abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Virtuální Bastlírna vol. 57: investiční paměti a disky?
    dnes 13:11 | Pozvánky

    Chcete vědět, co se odehrálo ve světě techniky za poslední měsíc? Nebo si popovídat o tom, co zrovna bastlíte? Pak dorazte na prosincovou Virtuální Bastlírnu s mikrofonem a kamerou, nalijte si něco k pití a ponořte se s strahovskými bastlíři do diskuze u virtuálního piva o technice i všem možném okolo. O čem budou tentokrát strahováci referovat? Téměř každý už si všiml významného zdražení RAM a SSD, jsou zde ale i příjemnější zprávy. Průša uvádí

    … více »
    bkralik | Komentářů: 0
    NÚKIB upozorňuje na škodlivé kybernetické aktivity čínských společností I-S00N a Integrity Tech
    dnes 12:55 | Bezpečnostní upozornění

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) podporuje vyjádření partnerů ze Spojeného království, kteří upozorňují na škodlivé aktivity společností Anxun Information Technology (též „I-S00N“) (pdf) a Beijing Integrity Technology (též „Integrity Tech“) působících v kyberprostoru a sídlících v Čínské lidové republice (ČLR). Tyto společnosti jsou součástí komplexního ekosystému soukromých subjektů v ČLR,

    … více »
    Ladislav Hagara | Komentářů: 2
    Pebble Index 01
    dnes 04:55 | IT novinky

    Společnost Pebble představila (YouTube) prsten s tlačítkem a mikrofonem Pebble Index 01 pro rychlé nahrávání hlasových poznámek. Prsten lze předobjednat za 75 dolarů.

    Ladislav Hagara | Komentářů: 3
    Konec JetBrains Fleet
    dnes 04:22 | IT novinky

    Společnost JetBrains v listopadu 2021 představila nové IDE s názvem Fleet. Tento týden oznámila jeho konec. Od 22. prosince 2025 již nebude možné Fleet stáhnout.

    Ladislav Hagara | Komentářů: 1
    Firefox 146.0
    včera 21:22 | Nová verze

    Byl vydán Mozilla Firefox 146.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 146 bude brzy k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 0
    DIA spustila samoobslužný portál domény gov.cz pro úřady
    včera 17:00 | IT novinky

    Před rokem převzala Digitální a informační agentura (DIA) vlastnictví a provoz jednotné státní domény gov.cz. Nyní spustila samoobslužný portál, který umožňuje orgánům veřejné moci snadno registrovat nové domény státní správy pod doménu gov.cz nebo spravovat ty stávající. Proces nové registrace, který dříve trval 30 dní, se nyní zkrátil na několik minut.

    Ladislav Hagara | Komentářů: 7
    IBM kupuje za 11 miliard USD firmu Confluent
    včera 11:33 | IT novinky

    IBM kupuje za 11 miliard USD (229,1 miliardy Kč) firmu Confluent zabývající se datovou infrastrukturou. Posílí tak svoji nabídku cloudových služeb a využije růstu poptávky po těchto službách, který je poháněný umělou inteligencí.

    Ladislav Hagara | Komentářů: 0
    NSS podruhé zrušil pokutu za únik zákaznických údajů z e-shopu Mall.cz
    včera 01:55 | IT novinky

    Nejvyšší správní soud (NSS) podruhé zrušil pokutu za únik zákaznických údajů z e-shopu Mall.cz. Incidentem se musí znovu zabývat Úřad pro ochranu osobních údajů (ÚOOÚ). Samotný únik ještě neznamená, že správce dat porušil svou povinnost zajistit jejich bezpečnost, plyne z rozsudku dočasně zpřístupněného na úřední desce. Úřad musí vždy posoudit, zda byla přijatá opatření přiměřená povaze rizik, stavu techniky a nákladům.

    Ladislav Hagara | Komentářů: 11
    FSFE zrušila svůj účet na X (Twitter)
    8.12. 18:44 | Komunita

    Organizace Free Software Foundation Europe (FSFE) zrušila svůj účet na 𝕏 (Twitter) s odůvodněním: "To, co mělo být původně místem pro dialog a výměnu informací, se proměnilo v centralizovanou arénu nepřátelství, dezinformací a ziskem motivovaného řízení, což je daleko od ideálů svobody, za nimiž stojíme". FSFE je aktivní na Mastodonu.

