LINUX.ORG.RU

18
Всего сообщений: 205

Opensuse LUKS decryption failure (deleted boot partition)

Привет всем.

SSD диска разделён на 2 части. 1-я под Windows, 2-я под Linux(OpenSuse). Разделы под Linux были зашыфровани при установке ОС.

Когда сносил Windows, то удалил boot раздел от Linux, соответственно загрузить систему стало нереально.

Что я сделал: на месте Windows поставил вторую SUSE, думал смогу разшыфровать диск, но как то не очень получилось. Диск разшифровал, смонтировал, но файлов частично нет. «Home» полностью отсуствует.

Приметка: Раздел «Home» был вместе с ОС, не отдельно.

Восстановить grub пробовал, но тоже не получилось. В «Rescue» не получилось смонтировать папку /mnt, результат такой: (Неизвесная файловая система crypt-LUKS) - как то так.

Что интерестно, при розшифровке раздела доступ к папке /boot/.... и всёму содержымому есть. Но как его правильно восстановить? Или как разшифровать диск?

 , , ,

taras3333 ()

LUKS+Ext4 некорректное отображение свободного пространства в UDisks 2.1.8

Есть флешка на 32 гб, на ней несколько разделов. Один из них шифрованный в Luks+Ext4 размером примерно 20 - 25 гб. Уже в который раз сталкиваюсь с проблемой некорректного отображения свободного пространства в удобной для меня программе UDisks. Смотрю на раздел, например 2 гб свободно, копирую в шифрованный раздел файл размером 1.5 гб и в какой то момент копирование обрывается, стоит только мне еще немного освободить пространство в этом разделе как этот же файл размером в 1.5 гб без проблем копируется. Когда UDisks показывает мне свободных 2 гб на разделе, то командой df -h /dev/sdb я вижу только 900 мб. Получается UDisks 2.1.8 показывает погрешность на целый гигабайт при разделе размером 20 - 25 гб. Хотел бы понять почему так происходит и как это можно поправить именно в UDisks. Предлагать другой софт не надо.

 , , , ,

MoonSP ()

Удаленный ключ для автоматической расшифровки тома

Приветствую.

Вопрос теоретического характера, ничего не реализовано и не воплощено в жизнь, просто сбор мнений и анализ возможностей.

Представьте себе ситуацию. Есть сервер с шифрованными томами, при запуске хочется автоматического старта для сервера без запроса пароля.

  • Сервер сам идет curl-ом к https://keyserv.loc/srv1-token используя plain-auth.
  • Сам же сервер keyserv.loc пускает к себе в location srv1-token только с адреса сервера srv1.
  • На сервере ключей keyserv.loc есть telegram бот который дает возможность удалить пароль от тома или приостановить выдачу, а после двух запросов в 1 час вовсе просит подтверждения для выдачи пароля.

С этим кажется все ясно, но как заставить dm-crypt luks брать пароль из выхлопа скрипта, и какие есть на это таймауты?

Велосипед конечно не гарантирует безопасность, возможно есть какие другие решения?

Возможно ли такой метод расширить fail-safe usb? Сервер ключей недоступен, на экране ничего не предлагает ввести, но воткнув чудо usb флешку сервер стартует.

---------------

Где и что почитать, какие есть идеи?

 , , ,

WoozyMasta ()

Расширить раздел с LVM

Всех приветствую, помогите как изменить размер раздела LVM? Ситуация такова - создал виртуальную машину с Lubuntu в Virtualbox'е c зашифрованным LUKS диском, неподумал сразу размер диска побольше поставить, да впрочем если бы и подумал рано или поздно все равно бы пришлось столкнутся с такой задачей, так что раз связался с LUKS то надо учится и дальше с ним работать, вообщем место на диске закончилось и надо его расширить, средствами Virtualbox увеличил размер диска но при загрузке в убунту дополнительно прибавленное место отображается как unallocated после lvm тома, и просто увелить размер lvm тома, скажем в gparted не получается, многое по этой теме нагуглил пробовал но что то у меня как у новичка в этом деле ничего не получается вот вывод fdisk -l

tol@tol-pc:~$ sudo fdisk -l
[sudo] password for tol: 
Disk /dev/sda: 115,4 GiB, 123900133376 bytes, 241992448 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x03389c30

Device     Boot   Start      End  Sectors  Size Id Type
/dev/sda1  *       2048  1499135  1497088  731M 83 Linux
/dev/sda2       1501182 20969471 19468290  9,3G  5 Extended
/dev/sda5       1501184 20969471 19468288  9,3G 83 Linux


Disk /dev/mapper/sda5_crypt: 9,3 GiB, 9965666304 bytes, 19464192 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes


Disk /dev/mapper/lubuntu--vg-root: 8,3 GiB, 8933867520 bytes, 17448960 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes


Disk /dev/mapper/lubuntu--vg-swap_1: 980 MiB, 1027604480 bytes, 2007040 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Пробовал советы отсюда lisenet.com/2013/extend-an-encrypted-luks-partition и отсюда ubuntu.fliplinux.com/18546.html ничего не получилось

 , ,

barmaley99 ()

не могу закрыть luks


cryptsetup luksFormat -c aes-xts-plain64 -s 256 -h sha256 /dev/disk/by-id/scsi-0QEMU_QEMU_HARDDISK_drive-scsi2 
cryptsetup luksOpen /dev/disk/by-id/scsi-0QEMU_QEMU_HARDDISK_drive-scsi2 luks1
zpool create lpool /dev/mapper/luks1
touch /lpool/test
cryptsetup luksClose luks1
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
device-mapper: remove ioctl on luks1  failed: Device or resource busy
Device luks1 is still in use.

 , ,

constin ()

Организация работы HDD

Здравствуйте! Помогите продумать архитектуру файлопомойки. Запутался во множестве технологий, ни одну из которых раньше не использовал.

Итак, есть 3 hdd: один wd green на 2 ТБ и два wd red на 3 и 8 ТБ. Хочу устроить один надежный том на 1ТБ (цифры условные) - с дублированием на двух других дисках, один быстрый том на 3ТБ (как raid 0, тоже из трех дисков), а всё остальное - просто еще один логический том. Шифрование всего и вся. При этом надежный том должен проверять контрольные суммы данных: что бы если на одном hdd пойдут бэды, они не переползали на другие hdd.

При этом есть еще пара некритичных хотелок:

  • Гибкость массива - возможность менять размеры томов, добавлять диски…
  • Если вообще бывает такое, переменный размер блока в быстром томе. То есть было бы логично на wd green писать блоки меньшего размера, так как он медленнее редов, таким образом, на грине будет храниться меньше данных, чем на редах.

И еще один вопрос: правильно ли я понимаю, что какой-бы хитрой ни была конфигурация, всегда есть возможность запустить это хозяйство под виндой, просто смонтировав все разделы под линуксом в виртуальной машине, а потом смонтировать в винде средствами виртуальной машины?

 , , , ,

fingolfin ()

zfs backup на remote шифрованый диск

Привет. Задача такая: есть zpool , который я будут синхронизировать ssh send/receive на внешний сервер.

Внешний сервер должен иметь шифрованные диски. Но при этом эти диски не должны быть замаунчены все время. Они должны монтироваться только на время синхронизации.

Ну и еще на систему можно поставить inotify и мониторить любые изменения в /. Так что если кто-то поставил систему раком и ставит руткиты, чтобы отснифить ключ маунта, который передается при send/receive , то я успеваю автоматически остановить/отменить следующую синхронизацию и примуанчивание дисков.

Есть какие-то готовые решения/мысли?

Или может я херню вообще написал и есть best practice по этому поводу?

 , , , ,

constin ()

как вытащить файлы из luks раздела минта

подскажите есть жд 500 гб люкс шифрование, по ошибке затер файловую систему минта рядом на sda 1 и 2 и теперь не могу вообще зайти в систему, как из зашифрованного раздела файлы вытащить. ну загрузился я с лайв юсб открыл этот раздел паролем своим, но толку 0 файлов нет

 ,

barakavspredator1 ()

Полное шифрование SSD диска

Привет. Искал в поиске, но свежей/актуальной информации не нашел. Подскажите, пожалуйста, стоит ли использовать полное шифрование диска на SSD с помощью LUKS, например? Файловая система xfs. Не снижает ли его ресурс. Дистр. debian 9. Спасибо.

 , ,

pic0 ()

Перенос системы на новые разделы с шифрованием, подводные камни.

