LINUX.ORG.RU

20
Всего сообщений: 146

resize2fs не работает

Дано: диск /dev/sdc1 (500Mb), контейнер luks /dev/sdc2 (930Gig), под ним раздел crypt ext4.
Нужно: сделать ещё один раздел, отрезав около 200Гиг, за пределами контейнера.
Делаю:

# resize2fs /dev/mapper/crypt 700G
resize2fs 1.43.8 (1-Jan-2018)
Resizing the filesystem on /dev/mapper/crypt to 183500800 (4k) blocks.
The filesystem on /dev/mapper/crpt is now 183500800 (4k) blocks long.
# cryptsetup resize /dev/mapper/crpt
Всё вроде успешно, только cryptsetup подозрительно моментально выполняется.
Отмонтирую диск, отключаю от USB. Подключаю снова в порт. Открываю Partition manager, он показывает luks на 930Гиг, под ним ext4 на всё пространство. fdisk -l говорит то же самое. Повторный запуск ресайза говорит, что всё сделано уже:
resize2fs /dev/mapper/crpt 700G
resize2fs 1.43.8 (1-Jan-2018)
The filesystem is already 183500800 (4k) blocks long.  Nothing to do!
Диск GPT, если что. Как сделать, чтобы нормально всё поресайзилось?

 , ,

fehhner ()

LUKS volume over NFS

На NFS шаре находится образ с LUKS томом. Шара подключается к хосту через fstab с опцией _netdev. Когда лучше производить открытие тома LUKS?

В crypttab не вариант - он отрабатывает до fstab. Или можно через post-up при поднятии сетевого интерфейса, или можно написать свой systemd сервис который будет запускаться в самом конце загрузки системы.

Какой вариант лучше?

 , ,

FluffyPillow ()

LuksOpen with Offset

У меня есть raw образ диска. Хочу открыть с него контейнер с люксом (идёт вторым разделом). Делаю:

cryptsetup --offset=105906176 luksOpen image cryptroot

Не даёт, получаю:

cryptsetup: Option --offset is supported only for open of plain and loopaes devices.

И как тогда мне его монтировать? Обрезать и обратно склеивать не хотелось бы, есть другое решение?

 , ,

fehhner ()

Шифрование диска в Linux

Всем привет!

Во многих оффтоповых осей присутствует замечательная фича - запуск до шифрования диска и после шифрования на глаз не меняется, никаких luks паролей и т. п., ключ это ваша учетка.

Как такое можно реализовать на Linux? Знаю, что у Ubuntu можно, но там только хомяк.

 , ,

mfhunruh ()

Проблема с LUKS на LVM: Linux не видит зашифрованный swap-раздел при загрузке.

Есть свежеустановленный на LVM Debian 9. Три раздела в этом LVM зашифрованы cryptsetup.

При загрузке появляется такое сообщение:

WARNING: Failed to connect to lvmetad. Falling back to device scanning.
Gave up waiting for suspend/resume device
resume: Could not stat the resume device file '/dev/disk/by-uuid/1b082d18-...'
Please type in the full path name to try again
or press ENTER to boot the system: _"

При нажатии на Enter система не реагирует пару минут, после чего загружается в нормальном режиме. После загрузки swap все-таки подключился и работает:
$ sudo swapon --show
NAME TYPE SIZE USED PRIO
/dev/dm-7 partition 3,7G 0B -1

По какой-то причине нужный LVM раздел, Debian-SWAP, вообще не имеет своего UUID:
$ lsblk -o NAME,UUID

( $ lsblk -o NAME,UUID )

 , , ,

hedgehog_alex ()

удалённый self-destruction в в экстренных ситуациях!

добрый день друзья!

хотелось бы поднять такую вот интересную тему:

есть кали линукс, установленный на удалённом компьютере, который в свою очередь используется в качестве удалённого сервера хранения личных данных.

под словом «удалённый» я имею в виду что он автоматический комп - не требующий вмешательство человека для его работы.

а вопросы такие:

1. возможно ли зашифровать диск под luks пароль (задав также и nuke), но чтобы при загрузке линукса пароль не требовался? (как?)

2. если ответ на первый вопрос да, то как через SSH можно, в один прекрасный день, ввести nuke пароль для самоуничтожения данных (навсегда!)?

3. может есть какие другие варианты для того чтоб провернуть такую идею?

всем заранее спасибо!

 , ,

gogogordy ()

Gentoo + ZFS

Кто-нибудь использует gentoo + нативное шифрование в zfs? Сам использую gentoo + luks. Интересует производительность и стабильность.

 , , ,

hardentoo ()

Реально ли ужать шифрованый раздел?