    Ladislav Hagara | Komentářů: 33
    Paramount nabízí za Warner Bros. více než Netflix
    8.12. 17:55 | IT novinky

    Paramount nabízí za celý Warner Bros. Discovery 30 USD na akcii, tj. celkově o 18 miliard USD více než nabízí Netflix. V hotovosti.

    Ladislav Hagara | Komentářů: 3
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (34%)
     (48%)
     (19%)
     (17%)
     (22%)
     (15%)
     (24%)
     (16%)
     (18%)
    Celkem 450 hlasů
     Komentářů: 18, poslední 2.12. 18:34
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Je disk po instalaci opravdu zašifrovaný?
    Štítky: ahoj, disk, distribuce, EFI, fdisk, filesystem, GPT, heslo, I/O, klávesnice, Linux, nevi, přihlášení, rozdělení disků, server, SSH, sudo, system, Ubuntu

    Dotaz: Je disk po instalaci opravdu zašifrovaný?

    22.10.2021 13:49 -HOST-
    Je disk po instalaci opravdu zašifrovaný?
    Přečteno: 729×
    Ahoj, nainstaloval jsem na server Ubuntu 20.x, zvolil instalaci na cely disk, zasifroval cely disk. Po instalaci restartoval server, zadal heslo pro unlock disku a cekal az najede system. Nyni system najel a zastavilo se to na možnosti prihlaseni (byl jsem fyzicky u toho hw) ale ja se klavesnice ani nedotkl a najednou se zacaly vypisovat nejake jako by ssh klice nebo neco takoveho, trvalo to jen chvili. Neví někdo co to mohlo byt? Diky

    Jsou ty disky opravdu zasifrovane? 
    sudo fdisk -l

Disk /dev/loop0: 48,92 MiB, 51277824 bytes, 100152 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes


Disk /dev/loop1: 28,7 MiB, 29433856 bytes, 57488 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes


Disk /dev/loop2: 61,98 MiB, 64962560 bytes, 126880 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes


Disk /dev/nvme0n1: 20 GiB, 21474836480 bytes, 41943040 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 02175BAD-C72A-4EC8-95C1-8095869539C0


Device           Start      End  Sectors  Size Type
/dev/nvme0n1p1    2048  1050623  1048576  512M EFI System
/dev/nvme0n1p2 1050624  3147775  2097152    1G Linux filesystem
/dev/nvme0n1p3 3147776 41940991 38793216 18,5G Linux filesystem


Disk /dev/mapper/dm_crypt-0: 18,49 GiB, 19845349376 bytes, 38760448 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes


Disk /dev/mapper/ubuntu--vg-ubuntu--lv: 18,49 GiB, 19843252224 bytes, 38756352 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes

    Řešení dotazu:

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    Max avatar 22.10.2021 14:35 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    "/dev/mapper/dm_crypt-0" značí zašifrovaný oddíl.
    Pokud jsi byl v konzoli, kde to chtělo login a heslo, tak takovou věc můžou přepsat třeba nějaké hlášky z kernelu.
    Příště to vyfoť a je možné ti říci více.
    Zdar Max
    Měl jsem sen ... :(
    22.10.2021 14:50 -HOST-
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    Díky. Tak že jsem chtěl vytvořit jednu partition ale systém patrně nesouhlasil a vytvořil rovnou 8 partitions? a pouze jednu zašifroval? Ach jo.
    Max avatar 22.10.2021 15:01 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    Ne, vytvořil tři: 
    /dev/nvme0n1p1    2048  1050623  1048576  512M EFI System
/dev/nvme0n1p2 1050624  3147775  2097152    1G Linux filesystem
/dev/nvme0n1p3 3147776 41940991 38793216 18,5G Linux filesystem
    První je EFI, kde je základní boot (Windows to mají stejné). Druhá je 1GB pro bootloader a třetí je 18,5GB, nad kterou je vytvořený zašifrovaný luks "/dev/mapper/dm_crypt-0". A na tom zašifrovaném luksu je Ubuntu "/dev/mapper/ubuntu--vg-ubuntu--lv".
    Zdar Max
    Měl jsem sen ... :(
    22.10.2021 16:16 -HOST-
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    Děkuji za objasnění
    22.10.2021 15:19 MM
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    "nejake jako by ssh klice" mohl server při prvním spouštění vytvářet pro pozdější připojení přes ssh. Pravděpodobně se vytvářejí paralelně, skončily a vypsaly otisk pro ověření až po zobrazení loginu.
    22.10.2021 15:53 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    Pokiaľ fdisk -l vypisoval 
    /dev/nvme0n1p3 3147776 41940991 38793216 18,5G Linux filesystem
Disk /dev/mapper/dm_crypt-0: 18,49 GiB, 19845349376 bytes, 38760448 sectors
    Tak to vyzerá že máš klasické rozdelenie:
    1. sda1 /boot/EFI
    2. sda2 /boot
    3. sda3 encrypted, na ktorom sa po odomknutí nájde LVM s jediným systémovým diskom a SWAPom
    Skús sem hodiť výstup z príkazu: 
    lsblk |grep -v snap
    Akurát by ma zaujímalo aký server má dnes tak malý 20G disk. To je nejaká hračka?
    22.10.2021 16:20 -HOST-
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    Taky díky, ten příkaz lsblk |grep -v snap už nespustím, nainstaloval jsem tam Debian 11.x, ten umí zašifrovat celý disk. K tomu disku 20GB, využívám jen cca 500 - 700 MB a menší jsem nesehnal.
    22.10.2021 17:48 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    Debian a ani iný OS nedokáže naštartovať z kompletne zašifrovaného disku, Ak teda firmware nevie ten disk rozšifrovať disk. To ale nie je limitácia OS.