История такая, стоял у меня Linux на зашифрованном корневом разделе, boot был не шифрован, рядом еще винда болтается и всё это на одном жестком диске. По некоторым обстоятельствам потерял доступ к шифрованному разделу и переустановил линукс, создав новые разделы такого же размера, затем развернул бэкап предыдущей системы в новый шифрованный раздел с помощью rsync, после чего в файле etc/fstab указал новый UUID раздела LUKS и система пошла загружаться, только долго с сообщением a start job is running for dev-disk-by ... пытался разобраться сам куда и какой UUID прописать чтобы ОС загружалась быстро но сам так и не смог разобраться. Прописывал UUID корневого раздела, затем корневой файловой системы и даже раздела boot в etc/fstab и /etc/initramfs-tools/conf.d/resume но безрезультатно. Пытался подтвердить всё это дело командой update-initramfs -u но появлялась ошибка о том что не найдена более новая версия initrd (новая ос установила немного устаревшую версию initrd). Несмотря на то что медленно загружать ОС получается, после обновлений Linux-image возникла еще такая проблема что система вообще не находила разделы LVM при загрузке. Собственно из выше описанного вытекает 2 вопроса: 1. Куда и какой именно UUID нужно прописать чтобы ОС загружалась быстро без a start job is running for dev-disk-by ... ? 2. Почему после обновления Linux-image ОС вообще не полчается запустить, и как с этим бороться?

 , , , ,

Deleted ()

Нужна помощь в восстановлении раздела LUKS

Всем привет. Сейчас будете громко с меня смеятся, но тем не менее мне нужна помощь. Стоит Linux на зашифрованном разделе, boot не шифрован на том же жестком диске, а рядом как подарок приходится держать винду. Раньше менял пароль шифрованного корневого раздела без проблем. А вот сейчас поменял, а он не подходит, никак и ничем не дешифрует раздел, старый тоже не работает, через капс лук и на разных языках вводил пол часа безрезультатно. Форматнул этот раздел снова в LUKS восстановил бэкап туда через rsync и естественно система не загружается, название раздела после дешифровки теперь другое. Получается с разделом boot порядок, сломал только корневой раздел. Подскажите , можно ли как то переименовать новый раздел LUKS так как назывался старый корневой раздел где стояала рабочая система чтобы бэкап заработал как раньше? Как он назывался ранее у меня записано если что. Помогите, если кто может предложить что другое предлагайте. Заранее спасибо.

 ,

Deleted ()

Как примонтировать зашифрованный раздел LUKS в режиме только для чтения?

Здаров, пацаны. Не подскажете как примонтировать зашифрованный раздел LUKS на флешке только в режиме чтения так чтобы без терминалов? Конкретно интересует это дело в среде lxde на Debian.

 , , ,

Deleted ()

Аварийный пароль «NUKE» в Linux Mint

Всем привет. Необходимо реализовать NUKE на «Linux Mint 18.3 Sylvia». Воспользовался данным гайдом: https://askubuntu.com/questions/821881/luks-and-nuke-key-installtion-on-ubunt... , но что-то пошло не так:

# sudo apt-get update

# sudo apt-get install libgcrypt11-dev libdevmapper-dev libpopt-dev uuid-dev libtool automake autopoint debhelper xsltproc docbook-xsl dpkg-dev

# sudo apt-get source cryptsetup

# git clone https://github.com/offensive-security/cryptsetup-nuke-keys.git

# cd cryptsetup-1.6.6

# patch -p1 < ../cryptsetup-nuke-keys/cryptsetup_1.6.1+nuke_keys.diff

# dpkg-buildpackage -b -uc   |Тут  появляется ошибка:

   " dpkg-checkbuilddeps: ошибка: Unmet build dependencies: build-essential:native
dpkg-buildpackage: предупреждение: неудовлетворительные зависимости/конфликты при сборке; прерываемся
dpkg-buildpackage: предупреждение: (Используйте параметр -d, чтобы продолжить сборку.) "

# dpkg-buildpackage -b -uc -d   |Делаю как было предложено, и снова ошибка:

   " rm: невозможно удалить 'autom4te.cache': Это каталог
debian/rules:196: ошибка выполнения рецепта для цели «clean»
make: *** [clean] Ошибка 1
dpkg-buildpackage: ошибка: debian/rules clean возвратил код ошибки 2 "



Думается мне что дело в несовместимости патча (на гитхаб лежит cryptsetup 2:1.6.1 , а у меня установлен cryptsetup 2:1.6.6). Где может быть ошибка?

 , ,

Malinovyi_Zvon ()

Таймаут ввода пароля luks при загрузке

Установил систему на шифрованный luks раздел, при загрузке нужно ввести пароль. Если пароль не вводить то через 90 секунд система переходит в emergency mode. Как убрать этот таймаут и сделать так, чтобы система ждала ввода пароля бесконечно?

 , ,

Bonio ()

LUKS шифрование (Kali Linux)

Всем привет. Установил Кали на флешку по данной методе: https://www.youtube.com/watch?v=vqtfLtzpZnU https://www.youtube.com/watch?v=Wd_uyNEJ_NI Посоветовали настроить LUKS, но возникла проблема, т.к. в приведённом гайде установка происходила без шифрования. Изучив статьи в на просторах необъятного, узнал что перед полнодисковым шифрованием необходимо форматирование. Существует ли способ шифрования без форматирования?