      [LVM-SWAP][LVM-ROOT(ext4)]
[EFI ][          LUKS          ]
[sda1][          sda2          ]

Короче говоря, стандартная схема, согласно которой LVM находится внутри шифрованого раздела. Подозреваю, что мне надо сначала ужать ext4 раздел, потом lvm, потом раздел luks. Но делается ли это или проще перенакатить? Никогда просто не сталкивался.

 , ,

Romashev ()

В качестве ключей шифрования у cryptsetup могут быть любые файлы?

А то есть идея сделать папку с содомией и использовать как ключи шифрования. С виду говно-говном, а на самом деле доступ к данным.

 ,

Romashev ()

LUKS и TRIM

Есть SSD зашифрованный с помощью LUKS и используемый в качестве системного. На АрчВики встретил предупреждение насчёт использования discard/TRIM вместе с LUKS т.к это якобы может дать атакующему возможность узнать тип фс и объем настоящих (не рандомных) данных. Насколько легко получить эту информацию? Вот пруф на вики (секция Discard/TRIM support for solid state drives (SSD) ) :https://wiki.archlinux.org/index.php/Dm-crypt/Specialties

 ,

FluffyPillow ()

Установка CentOS 7 LUKS +usb /boot

Всем привет. Решил я на днях замутить экспериментальный домашний файловый сервер. Нашел пару классных статей, как установить линь целиком на зашифрованный носитель. Выбрал седьмую центось. В процессе установки натолкнулся на проблему: требуется добавить некоторые настройки в initfarms-tools, в то время как центось использует systemd. Как мне реализовать то что описано в статьях на дистре который использует systemd?

Ссылки на статьи:

https://xakep.ru/2013/09/06/61210/#toc02. https://habrahabr.ru/post/91948/

В процессе установки я руководствовался в большей степени второй статьей, за исключением того факта, что я использовал парольную фразу вместо ключа.

PS. просьба не комментировать целесообразность подобных «мер безопасности», как было упомянуто это чисто эксперимент.

 , ,

Dreyk_Zer0 ()

Gentoo, автомонтирование fstab с /dev/mapper/*

Всем привет!

Имеется SSD, на котором контейнер LUKS, на котором развернута BTRFS, на которой несколько Subvolume-ов (arch, gentoo, vvl).

Как можно догадаться, в первых двух Subvol стоит по одноименному дистрибутиву. Проблема состоит в том, что третий subvol - общий ресурс, который должен монтироваться в любую из систем.

Имеем fstab:

...
/dev/mapper/cryptroot [путь] btrfs rw,relatime,compress=lzo,nossd,discard,space_cache,subvol=vvl 0 0
... 
Arch грузится, все монтируется. Никаких доп. настроек/пересборок mkinitcpio не производилось. Crypttab тоже отсутствует.

Gentoo (тоже systemd) при загрузке ожидает /dev/mapper/cryptroot и вываливается с ошибкой:

...
Timed out waiting for device /dev/mapper/cryptroot
Dependency failed for [путь из fstab]
...
В случае, если сделать systemd default в shell-e (ls /dev/mapper - устройство есть!), а потом mount -a, то все работает нормально. В случае, если монтировать этот subvol вручную в initramfs (он собранный вручную), то все грузится нормально.

Почему Gentoo не видит устройство на этапе загрузки? Также, при входе в KDE система настойчиво просит пароль для устройства (WTF, оно открыто и смонтировано), чего нет в том же Arch-е.

P.S. initramfs на Arch - mkinitcpio, на Gentoo - самосбор, с кодом

...
cryptsetup open --allow-discards $(findfs ${cryptroot}) --key-file ${cryptkey}
mount -t btrfs -o compress=lzo,nossd,discard,subvol=${1}
exec switch_root /mnt/root /usr/lib/systemd/systemd
...
P.P.S. Очень прошу помочь разобраться в проблеме, а не разводить холивар (а в [дистрибутив]|у меня все работает|btrfs=сыро|systemd=от лукавого) и прочие. Заранее спасибо!

 , , ,

VVL- ()

Не получается зашифровать внешний жесткий диск через LUKS

Добрый день! Делаю по этому руководству: https://www.easycoding.org/2016/11/14/shifruem-vneshnij-nakopitel-posredstvom...

В GParted привел хард в состояние unallocated, так же пробовал форматнуть в cleared и unformatted.

Затем:

flixis@host ~ $ sudo cryptsetup —verify-passphrase luksFormat /dev/sdc -c aes -s 256 -h sha512
[sudo] password for flixis: 

WARNING!
========
This will overwrite data on /dev/sdc irrevocably.

Are you sure? (Type uppercase yes): yes

Но ввести пароль для только что созданного крипта не предложило.

Далее:

flixis@host ~ $ sudo cryptsetup luksOpen /dev/sdc storage
[sudo] password for flixis: 
Device /dev/sdc is not a valid LUKS device.