    Ale NVMe disk o veľkosti 20G je pekná vec, kde to predávajú? Rád si také niečo kúpim ako prívesok.
    22.10.2021 22:34 Fredy72 | skóre: 9
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    Kompletně sice né, ale vyjma zavaděče ano.
    k3dAR avatar 22.10.2021 22:53 k3dAR | skóre: 63
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    v Debian instalatoru jde "naklepat" sifrovani vcetne /boot oddilu, resp. nepotrebuje si vytvaret oddelenej nesifrovanej oddil pro boot jako to dela *buntu, kdyz instaluju *buntu pripravim si sifrovanej disk bez oddeleneho boot sam ;-)
    porad nemam telo, ale uz mam hlavu... nobody
    23.10.2021 01:55 -HOST-
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    A prozradíš jak to děláš?
    23.10.2021 08:30 Fredy72 | skóre: 9
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    https://www.dwarmstrong.org/fde-debian/
    k3dAR avatar 23.10.2021 12:42 k3dAR | skóre: 63
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    Příloha:
    uz sem prozradil, tady to zacalo :-) aktualni davam do prilohy... na zacatku skriptu je hromadka promenej i s vysvetlivkama, snad jsou tam vse, po nastaveni tech promenejch podle sebe pustis skript z live pres sudo...