 ,

Malinovyi_Zvon ()

LUKS, какой размер сектора выбрать для 4096 HDD через --sector-size?

Есть HDD с физическими секторами 4096 байт. В LUKS есть параметр

--sector-size
для выбора размера сектора. В документации пишут, что увеличение сектора с 512 байт (по умолчанию) до 4096 байт может повысить производительность для HDD с секторами 4096. Но у меня есть сомнение в этом, потому что в теме не разбираюсь и в некоторых статьях пишут, что хэширование 4096 байт будет дольше.

 

nifumoro ()

Как настроить автомонтирование luks разделов?

Как настроить автомонтирование?
Подскажите мануал, не могу настроить.

 

Centrin0 ()

Void linux LVM LUKS MBR - Зависает на Stuck on Executing post-install kernel hook: 50-grub

Привет, друзья!

Пытаюсь поставить воид

dd if=/dev/zero of=/dev/sda bs=1M count=1 && \
parted /dev/sda mklabel msdos && \
parted -a optimal /dev/sda mkpart primary 0% 257MiB && \
parted -a optimal /dev/sda mkpart primary 257MiB 100% && \
parted /dev/sda set 1 boot on

mkfs.ext3 -L boot /dev/sda1 && \
cryptsetup luksFormat --type luks -c serpent-xts-plain64 -h whirlpool -s 512 -q /dev/sda2 && \
cryptsetup open --type luks /dev/sda2 luks && \
pvcreate /dev/mapper/luks && \
vgcreate void /dev/mapper/luks && \
lvcreate -L4G void -n root && \
lvcreate -l 100%FREE void -n home && \

mkfs.xfs /dev/mapper/void-root && \
mkfs.xfs /dev/mapper/void-home && \
mount /dev/mapper/void-root /mnt && \
mkdir /mnt/home && \
mount /dev/mapper/void-home /mnt/home && \
mkdir /mnt/boot && \
mount /dev/sda1 /mnt/boot

export XBPS_ARCH=x86_64-musl && \
xbps-install -S -R https://alpha.de.repo.voidlinux.org/current/musl -r /mnt base-system cryptsetup grub lvm2

echo '/dev/mapper/void-root / xfs defaults,rw 0 0' > /mnt/etc/fstab && \
echo '/dev/mapper/void-home /home xfs defaults,rw 0 0' >> /mnt/etc/fstab && \
echo '/dev/sda1 /boot ext3 defaults,rw 0 0' >> /mnt/etc/fstab

mkdir /mnt/{dev,proc,sys}
mount -t proc /proc /mnt/proc
mount --rbind /dev /mnt/dev
mount --rbind /sys /mnt/sys
chroot /mnt /bin/bash

echo 'nameserver 8.8.8.8' > /etc/resolv.conf
echo "test" > /etc/hostname && \
sed -i 's/#TIMEZONE="Europe\/Madrid"/TIMEZONE="Europe\/Moscow"/g' /etc/rc.conf && \
sed -i 's/#KEYMAP="es"/KEYMAP="us"/g' /etc/rc.conf && \
sed -i 's/#TTYS=/TTYS=2/g' /etc/rc.conf

passwd root && chown root:root / && chmod 755 /

В /etc/defaults/grub

GRUB_CMDLINE_LINUX_DEFAULT="loglevel=4 slub_debug=P page_poison=1 rd.auto=1 cryptdevice=/dev/sda2:lvm"

Делаю

grub-install /dev/sda
xbps-reconfigure -f linux4.19

И на этом все зависает..

Executing post-install kernel hook: 50-grub

Помогите, пожалуйста, с проблемой...

 , , , ,

chepiga-and-borisov ()

Нюансы шифрования LUKS

Кто может подсказать меняется ли ключ шифрования LUKS при смене пароля? И насчет паролей, где то видел в интернете упоминание что LUKS позволяет создать до 8 паролей. Что это значит до 8 паролей, это можно задать сразу 8 паролей и любым из них дешифровывать тома или как? Помогите разобраться с этими нюансами.

 , ,

Deleted ()

Подводные камни при полнодисковом шифровании SSD

Есть идея поставить Debian на SSD и полностью его зашифровать, даже не оставлять неразмеченного пространства, раздел boot будет на флешке. В плане безопасности насколько это надежно, безопасно или небезопасно полностью шифровать SSD в LUKS+Ext4 при установке Debian? И еще такой нюанс, если использовать Trim при таком шифровании на SSD то в плане безопасности есть моменты которые должны насторожить?

 , , ,

Deleted ()