Значит что-то не так.

flixis@host ~ $ lsblk
NAME            MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sdb               8:16   0 238,5G  0 disk  
├─sdb4            8:20   0  94,5G  0 part  
├─sdb2            8:18   0   900M  0 part  
├─sdb10           8:26   0  86,2G  0 part  
│ └─sdb10_crypt 253:1    0  86,2G  0 crypt /home
├─sdb9            8:25   0  35,3G  0 part  
│ └─sdb9_crypt  253:0    0  35,3G  0 crypt /
├─sdb7            8:23   0    20G  0 part  
├─sdb5            8:21   0   455M  0 part  
├─sdb3            8:19   0   128M  0 part  
├─sdb1            8:17   0   100M  0 part  /boot/efi
├─sdb8            8:24   0   488M  0 part  /boot
└─sdb6            8:22   0   450M  0 part  
sr0              11:0    1  1024M  0 rom   
sdc               8:32   0 279,5G  0 disk  
sda               8:0    0   1,4T  0 disk  
├─sda2            8:2    0 698,6G  0 part  /mnt/data1
├─sda3            8:3    0 698,6G  0 part  
│ └─sda3_crypt  253:2    0 698,6G  0 crypt /mnt/data2
└─sda1            8:1    0   128M  0 part 

 ,

FliXis ()

SSD, профиль браузеров, Luks

Собираюсь приобрести Samsung 850 EVO 250 Гб. Возник вопрос:
1) Стоит ли бояться за ресурс SSD, если разместить на нем профили браузеров Firefox, Chromium и Thunderbird или лучше вынести их на HDD?

2) Тот же вопрос про кэш браузеров?

3) Нет ли подводных камней, если вышеперечисленное будет симлинкаться в 10 Гб зашифрованный (Luks) файл-контейнер на SSD? Монтируется при входе в учетку с помощью pam_mount.

4) f2fs или ext4?

 ,

tamo ()

Gentoo Luks grub2 fulldisk enc

Не могу осилить по https://wiki.gentoo.org/wiki/Dm-crypt_full_disk_encryption явно устаревшее что-то.

есть раздел открывающийся cryptsetup luksOpen -d /etc/keys/enc.key /dev/sdb2 mappername

есть genkernel

с LUKS=«yes»

есть sys-boot/grub c USE=device-mapper

в конфиге GRUB_CMDLINE_LINUX_DEFAULT=«quiet rd.luks.key=/etc/keys/enc.key rd.luks.uuid=luks-74f9e685-60be-4122-ae53-cc02a68c68f1 dolvm»

 , , ,

deity ()

Как установить Debian на существующий LUKS+LVM ?

У меня есть диск, размеченный следующим образом:

NAME                                          MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                                             8:0    0 465.8G  0 disk  
├─sda1                                          8:1    0   101M  0 part  /boot/efi
├─sda2                                          8:2    0   769M  0 part  /boot
└─sda3                                          8:3    0 464.9G  0 part  
  └─luks-a704b482-cd6c-47a8-8583-d1f59236fcf1 253:0    0 464.9G  0 crypt 
    ├─n56vz_lvm_unix_os-RootFS                253:1    0    40G  0 lvm   /
    ├─n56vz_lvm_unix_os-swap                  253:2    0  16.9G  0 lvm   [SWAP]
    ├─n56vz_lvm_unix_os-DATA1                 253:3    0   150G  0 lvm   /mnt/DATA1
    ├─n56vz_lvm_unix_os-DATA2                 253:4    0   150G  0 lvm   /mnt/DATA2
    ├─n56vz_lvm_unix_os-HomeDIR               253:5    0    90G  0 lvm   /home
    └─n56vz_lvm_unix_os-VarSYS                253:6    0    18G  0 lvm   /var

Мне нужно установить Debian на этот диск, при этом не пересоздавая LUKS-раздел и сохранив структуру разделов внутри LVM. Как мне это сделать? То есть, мне нужно сделать что-то наподобие cryptsetup luksOpen перед запуском программы разметки внутри Debian installer, чтобы ничего не потёрлось

Пожалуйста, распишите алгоритм действий.

 , , ,

IceWindDale ()

LUKS и ключ на флешке - запуск без лишних вопросов

Всем доброго времени суток. Есть ноутбук, SSD зашифрован dm-crypt'ом (все Linux разделы, кроме /boot).

Можно ли сделать так, чтобы при вставленной флешке с ключем диск расшифровывался молча, а без нее спрашивался бы пароль? Ручное указание файла с ключем при запуске не подходит.

