AbcLinuxu:/ Poradna / Linuxová poradna / LUKS passphrase - jak zadat automaticky?

Štítky: Bash, disk, hesla, heslo, HTML, lama, luks, shelly, textové editory, Vim, web, www

Dotaz: LUKS passphrase - jak zadat automaticky?

9.2.2014 04:40 petrfm
LUKS passphrase - jak zadat automaticky?

Přečteno: 709×

Odpovědět | Admin

Ahoj, peru se tady se sifrovanym oddilem pro virtualizacni masinu. Chci, aby se po rozjeti sama odemkla, nejlepe stazenim hesla z netu - potrebuju, aby kdyz to odnesou a ja smazu tu stranku, aby se neodemkl disk.

Mam vytvoreny disk jako kontejner, pripojeny k /dev/loop0

a protoze jsem lama, chtel bych poprosit, jak udelat bash script, ktery bych pak pridal do cronu, nebo treba rc.local a ten by delal tohle :

cryptsetup luksOpen /dev/loop0 encrypted

udela tohle, ale pritom se mne nezepta standartne na heslo, ale to heslo si sam stahne ze stranky www.firma.cz/heslo.html, ktera obsahuje jen tu passphrase (pres .htaccess si osetrim, aby byla dostupna jen z IP serveru)

poradite, jak na to? neprisel jsem ani na to, jak zadat heslo do syntaxe toho prikazu. Pokud by se to podarilo, vim, ze se da nejak stahnout obsah html stranky a presmerovat ho "na klavesnici". Ale zaboha ted nemuzu najit, jak se to dela.

Pokud by se nasel nekdo ochotny, kdo by mi pomohl, byl bych moc rad.

Petr

Nástroje: Začni sledovat (1) ?

Odpovědi

9.2.2014 06:03 knee
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Ne heslem, ale vygenerovaným klíčem se to odemyká "poautomaticku". Aby to bylo alespoň trochu bezpečné řešení, je ten klíč potřeba zašifrovat s tím, že cílový stroj si klíč stáhne, dešifruje a pak jím odemkne oddíl a pak samozřejmě ten klíč zase vymaže. Má to ale i tak spoustu ale co se týče bezpečnosti ...

9.2.2014 07:06 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

wget -q -O - heslo | cryptsetup luksOpen /dev/sda2 foo

Jinak bych doporučil, když už, tak to alespoň netahat to po HTTP, ale HTTPS.

9.2.2014 12:01 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Nebo ten soubor s heslem zašifrovat pomocí GPG a dešifrovat až po stažení. A taky by se v tom URL nemělo vyskytovat slovo „heslo“ – dal bych tam spíš něco jako cron, ping, statistiky atd.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

9.2.2014 15:29 petrfm
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Diky moc, fakt mi nejde o nejakou bezpecnost, protoze to ma slouzit spise pro pripad, kdy ten server nekdo ukradne, aby z nej lehce nedostal data...

Delam vse podle tutorialu, cili jsem na bash jeste docela lama, chapu spravne, ze ten zapis tedy bude :

wget -q -O - http://firma.cz/heslo.html | cryptsetup luksOpen /dev/loop0 foo

mam to spravne?

9.2.2014 15:41 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Ano (tak to sakra zkus, ne?). A přečti si základy třeba co je |, stdin a stdout. Dobrý je na to Linux - Dokumentační projekt (jde stáhnout zadarmo a legálně i česky).

10.2.2014 12:32 petrfm
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Super, diky moc, uz to funguje... Popravde mne zmatlo to foo, nez jsem si uvedomil, ze je to jen pojmenovani toho sifrovaneho svazku. O rourach jsem si uz cetl, ale dokud to clovek nevyzkousi v praxi, v pameti mu to neutkvi. Holt, zacatky jsou tezke, ale protoze sifrovani je stezejni vec, pro tyhle me potreby, musel jsem to resit v zacatcich.

Muzu se jeste zeptat na radu, kam to umistit? Mam to ted napsane jako .sh skript, ktery postupne provede 3 kroky - pripoji kontejner, sahne si na heslo a primountuje odkodovany svazek do adresare. Vsechno to rucne slape, kdyz to spustim jako sudo bash script.sh Potrebuje to totiz prava roota.

Pokud to vrazim nekam do rc.local, bude se to spoustet samo s pravy roota? Jeste premyslim o tom strceni do cronu, ale pak ten script musim vybavit podminkou, aby se nespoustel, pokud uz je jednou provedeny.

Jdu nastudovat zavadeni systemu a cron :-)

10.2.2014 12:48 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Cron je na tohle nevhodný, ten má smysl pro periodicky spouštěné příkazy. Tohle chceš spustit jen jedno.

Ano, v rc.local se to spustí s právy roota. Pokud chceš jiného uživatele, musíš tam přidat su nebo sudo.

Ideální je na tohle init skript, kde definuješ závislosti na jiných službách¹ nebo řekneš, v jaké fázi bootování se to má spustit.

