam hlavu... nobody
2.4. 08:22 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Asi vychádzal z BSD kde SWAP na SSD musí byť v súbore, inak na ňom nezbehne TRIM. Alebo vychádzal zo starých čias, kedy mohol byť Linuxový SWAP v deravom (sparse) súbore. Už dávno nemôže, a musí to byť prealokované.
2.4. 14:19 Andrej | skóre: 48 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci

Ani jedna z hypotéz neplatí.

Vycházel jsem z dnešní linuxové reality.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
2.4. 17:16 Peter Golis | skóre: 60 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Zväčšenie stávajúcej LV alebo vytvorenie novej LV je rovnako zložité ako zväčšenie stávajúceho súboru alebo vytvorenie nového súboru. A to pri zachovaní rovnakých predpokladov, PV pre VG musí mať trocha voľného miesta, rovnako ako FS musí mať trocha voľného miesta v prípade práce so súbormi.
2.4. 14:18 Andrej | skóre: 48 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci

Tobě taky uniklo pár podstatných věcí:

  • LVM je dost tlustá a (v dobách Btrfs) zbytečná vrstva abstrakce navíc. Udržovat ji jen kvůli (zbytečnému) oddílu pro (zbytečný) swap pro (zbytečnou) hibernaci je overkill.
  • Je nesrovnatelně snazší prostě přidat soubor, než
    • zmenšit souborový systém,
    • zmenšit příslušný LVM oddíl,
    • vytvořit nový LVM oddíl pro swap.
    Pro odstranění nebo změnu velikosti swapu platí přibližně totéž.
ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
2.4. 19:20 N
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Souhlasim s timto nazorem, ackoliv nepouzivam LVM ani BTRFS ani LUKS ale jen Ubuntu s vychozim swap souborem a i hibernuju s pomoci tohoto postupu
k3dAR avatar 3.4. 00:42 k3dAR | skóre: 59
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
# zmenseni LVM i souboroveho systemu:
lvresize --size -1GiB /dev/vg/lv --resize-fs

# odstraneni LV swap
lvremove /dev/vg/swap
ad zbytecna hibernace, ty mas opravdu vychlastanej mozek... aby te fakta mene zatezovala: jak uspis do ram:
1. aby nezustal odemcenej LUKS
2. aby to slo probudit za pul roku bez pripojeneho adapteru
3. vypnuti a znovu pousteni vsech aplikaci neni odpoved
porad nemam telo, ale uz mam hlavu... nobody
3.4. 00:05 lertimir | skóre: 63 | blog: Par_slov
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Máš vyzkoušeno, že swapfile na btrfs je opravdu stabilní záležitost včetně hibernace???

Argumentaci sice rozumím, ale na druhou stranu mi nepřipadá zas tak špatné prostě rezervovat 8 nebo 16G na hibernaci. Stejně tlačit SSD někde k hranicím zaplněnosti je zbytečné, a jestli mám obsazenost 60% nebo 63% nemá tak velký rozdíl na práci toho SSD. Také nejsem si jist jestli je rychlostně jedno, jestli je swap oddíl nebo soubor, protože v oddílu je alokace na sektory jasná, kdežto v souboru musím zjistit z alokačních struktur, kudy soubor pokračuje v sektorech na disku. (ale chápu, že alokační struktury budou asi plně v paměti). A také chápu, že pro NVME je překlad sektorů do buněk stejně ještě jedna vrstva.

A jestli je hibernace zbytečná. No mohu buď notebook startovat z nuly. (což je rychlejší než z hibernace, ale zapomenu stav rozpracovanosti) nebo mohu jen ho uspávat, když chci zachovat rozpracovaný stav, (a to z hlediska bezpečnosti, když se k notebooku někdo dostane, mám za o dost horší, než vypnutý notebook s obrazem paměti ve swapu.)
Josef Kufner avatar 11.4. 10:31 Josef Kufner | skóre: 69
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Varianta s LUKS je default v Debianu. Ta první odstraní potřebu LVM, ale musíš pořešit bezpečné odemykání dvou oddílů (možností je povícero a je to jen trocha konfigurace). Overhead LVM v tomto případě je zanedbatelný. Použij to, co se ti líbí víc.
Hello world ! Segmentation fault (core dumped)
12.4. 01:15 lertimir | skóre: 63 | blog: Par_slov
Rozbalit Rozbalit vše Re: šifrovaný disk pro notebook se swapem pro hibernaci
Podívám se na ten sicherboot. více disků mi odemyká sd-encrypt. Potřebuji to i jinde na rootový btrfs RAID1.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.