$ sudo fdisk -l
Disk /dev/sda: 232,9 GiB, 250059350016 bytes, 488397168 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 285E0F28-3AEA-4349-AC09-75DC61F4469C

Device         Start       End   Sectors   Size Type
/dev/sda1       2048    249855    247808   121M EFI System
/dev/sda2     249856    499711    249856   122M Linux filesystem
/dev/sda3     499712 391124991 390625280 186,3G Linux filesystem
/dev/sda4  391124992 391157759     32768    16M Microsoft reserved
/dev/sda5  391157760 488396799  97239040  46,4G Microsoft basic data


Disk /dev/mapper/sda3_crypt: 186,3 GiB, 199998046208 bytes, 390621184 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes


Disk /dev/mapper/Debian-root: 29,8 GiB, 31998345216 bytes, 62496768 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes


Disk /dev/mapper/Debian-home: 156,5 GiB, 167998652416 bytes, 328122368 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes

 ,

aquadon ()

Черный экран в tty1-6 на проприетарных nvidia

Добрый вечер! Linux Mint Cinnamon 18.2 x64 nvidia 780m (ноутбучная) Встроенная в проц видюха либо отсутствует, либо залочена на уровне прошивки. Т.е. считай нет.

Сегодня накатил линь с шифрованием на /root, /home/, /mnt/***, бут-раздел у меня естественно вынесен. И все вроде бы ничего, но внезапно столкнулся с проблемой. После установки проприетарных драйверов nvidia(На nouveau все с эти норм), что 375 из реп дистра, что последние 384 из стороних реп, у меня появляется такая проблема:

1) После перезагрузки, я попадаю в граб, где гружу линь, далее появляется окно ввода пароля для dm-crypt и тут сразу засада, вводимые символы не появляются звездочками в поле. И что более удивительно пароль не жрет даже даже набором вслепую. Я жму ctrl+alt+del, ноутбук перезагружается, я опять попадаю в граб, гружу опять линь и тут отличие - Черный экран, тупо совсем черный, я вслепую ввожу пароль для dm-crypt и он его жрет! Дальше появляется окно входа в учетку. 2) В самом лине по нажатию ctrl+alt+f1..f6 у меня совсем черный экран, т.е. там вообще ничего нет. 3) Если опять перезагрузится, то снова пункт первый, т.е какая-то цикличность.

Стоит упомянуть, что до этого система стояла без шифрования и подобных проблем с черным экраном tty1-6 никогда не наблюдалось, что на старой, что на свежей установке системы.

Как это побороть даже не представляю, очень надеюсь на Вашу помощь!

 , , , ,

FliXis ()

Gentoo на btrfs over luks

Доброго времени суток.

Пользуюсь Arch-ем на ssd>dm-crypt(luks)>btrfs>subvol (смонтировано /, включая boot). Грузит все это безобразие Grub2 с GRUB_ENABLE_CRYPTODISK=«y». Появилась необходимость поставить Gentoo. Развернут stage3-systemd на btrfs subvol gentoo. Ядро скомпилировано с нативной (не модульной) поддержкой зависимостей systemd, crypto api, FS и прочими прелестями (Gentoo Handbook + ЛОР). initramfs сгенерирован с помощью genkernel (--luks --btrfs --bootloader=grub2 --udev --kernel-config=/usr/src/linux/.config initramfs), и (ввиду полученной ошибки) Dracut. Ну и резервное ядро с genkernel.

В Grub2 добавлены:

menuentry
...
linux   /gentoo/boot/vmlinuz-4.12.4-gentoo rd.luks.uuid=UUID rd.luks.allow-discards rd.luks.crypttab=1 root=UUID=UUID init=/usr/lib/systemd/systemd rootflags=subvol=gentoo
initrd  /gentoo/boot/initramfs-4.12.4-dracut.img
...
menuentry
...
linux   /gentoo/boot/kernel-genkernel-x86_64-4.12.4-gentoo keymap=ru splash=silent quiet crypt_root=UUID=UUID dobtrfs rootflags=subvol=gentoo init=/usr/lib/systemd/systemd
initrd  /gentoo/boot/initramfs-genkernel-x86_64-4.12.4-gentoo

Суть в чем: ядро грузится. Запрашивает пароль раздела. Если ввести неверный - просит заново. Ввести верный = фриз.

ЧЯДНТ?

P.S. Параметры загрузки пробовал разные.

P.P.S. При переносе системы на нешифрованный раздел, все грузится и работает.

 , ,

VVL- ()

Автомаунт шифрованного раздела

Есть раздел, скажем, на LUKS. Как сделать так, чтобы при буте системы он автоматом маунтился, но при этом если кто-то получит в руки компьютер со всеми жесткими дисками то не смог бы его расшифровать?

Целевой компьютер в Усть-Зажопинске, после первичной установки доступ к нему только удаленный.

Есть еще внешний сервер, который можно каким-либо образом использовать.

Для меня сложность в понимании того, где хранить ключ/пароль, потому что если он хранится на нешифрованном разделе для автомаунта - то при изъятии дисков он становится доступен публично.

Не криминал.

 ,

PPP328 ()