    obecne jde o ukony: 
    - vytvorit na disku GPT
- oddil 1 cca 1MB, s priznakem bios_grub (pro pripadnej boot v legacy rezimu, pokud nehrozi neni treba vytvaret)
- oddil 2 cca 750MB-1GB s priznaky boot a esp (EFI oddil)
- oddil 3 zbytek
    oddil 2 zformatovat jako FAT32, na oddil 3 vytvorit LUKS, na nem LVM, v nem minimalne LV rootfs a swap(pokud chces hibernovat), pripadne home, boot, var, ~atd
    instalator pustit s parametrem -b aby neinstaloval zavadec, priradit LV prislusnejm "dir" pripojeni (rootfs jako / atd)
    po dokonceni instalatoru nerestartovat, ale v /target/etc/default/grub pridat radek: GRUB_ENABLE_CRYPTODISK=y
    provest chroot do /target (nutno pripravit chroot, instalator i kdyz nechas okno "restartovat nebo dale zkouset" tak odpojuje z target dev,dev/pts,proc,sys) a nainstalovat grub v uefi (a pripadne i legacy) rezimu... mozna sem na neco zapomel, pokud te zajima co se ma presne udelat a neches jen spustit ten skript, projdi si ho ;-)
    porad nemam telo, ale uz mam hlavu... nobody
    k3dAR avatar 23.10.2021 22:11 k3dAR | skóre: 63
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    zapomel sem uvest a Max mi to dole pripomel, pri rucni pripravce je LUKS potreva udelat ve verzi 1 volbou u crypsetup "--type=luks1"
    v luksuntu skriptu to je v nastavovaci sekci uvedene: 
    # verze LUKS, Grub podporuje (zatim?) pouze verzi "luks1", od *buntu 19.10 je vychozi pri luksFormat "luks2", pro odemceni Grubem je NUTNO vynutit "luks1"
LUKS_VER="luks1"
    porad nemam telo, ale uz mam hlavu... nobody
    23.10.2021 09:59 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    Až na drobnosť, EFI oddiel ktorý ostane nezašifrovaný.
    23.10.2021 11:32 Fredy72 | skóre: 9
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    V případě EFI ano, ale na něm je opět jen zavaděč.
    k3dAR avatar 23.10.2021 12:29 k3dAR | skóre: 63
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    nesifrovane EFI mi nevadi, misto Grubu pouzivam Sicherboot podepsanej vlastnima klicema a v UEFI odstranene vsechny ostatni ;-)
    porad nemam telo, ale uz mam hlavu... nobody
    Max avatar 23.10.2021 17:04 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    Pokud člověk používá grub, tak ten má myslím v případě šifrovaného /boot omezení v tom, že nelze použít LUKS2, ale musí se použít LUKS1. Osobně jsem to nezkoušel, jen jsem o tom četl, myslím, že ArchWiki to má také zmíněné. Jak je to v případě Sicherboot?
    Zdar Max
    Měl jsem sen ... :(
    k3dAR avatar 23.10.2021 22:08 k3dAR | skóre: 63
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    ze Grub2 nejde pouzit s LUKS2 potvrzuju, sicherboot sem s LUKS2 nezkousel...
    porad nemam telo, ale uz mam hlavu... nobody
    Josef Kufner avatar 23.10.2021 23:59 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    Sicherboot umí to, co umí kernel.
    Hello world ! Segmentation fault (core dumped)
    Max avatar 24.10.2021 00:39 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    Pokud to správně chápu, tak se Sicherboot nemáš kernel na šifrované partition, ale přímo na EFI partition a prostě spoléháš na to, že je podepsaný a nikdo ti ho nemůže pod rukama změnit / podvrhnout?
    Zdar Max
    Měl jsem sen ... :(
    23.10.2021 20:25 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    Na to bol predsa vyvinutý Secure Boot, a Sicherboot je jeden z nástrojov na jeho správne použitie.

    Ale lepšie by bolo, keby bol nejaký rozširujúci modul pre UEFI ktorý by zrušil potrebu mať nešifrovaný ESP oddiel. No ale to zatiaľ asi nie je ani pre Tiano. A vlastne to bola aj podstata otázky, či má celý disk zašifrovaný. Nemá, a asi ani nepotrebuje mať.

    I keď mi stále vŕta hlavou ten 20G NVMe. Ona to asi bude len virtuálka na ktorej si to najlepšie vyskúša.
    k3dAR avatar 23.10.2021 22:18 k3dAR | skóre: 63
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    samozrejme by bylo lepsi kdyby UEFI dokazalo dotazat LUKS heslo a efi binarku zavadece si brat primo z LUKS :)
    nicmene se sicherboot ses o 2 "stupne" na tom lepe, nez grub s /boot v luks (to by vyzadovalo aby utocnik do grub stage 1.5 naimplementoval krome keylogeru i podporu site a clienta pro odeslani hesla) nebo grub s /boot na nesifrovanem oddilu (tam utocnik naprosto snadno prebali initramfs s "keylogerem"(resp. prida radek do skriptu co se pta na luks heslo))

    u sicherboot asi hrozi "jen" ze vynda/zkratne CMOS baterku v horsim pripade preflashne bios aby zrusil heslo do BIOSu a/nebo vypnul SecureBoot...
    porad nemam telo, ale uz mam hlavu... nobody
    24.10.2021 08:50 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Je disk po instalaci opravdu zašifrovaný?
    U sicherboot a iných implementácií je ešte nejaké iné riziko. Ak si človek odzálohuje kľúče na kompromitovateľný disk, alebo zabudne vyhodiť tie čo tam boli pred tým. Alebo že má napadnuté UEFI ktoré nemusí kontroloxať podpis, aj keď to má nastavené. Toto posledné je už paranoia, ale človek nikdy nevie. Audit binárneho firmware je rovnako nemožný, ako audit vzdialeného prístupu cez MEI či ako sa volalo to KVM over IP s priamym prístupom do RAM a zvyšného HW.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.