LINUX.ORG.RU

dmcrypt спрашивает пароль 2 раза при загрузке

 ,


0

2

Диск полностью зашифрован dm-crypt, без LUKS, параметры шифрования заданы в параметрах загрузки ядра, при загрузке спрашивает пароль и потом его подтверждение, если один из них набран неверно впадает в kernel panic, как можно настроить чтоб спрашивал только один раз? Система ArchLinux.


Ща чушь спрошу из разряда «воткнут ли комп в розетку», но всё же на всякий случай:

Зашифрованных разделов случайно не два? Если два и зашифрованы они по отдельности, то вроде ничего поделать нельзя, кроме как переделать и объединить в один контейнер.

greatperson ()
Ответ на: комментарий от greatperson

Можно сунуть ключ от одного раздела на другой. У меня так сделано, спрашивает пароль один раз.

anonymous ()
Ответ на: комментарий от anonymous

В бздэхах там много чего понатыкано «однодругое», так сказать. И ещё не мешало проверить, не в бинарь ли уперлась лочка, да, да обычная лочка могла просто тупо дважды в однин сеанс?!

anonymous ()

С простым dm-crypt без LUKS ты не сможешь проверить правильность пароля, поэтому просят ввести два раза.

Deleted ()

Подскажи как ты шифровал:

dm-crypt, без LUKS, параметры шифрования заданы в параметрах загрузки ядра

Просто все говорят, мол лучше без luks, а как это, я не вкуриваю. Ну или ссылкой кинь. Буду признателен

Hi ()
Ответ на: комментарий от Deleted

С простым dm-crypt без LUKS ты не сможешь проверить правильность пароля, поэтому просят ввести два раза.

Можно разъяснить? Я никак понять не могу «зачем?», мне же расшифровать надо, если пароль не верный падает в панику, в моём случае если пароль введён хотя бы один раз из двух неверно, то падаем в панику.

ksim ()
Ответ на: комментарий от Hi

Просто все говорят, мол лучше без luks, а как это, я не вкуриваю. Ну или ссылкой кинь. Буду признателен

Без LUKS и ключа в моём случае, есть только параметры шифрования, есть пароль, никаких заголовков или файлов нигде хранить не надо. вся защита основана на длинном сложном пароле, который к сожалению надо вводить дважды и дважды правильно c первой попытки. Как защита от «спёрли/потерял ноут» меня вполне устраивает.

Делал по wiki https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#Pla...

Шифруем раздел:

# cryptsetup --hash=sha512 --cipher=aes-xts-plain --offset=0 --key-size=256 open --type=plain /dev/sdX encroot

Дальше я в него положил btrfs (dd <my_old_partition> /dev/mapper/encroot), поэтому мне не надо было морочится с LVM

и дальше просто в параметрах загрузки ядра указал:

cryptdevice=PARTUUID=611dec3f-b869-4168-9cf6-a777416d3d5a:encroot:allow-discards crypto=sha512:aes-xts-plain:256:0: root=/dev/mapper/encroot rootflags=subvol=__active/ROOT rw

вот и всё, boot лежит отдельно незашифрованный, так как UEFI.

ksim ()
Ответ на: комментарий от ksim

Если ты ввел пароль неверно, то оно «расшифруется», но на выходе получится каша. С этой кашей работать небезопасно, т.к. какой-нибудь демон может попытаться ее «пофиксить», в результате чего ты потеряешь данные. Ввод пароля два раза защищает от простых опечаток.

Deleted ()
Ответ на: комментарий от Hi

Просто все говорят, мол лучше без luks

Как раз наоборот - LUKS лучше, чем plain dm-crypt. Запомни тех, кто тебя обманывал, и больше никогда им не верь ^_^

Deleted ()
Ответ на: комментарий от Deleted

ясно, ок спасибо. буду вводить 2 раза, благо не часто.

ksim ()
Ответ на: комментарий от Deleted

Об этом недостатке LUKS везде пишут ведь

LUKS оставляет свой заголовок английским по белому (0x4C554B53, «LUKS»).
LUKS это просто заголовок с метаданными. Можно в лоб использовать dmcryp.

Hi ()

Ты ведь из-за заголовков и не используешь LUKS?

Hi ()
Ответ на: комментарий от Hi

LUKS оставляет свой заголовок английским по белому (0x4C554B53, «LUKS»).

Чем это недостаток? Белый шум на твоем диске сам по себе подозрителен, поэтому наличие хедера ни на что не влияет. Ну и ты можешь перезаписать хедер в любое время - там всего 2МБ.

LUKS это просто заголовок с метаданными. Можно в лоб использовать dmcryp.

Это не просто заголовок с метаданными. Он позволяет по крайней мере: 1) улучшить криптостойкость за счет использования PBKDF2; 2) иметь несколько ключей для расшифровки тома; 3) уничтожить возможность расшифровать данные без перезаписи всего тома.

Если не силен в криптографии - юзай LUKS.

Deleted ()
Ответ на: комментарий от Hi

нет не из-за этого, просто у меня задача: не дать утечь данным, если ноут потеряю, шум не шум, заголовок или нет, без разницы, с голым dm-crypt процедура показалась проще. по-этому так и сделал.

ksim ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.