LVM on LUKS

Разве не смогу я взять любое кол-во дисков, на них создать по физическому тому с шифрованием, на физических томах с шифрованием - по физическому тому LVM, после чего объединить их всех в группу томов и свободно использовать получившееся пространство, как мне приспичит?

Теоретически, насколько я понимаю, можешь. Мне кажется автор под «ограничением» подразумевал невозможность настолько же простого и прозрачного сабжа как LVM2 без Luks.

Мне всё кажется простым и прозрачным. Единственное лишнее действие, добавляющееся при работе с такой разметкой - это разблокировка физических шифрованных томов. Дальше - всё так же, как если бы их вообще не было.

Единственное лишнее действие, добавляющееся при работе с такой разметкой - это разблокировка физических шифрованных томов.

Так о том то и разговор. А в целом пирог из mdadm/luks/lvm2 можно собирать в любом порядке и он зраза всё равно будет работать!

Что ж, чудесно! Спасибо.

P.S. Не мог бы ты также высказаться по этому (Есть ли необходимость в шифровании /boot?) поводу?

P.S. Не мог бы ты также высказаться по этому (Есть ли необходимость в шифровании /boot?) поводу?

Зашифровать boot? Нахрена? Для лишней безопасности лучше сделай boot на любимой флешке которую ты никогда не оставляешь без своего внимания. Или вообще пили загрузку по сети.

Вот и я спрашиваю себя - нахрена? Хочу просто знать, есть ли в том необходимость.

Вот и я спрашиваю себя - нахрена? Хочу просто знать, есть ли в том необходимость.

В случае зашифрованного root для успешной загрузки нечто должно его расшифровать. Это нечто может быть initr/{d,amfs} само по себе (отдельно) либо интегрировано с ядром... Не суть важно. Главное нечто все равно должно расшифровать корень чтобы система смогла с него загрузится. В случае отдельного boot с ядром и initramfs у тебя первоначальная минисистема грузится с незашифрованного boot-а загружает средства для расшифровки корня, расшифровывает корень и дальше пошла обычная загрузка... Если boot у тебя тоже зашифрован чем ты собираешься его расшифровывать? А главное на кой хрен в случае зашифрованного корня шифровать еще и boot?

Если тебе не помог зашифрованный корень то и зашифрованный boot тебя не спасет.

А главное на кой хрен в случае зашифрованного корня шифровать еще и boot?

Мне кажется, что на промежутке между

расшифровывает корень

и

дальше пошла обычная загрузка

в случае подменённого initramfs в корень может быть заброшен зловред, а подменить initramfs на незашифрованном /boot не так уж и сложно.

Для лишней безопасности лучше сделай boot на любимой флешке которую ты никогда не оставляешь без своего внимания.

Не спасает от ситуации, когда злоумышленник приходит со своей флешкой и грузит что ему приспичит. Хотя, от этого спасёт пароль BIOS/UEFI

Если boot у тебя тоже зашифрован чем ты собираешься его расшифровывать?

GRUB2 умеет

Есть ли необходимость в шифровании /boot? (комментарий)

в случае подменённого initramfs в корень может быть заброшен зловред, а подменить initramfs на незашифрованном /boot не так уж и сложно.

Зловреды начинаются вовсе не с мифических «подмен initramfs» а еще с самого BIOS/UEFI. Так что забей, расслабся и просто получай удовольствие.

А для пущей сохранности «initramfs на незашифрованном /boot» тоже можно предпринять шаги... К примеру выводить контрольную сумму на экран и сверять её перед вводом паролей. Либо вообще автоматизировать этот процесс и держать контрольную сумму онлайн и громко орать если она не совпадает.

Двухэтапную аутентификацию (как в google ога) в систему тоже никто не отменял.

Зловреды начинаются вовсе не с мифических «подмен initramfs» а еще с самого BIOS/UEFI.

Можно поподробнее?

Можно поподробнее?

Можно. В твоей схеме шифрования root-а, boot-а и использовании grub2 с паролем есть один единственный изъян - ты по умолчанию доверяешь BIOS/UEFI и прочим фирмварям/блобам. Где гарантия того что твоё железо изначально не с «закладками» причём ещё в самом BIOS/UEFI? И какая разница сколько раз что-то там зашифровано и какими конкретно алгоритмами если закладка в самом BIOS/UEFI? Дальше думай сам.

Я полагаю, что если будет целиком зашифрована вся ОС, то абсолютно безразлично, что там обитает в BIOS/UEFI. Да и это - такая проблема, с которой я уже ничего сделать просто не могу (без того, чтобы стать РМС).

Я полагаю, что если будет целиком зашифрована вся ОС, то абсолютно безразлично, что там обитает в BIOS/UEFI.

«Если будет целиком зашифрована вся ОС» но в BIOS/UEFI будет закладка то тебе твоё шифрование поможет НИКАК потому что BIOS/UEFI работает всегда и имеет доступ к любому железу непосредственно и напрямую.

Эээ, это печально. Тем не менее, хочу сделать всё, что в моих силах. Вижу два способа: зашифровать /boot любым угодным мне методом, или же грузиться исключительно со своей флешки. Тем не менее, флешку тоже можно угнать, поколдовать и подбросить назад, так, чтобы я не заметил.

Видимо, всё упирается в физический доступ и действительно надо просто поставить ещё две-три двери в комнату с компом.

Видимо, всё упирается в физический доступ и действительно надо просто поставить ещё две-три двери в комнату с компом.

Либо просто проверять аутентичность посредством сравнения текущих контрольных сумм с полученными ранее и хранящимися в облаке.

Придётся при каждой обнове ядра обновлять значения, так?

Придётся при каждой обнове ядра обновлять значения, так?

Да как то так.

Пожалуй, я для начала просто сделаю отдельный /boot (остальное - физический том шифрования, на котором физический том LVM), а потом уже в спокойной обстановке поговорю с собой и решу, что с этим делать

Ну и, наверное, последний вопрос по теме - у меня два диска, так что, получится, что надо вводить пароль трижды - на отпирание /boot и двух физических томов. Нельзя ли сделать так, чтобы все это автоматом отпиралось по одному паролю? Я это вижу так: ввожу в GRUB2 пароль для отпирания /boot, он его кладёт в тот же /boot (безопасно), а оттуда его берёт initramfs для вскрытия физических томов.

Ну и, наверное, последний вопрос по теме

«Пароль» может быть один на все диски либо по каждому на каждый... Пароль может быть фразой либо файлом. Как именно делать решать тебе.

Ясное дело, что каким он будет - решать мне. Но можно ли сделать так, чтобы требовался ввод лишь одного пароля/ключа для разблокировки трех шифрованных объектов? Два физических тома и раздел /boot.