_{[1] např. tohle má smysl pouštět až ve chvíli, kdy bude nastavená síť, protože jinak by nešlo stáhnout to heslo}

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.2.2014 14:20 petrfm
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Jo, to je pravda... potrebuju to spoustet az nakonec a potom si jeste pridat rucni nahozeni virtual, ktere jedou z toho sifrovaneho oddilu, cili az uplne nakonec. Takze kdyz pouziju sudo nebo su ve spoustecim skriptu, tak se mne nebude ptat na heslo? To je ok, bal jsem se, aby neprerusil spousteni a nechtel zadat heslo. No musim to poradne procist, abych pak nerozhodil funkci toho proxmoxu, proto taky nesifruju hlavni oddil, ktery bezi na LVM, ale pridavam tam dalsi, ktery bude mit jen kontejner ulozeny na tom LVM. Cili mne napada, ze to zavisle i na tom, aby uz vsechny ostatni FS fungovaly.

10.2.2014 14:52 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Spouštěcí skripty se defaultně vykonávají pod rootem, sudo/su netřeba.

10.2.2014 15:00 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Pro přepnutí na roota ne, ale na jiného uživatele ano. Já např. nemám moc rád, když nějaký démon startuje pod rootem a pak odhodí privilegia a sám se přepne na jiného uživatele – radši ho spouštím přes sudo/su tak, aby ani chvíli ten proces neběžel pod rootem (samozřejmě ne vždy to jde, např. když jsou potřeba porty < 1024).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.2.2014 17:16 Sten
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

setcap 'cap_net_bind_service=+ep' program ;-)

10.2.2014 17:22 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Ale tyhle vymoženosti tu nebyly vždycky :-) BTW: jak to funguje pro Javu, Python, Perl, kde nechci dát práva té binárce, ale jen nějaké konkrétní interpretované aplikaci?

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.2.2014 15:21 petrfm
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Koukam, ze to nebude az takova sranda, protoze spousteni a spousteci skripty + jejich umisteni se ruzni podle distribuci. Ja testuju na Ubuntu a provozovat budu na debianu, tam snad nebude zasadni rozdil, kdyz ubuntu je na zakladech debianu.

Nasel jsem ale clanky, popisujici soubory, ktere v ubuntu vubec nemam :-)

asi stary clanek, nebo jine distro...

Asi budu koukat na init.rc ale zajima mne jedna vec - kdyz si takhle nahodim ten FS a mountnu si ho nekam, musim si napsat i druhou cast skriptu pro zastaveni, cili pro odmountovani, apod?

Nebo se o to system postara sam? nasel jsem totiz nejake navody, jak vecpat do jednoho scriptu cast pro spusteni i zastaveni, ale predpokladam, ze se to tyka spise sluzeb, ktere nejsou systemove a ktere si maji pred vypnutim nekam ulozit stavy/data, je tak?

Takze to muzu klasicky spustit a pri vypnuti te masiny si to system sam odpoji a ukonci? Pojede to urcite s UPSkou, takze bude na ukonceni dost casu, pac si neumim predstavit ten bordel, jaky by v tom sifrovanem kontejneru vznikl, kdyby to nekdo vyskubnul ze zasuvky :-)

))

10.2.2014 17:14 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

V Debianu se používá rc.local.

I ručně mountované FS se odpojují při vypnutí samy. A počítače se šifrovanými disky bohužel občas natvrdo vypínám (výpadek elektřiny, zatuhnutí…) a nic se nestalo. Proč by mělo?

10.2.2014 17:24 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

jj, taky mi nepřijde, že by to bylo nějak výrazně náchylnější než FS na nešifrovaném disku – párkrát se mi třeba přehřál a vypnul notebook a FS to přežil

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.2.2014 19:55 petrfm
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Mam to zazite z windows, ze kdyz je otevreny nejaky soubor a v prubehu zapisu se vypne, tak se ten soubor poskodi. Takze z toho jsem vydedukoval, ze pokud budu mit cely disk v jednom souboru - kontejneru, ktery bude pripojeny jako sifrovany FS, kdy asi urcite casti budou v mezipameti, aby to bezelo rychleji a vypnu napajeni, ze se ten soubor poskodi.

Pokud jsem jen nepochopil, jak to sifrovani funguje a ze pokud dojde k vypadku, se da ta poskozena cast dat opravit, potom OK, nicmene zalohovat napajeni urcite budu :-)

10.2.2014 20:24 petrfm
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Jinak uz mi to kompletne frci, vcetne automatickeho odemceni pres rc.local, cili vsem radcum MOC dekuju. Ted uz to jdu jen presunout z piskoviste na ostry server s proxmoxem, tak snad neprijdu o vsechny virtualky :-)

) radeji je bezim zalohovat.

11.2.2014 15:43 wtf
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

rek bych, ze zde naprosto nejlepse sedne odpoved: "neni zac."

kdyz to vidim, tak porad nechapu k cemu tazatel potrebuje luks, kdyz pak dela to co dela...

11.2.2014 15:55 petrfm
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Co je na tom tak sloziteho k pochopeni? Neznate rceni, ze pod lampou je nejvetsi tma? :-)

11.2.2014 16:10 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Psal, že mu jde o případnou krádež serveru. Pokud si je tedy vědom rizik a nebere to jako ochranu před útokem, který by byl cílený na ta data a někdo si ho připravil (odposlechl heslo na síti nebo ukradl i ten druhý server), tak v tom nevidím problém.

Ostatně disky můžeš klidně šifrovat i tak, že klíč budeš mít na tom samém serveru třeba na flashce – pak můžeš relativně s klidem ty disky reklamovat, když se porouchají.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

11.2.2014 17:03 petrfm
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

No slava, jsem rad, ze to nekdo chape :-)

pokud si nekdo da praci, tak jako laik stejne ten server nezabezpecim proti cilenemu utoku, protoze proste najde jinou skulinu a dostane se mi do nej klasicky a ta data si vykopiruje po siti ven. Jde mi o to, ze je umisteny v zamcene kancelari, kde mne uz jednou vykradli a nechci, aby se nekde valely volne firemni data... To same v pripade zabaveni PCR, nebo nejakym utokem ve snaze odnest si pocitace - treba i konkurenci. Pokud ten autorizacni retezec ulozim nekde v cizine a ten nekdo si nepripravi cestu u providera predem, je temer bez sance to prolomit, protoze kdyz pocitac odnesou, proste to smazu, nebo vypnu.

Presne jak pise xkucf03 - pokud to udelam trochu chytre, dokazu data DOBRE ochranit i priblblym klicem na flashce. Staci, kdyz ji zazdim do zdi a vytahnu jenom kabel. Uz vidim, jak zlodej, nebo nekdo, kdo jedna pod tlakem a v rychlosti bude pacit "neco" ze zdi.

Reklamace je samozrejme dalsi pripad :-)

11.2.2014 17:12 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

protoze kdyz pocitac odnesou, proste to smazu, nebo vypnu

Musíš to ale samozřejmě stihnout dřív, než útočník přijde na to, že si ten soubor má taky stáhnout. Asi by trochu pomohlo i omezení na stahování z té jedné IP adresy, protože by pak útočník potřeboval i tu firemní linku a vlastně by to musel udělat hned při kradení nebo se tam vypravit podruhé.

11.2.2014 17:27 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Případně tam ten soubor ve výchozím stavu nemít a nahrát ho tam až ve chvíli, kdy ti někdo důvěryhodný potvrdí, že server nikdo neukradl a třeba jen vypadnul proud. (pak by dával smysl ten cron – periodicky kontrolovat, zda virtuál běží, a pokud neběží, tak se pokusit stáhnout klíč a nastartovat)

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

11.2.2014 17:42 petrfm
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Ano, presne tak, protoze tohle reseni je prave proto, aby to najelo SAMO - pobezi na tom nejaky samba sdilec + voip ustredna, apod, takze to musi najet samo... Tak proto to bude "chranene" tou IP adresou... a nez to utocnik zjisti - co tam vubec je a ze tam neco takoveho je, uplyne mnoho hodin, ne-li dnu, abych to mohl smaznout :-)

Je to proste reseni ala - v jednoduchosti je krasa.

12.2.2014 02:40 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

To mi pak přijde lepší to rovnou odemykat po SSH.

12.2.2014 12:38 Milan Uhrák | skóre: 31 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

Ehm, tohle je myslím trosku složitý řešení ...

Takže : server je server, pořád musí běžet: klíč si stáhnu zásadně z lokálního PC (192.168, 10.10.) jakýmkoliv protokolem, po odcizení je padouchovi znalost získání hesla k ničemu.

varianta 2 : server běží jen občas, a slouží pro zálohy z hlavního serveru : oddíl mountuju z hlavního serveru (zásadně) kde je i heslo. Backup server se k hlavnímu může po RTC probuzení připojit skriptem, a přes ssh spustit na hlavním serveru skript, který provede připjení , zálohu a nakonec backup vypne.

12.2.2014 12:43 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

1) Aby zloděj/Dastych neodnesl i lokální PC…

12.2.2014 13:00 petrfm
Rozbalit Rozbalit vše Re: LUKS passphrase - jak zadat automaticky?

No vzdyt prave... kazde reseni kulha, nektere i na obe nohy... Protoze mi zadny dastych nehrozi, tak jsem to vyresil tak, jak jsem to vyresil a jsem spokojen. Pokud ma zase nekdo podezreni, ze ma napichnutou linku, pak po ni asi nebude prenasen nesifrovane heslo, to da rozum :-)

Taky je asi dost blahove si myslet, ze policajti si nemuzou vyzadat zalohy serveru, kde je to heslo nahrane, i kdyz ho smazu. S tim taky pocitam, ale jak rikam, primarne je to ochrana proti zlodejum, nebo cilenemu FYZICKEMU utoku - vykradenim za umyslem odneseni pocitace + ochrana dat na pripadne kleklem disku. A veliky duraz jsem kladl na to, aby mne ta ochrana soucasne neomezovala vice, nez chranila - takze ja jem spokojen, protoze vsechno chodi samo a pritom to "dokonale" chrani muj server :-)

Založit nové vlákno • Nahoru

Tiskni Sdílej: