LINUX.ORG.RU

17
Всего сообщений: 175

LUKS раздел и /etc/fstab, /etc/crypttab — в чём разница? Нужно редактировать оба файла для подключения LUKS раздела?

Я не понимаю, для того чтобы примонтировать LUKS раздел нужно «настройки» писать в crypttab и fstab?

Чтобы подключить весь раздел как read only нужно в обоих файлах задать такие настройки?

 , ,

just_a_brake ()

Подключить в VirtualBox систему ubuntu из образа dd, с зашифрованным разделом luks

Есть диск с установленной Ubuntu, небольшой раздел /boot и потом зашифрованный раздел luks. Можно ли эту систему перегнать в VirtualBox? В инете есть описания как один раздел подключить через losetup и подсунуть вбоксу, а так что бы сразу диск найти не могу.

 ,

victor79 ()

Несколько вопросов по настройки Grub2

Приветствую всех. Сразу скажу, пользователь линукса я не опытный, посему, прошу, более-менее разжевать.

Имеется Xubuntu 18.04, полнодисковое шифрование с помощью LUKS+LVM, бут так же зашифрован, прописаны к нему конфиги в настройках граба (делал по мануалу).

Собственно вопросы связаны с этим: 1) Можно ли изменить окно при загрузки компьютера, где просят ввести пароль от бута (там где написано, чтобы ввели пароль и ниже строка с UUID и какие то еще данные) на кастомное, например написать вместо этого свое слово? Как вариант если нельзя свое - просто черным оставить, без надписей. 2) При обновление системы, можно ли все потерять? Т.е. например обновится граб, а с ним и мои конфиги с параметрами для запуска зашифрованного бута. Если да - то как этого избежать? Сюда же вопрос: Как все же надежнее, сделать как я, или хранить бут на флешке? В плане даже сохранности данных, случае варианта из пункта 2, если он возможен.

3) Ну и чтоб не плодить темы - Можно ли добавить Nuke LUKS на текущую конфигурацию, ничего не поломав? Т.е. имеем просто зашифрованный диск с помощью LUKS без всяких «примочек», кроме бута, и просто с помощью определенных манипуляций, добавить функцию Nuke (стереть заголовки определенным паролем, дабы «убить» инфу).

 , ,

Alpiden ()

Не работает suspend-to-disk на шифрованном swap

Добрый день.

Пытаюсь настроить suspend-to-disk с использованием шифрованного swap раздела.

На данный момент данная схема не работает: swap работает нормально, systemctl hibernate отрабатывает нормально, но resume не происходит и система загружается по-новой. Сейчас такое сообщение ошибки в journalctl:

Timed out waiting for device dev-disk-by\x2duuid-ec422827\x2d8d03\x2d4547\x2da107\x2dd6b9797c1d58.device.

Если swap не шифрован, то suspend-to-disk работает нормально.

Конфигурация системы: Fedora 28.

Информация, которая может быть полезна:

swapon -s

Имя файла                               Тип             Размер  Исп-но  Приоритет
/dev/dm-2                               partition       25708540        0       -2

free -m
              total        used        free      shared  buff/cache   available
Mem:          24053        7374       13517         283        3161       16062
Swap:         25105           0       25105
cat /etc/default/grub
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT="console"
GRUB_CMDLINE_LINUX="rd.driver.blacklist=nouveau modprobe.blacklist=nouveau nvidia-drm.modeset=1 rd.luks.uuid=luks-384de2b6-3fdf-4fa7-9f62-a34d6d82f680 rhgb quiet resume=UUID=ec422827-8d03-4547-a107-d6b9797c1d58"
GRUB_DISABLE_RECOVERY="true"
fdisk -l
Диск /dev/nvme0n1: 465,8 GiB, 500107862016 байт, 976773168 секторов
Единицы: секторов по 1 * 512 = 512 байт
Размер сектора (логический/физический): 512 байт / 512 байт
Размер I/O (минимальный/оптимальный): 512 байт / 512 байт
Тип метки диска: gpt
Идентификатор диска: D155F5DD-C780-4729-B274-A4D64830F158

Устр-во            начало     Конец   Секторы Размер Тип
/dev/nvme0n1p1       2048   1023999   1021952   499M Среда для восстановления Microsoft
/dev/nvme0n1p2    1024000   1226751    202752    99M EFI
/dev/nvme0n1p3    1226752   1259519     32768    16M Зарезервированный раздел Microsoft
/dev/nvme0n1p4    1259520 204799999 203540480  97,1G Microsoft basic data
/dev/nvme0n1p5  204800000 562978815 358178816 170,8G Microsoft basic data
/dev/nvme0n1p6  614400000 614924287    524288   256M EFI
/dev/nvme0n1p7  614924288 616972287   2048000  1000M Файловая система Linux
/dev/nvme0n1p8  616972288 723472383 106500096  50,8G Файловая система Linux
/dev/nvme0n1p9  723472384 976773119 253300736 120,8G Файловая система Linux
/dev/nvme0n1p10 562978816 614399999  51421184  24,5G Linux своп

Элементы таблицы разделов упорядочены не так, как на диске.


Диск /dev/mapper/luks-384de2b6-3fdf-4fa7-9f62-a34d6d82f680: 50,8 GiB, 54525952000 байт, 106496000 секторов
Единицы: секторов по 1 * 512 = 512 байт
Размер сектора (логический/физический): 512 байт / 512 байт
Размер I/O (минимальный/оптимальный): 512 байт / 512 байт


Диск /dev/mapper/luks-a631bb86-8605-4145-931d-e95bfe6d5e72: 120,8 GiB, 129687879680 байт, 253296640 секторов
Единицы: секторов по 1 * 512 = 512 байт
Размер сектора (логический/физический): 512 байт / 512 байт
Размер I/O (минимальный/оптимальный): 512 байт / 512 байт


Диск /dev/mapper/swap: 24,5 GiB, 26325549056 байт, 51417088 секторов
Единицы: секторов по 1 * 512 = 512 байт
Размер сектора (логический/физический): 512 байт / 512 байт
Размер I/O (минимальный/оптимальный): 512 байт / 512 байт
cat /etc/crypttab
luks-384de2b6-3fdf-4fa7-9f62-a34d6d82f680 UUID=384de2b6-3fdf-4fa7-9f62-a34d6d82f680 none discard
luks-a631bb86-8605-4145-931d-e95bfe6d5e72 UUID=a631bb86-8605-4145-931d-e95bfe6d5e72 none discard
swap /dev/nvme0n1p10 none luks
cat /etc/fstab 

#
# /etc/fstab
# Created by anaconda on Tue Jul  3 01:18:50 2018
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/luks-384de2b6-3fdf-4fa7-9f62-a34d6d82f680 /                       ext4    defaults,x-systemd.device-timeout=0 1 1
UUID=ae87099a-7a6b-42bd-93f2-fb5a0a685cd9 /boot                   ext4    defaults        1 2
UUID=4508-3B24          /boot/efi               vfat    umask=0077,shortname=winnt 0 2
/dev/mapper/luks-a631bb86-8605-4145-931d-e95bfe6d5e72 /home                   ext4    defaults,x-systemd.device-timeout=0 1 2
/dev/mapper/swap swap swap defaults 0 0

 , , ,

zamazan4ik ()

Итерации хешей, насколько это криптобезопасно?

Поясните вот про что. Как я понимаю, сами алгоритмы шифрования вроде AES достаточно хорошо исследованы, но что с алгоритмами их практического применения?

Например, в luks и truecrypt с некоторыми отличиями в деталях, но пароль пользователя хэшируется (обычно sha256/sha512) много раз (например сто тысяч раз и более) для замедления подбора. Этим хэшем потом шифруется (расшифровывается) MasterKey, используемый для всего контейнера.

Но доказано ли, что итерации хэша не сужают в итоге количество вариантов (не уменьшают энтропию)?

 , , ,

praseodim ()

luks: раcшифровка по паролю И ключу

Привет.

Я знаю, что есть 8 слотов, в каждый из которых можно добавить passphrase или key file. Для разблокировки раздела можно использовать любой слот.

Теперь вопрос: можно ли сделать так, чтобы для разблокировки нужен был и пароль и ключ, а не только что-то одно? Если нет, то м.б. truecrypt или veracrypt так умеет.

Что-то я ничего не нашел в спутнике.

 , , , ,

maverik ()

При загрузке системы возникает ошибка: ALERT UUID=<...> does not exist. Dropping to a shell!

Здравствуйте!

Недавно занимался установкой Debian через Debootstrap на полностью зашифрованный жёсткий диск (без таблицы разделов, зашифрованный раздел занимает всё пространство). При этом свои личные файлы перенёс в специальную папку, /boot же вынес на флешку. Не могу загрузить установленную систему. При попытке загрузки система запрашивает пароль от жёсткого диска, стартует GRUB, затем, после запуска системы появляется сообщение:

Gave up waiting for root file system device. Common problems:

- Boot args (cat /proc/cmdline)
- Check rootdelay= (did the system wait long enough?)
- Missing modules (cat /proc/modules; ls /dev)

ALERT UUID=<UUID зашифрованной ФС> does not exist. Dropping to a shell!

Файл /etc/crypttab заполнен следующим образом:

systemdiamonds /dev/disk/by-uuid/<UUID жёсткого диска> none luks

Файл /etc/fstab заполнен следующим образом:

UUID=<UUID зашифрованной ФС> / ext4 rw,user,auto,exec,dev 0 0
UUID=<UUID загрузочной флешки> /boot ext4 defaults 00
/swap none swap defaults 0 0
proc /proc proc defaults 0 0

Не подскажите, в чём может быть причина? И что нужно сделать?

 , , ,

ShiningRiver ()

LuksOpen : Не создается block device

Перестал открываться криптованный раздел после обновления ядра. Обнаружил, что /dev/mapper/<crypt_name> отсутствует.

#cryptsetup luksOpen /dev/sdc3 enc -d /path/to/key-file
должен создать девайс /dev/mapper/enc, но почему-то ничего не создает. Ошибок никаких тоже не возвращает. Ну и соответственно монтировать некого.

Сам заголовок раздела luks в порядке вроде.

В чем может быть причина?

.config тут: https://pastebin.com/v5BmhMTr

Опции ядра вроде все активированы, dmcrypt в default runlevel добавлен.

 

Chord ()

Backup зашифрованных разделов LUKS

Образ всего зашифрованного раздела можно сделать, без проблем. Но как сделать такой образ, чтобы из 160 Гб, к примеру, записались в образ только реальные 15 Гб данных (остальные 145 Гб не заполнены). Clonezilla может это делать, но только не с зашифрованными разделами, как я понял. Это возможно или противоречит самой природе шифрованных разделов? Правильно ли я понял, что в шифрации данных участвует всё выделенное место под раздел?

Если я прав, то это обратная сторона медали шифрованных разделов - придётся тупо копировать всё пространство(.

 , , ,

Desmond_Hume ()

Luks + USB key + Загрузка полторы минуты.

Всем привет. От программирования я очень далек. Но как то встал вопрос можно ли зашифровать диск и запускать его с usb ключа. Почитав я узнал про Luks. Установил Ubuntu 18.04. Настроил обращение к ключу на флешке согласно этого мануала 8 летней давности http://open-life.org/blog/paranoia/750.html И все мне нравится, кроме одного. При загрузке возникает что-то из за чего загрузка идет 2 минуты. p.s. свап файла нет и раздела тоже. Вот фотка экрана https://d.radikal.ru/d12/1806/12/9e5c1f0f1fe8.png

 ,

melomane ()

Монтирование системных дисков с LUKS с использованием ключей на USB носителе

Система Debian Testing. В наличии системный SSD с зашифрованным рутом и еще два отдельных шифрованных диска.

В Debian после введения systemd появились определенные конфликты с монтированием системных дисков с использование ключей. Кое-как по крохам информации в интернете сумел настроить автодекрипт и монтирование дисков при загрузке системы с использованием ключей на usb устройстве.

Что сделано:

# /etc/fstab
/dev/mapper/system--vg-root /               ext4    errors=remount-ro 0       1

# /boot was on /dev/sdb2 during installation
UUID=<uuid> /boot           ext2    defaults        0       2
# /boot/efi was on /dev/sdb1 during installation
UUID=<uuid>  /boot/efi       vfat    umask=0077      0       1
/dev/mapper/system--vg-swap_1 none            swap    sw              0       0

# USB key
LABEL=<label>         /mnt/key        ext4    defaults,nofail,x-systemd.device-timeout=1

/dev/mapper/cdata       /mnt/cdata      ext4    defaults        0       1
/dev/mapper/cvm         /mnt/cvm        ext4    defaults        0       1

# /etc/crypttab
sdb3_crypt /dev/disk/by-uuid/<uuid> /dev/disk/by-label/<label>:/root.key luks,keyscript=/lib/cryptsetup/scripts/passdev
cdata   UUID=<uuid> /mnt/key/cdata.key luks
cvm     UUID=<uuid> /mnt/key/cvm.key luks
# /etc/default/cryptdisks
CRYPTDISKS_MOUNT='/mnt/key'
systemctl mask systemd-cryptsetup@sdb3_crypt.service
update-initramfs -u -k all

Система загружается, диски монтируются. Затем, если просто достаю флешку с ключами, диски cdata и cvm демонтируются. Если предварительно вручную размонтировать usb устройство и только затем вытащить, то все нормально. Как это дело более грамотно обыграть? Каждый раз лезть в консоль и вбивать «sudo umount /mnt/key» очень неудобно.

И вообще, есть здесь люди с похожим сетапом? Как это реализовано у вас? Не покидает ощущение, что у меня костыль на костыле и при каком-нибудь обновлении системы все слетит.

 , ,

SamuelLJ ()

Preseet для установки Ubuntu на шифрованный раздел.

Всем привет. Проконсультируйте или подскажите в таком вопросе. Мне нужно сделать пресет для автоматической установки Ubuntu 16.04 на шифрованный luks-раздел. функция md-crypt правильно не отрабатывает, инсталятор крешится с ошибкой.Кто сталкивался с данным вопросом. прошу помощи.

 , ,

seempson ()

sync ext4

Флешка полностью зашифрованна LUKSом, на ней лежит профиль ФырФокса и данные с Nextcloud. Если использовать опцию sync при монтировании этой флешки, то можно будет не боясь выдергивать её без размонтирования? Ведь мы минуем все кэши и сразу пишем в память флешки.

 , ,

FluffyPillow ()

Cryptsetup luks . Вынос заголовка с загрузчиком на USB .

Всем здравствуйте . У меня есть операционная система Linux на жестком диске , зашифрованная с помощью LUKS . Какие шаги нужно предпринять , чтобы перенести загрузчик с заголовком LUKS на USB , и это все работало ? Заранее спасибо за ответ .

 , , ,

Prostovasiliy ()

init RAM disk, как добавить необходимый софт.

Здравствуйте, уважаемые форумчане. Хочу научиться конфигурировать загрузчик.

В результате необходимо, что-бы выбранная программа запускалась автоматически, ну, например, openssh сервер или же hostapd, или openvpn. Стоит учесть, что основной том зашифрован при помощи LUKS.

Хочу отметить, что мне не обязательно нужны примеры с программами, указанными выше, полностью подойдет гайд по установке любого другого программного обеспечения.

Сама сложность для меня состоит в том, чтобы:

1)Добавить зависимости программы.

2)Написать скрипт для ее работы, ну и остальные аспекты, связанные с ее запуском.

Буду рад любым идеям и любой помощи.

 , , ,

Marex ()

luks vs veracrypt

Привет

В чем плюсы/минусы luks по сравнению с veracrypt? Алгоритмы, функционал, простота использования, ...

 , ,

Kroz ()

Hotspot в boot разделе.

Добрый день, уважаемые форумчане. Имею raspberry pi 3. Зашифровал всю систему используя LUKS. В загрузчике стоит dropbear ssh. Однако, что-бы через него разблокировать систему, нужно подключение к сети, а на этом этапе точка доступа еще не включается (система то зашифрована) Сейчас интернет принимает по ethernet, но такая возможность представляется не всегда.

Вопрос: как можно получить доступ к ssh имея только raspberry и телефон?

1) Можно ли в initramfs прописать автоматическое подключение к определенный WiFi сети? (Сеть можно поднять на телефоне)

2) Можно ли на этом этапе поднять hotspot, через hostapd?

Может у вас есть идеи... Ну, например, расшифровка через флешку, докупка мини-роутера, монитора и т.д. Конечно, в приоритете являются два вопроса, описанные выше, а вы что думаете?

 , , ,

Marex ()

Шифрованный раздел после hard reboot

Дратути.

После внезапного ребута сервера куда-то делся шифрованный раздел.
Он был в RAID1 дисков sda3 и sdb3.

В гугле ситуации «luks after hard reboot» ещё не было, поэтому пишу вам, может, кто знает.

edx-ng ~ # cryptsetup luksDump /dev/md3
Device /dev/md3 is not a valid LUKS device.


/dev/md3:
        Version : 0.90
  Creation Time : Tue Nov  1 12:10:46 2016
     Raid Level : raid1
     Array Size : 1932506048 (1842.98 GiB 1978.89 GB)
  Used Dev Size : 1932506048 (1842.98 GiB 1978.89 GB)
   Raid Devices : 2
  Total Devices : 2
Preferred Minor : 3
    Persistence : Superblock is persistent

  Intent Bitmap : Internal

    Update Time : Mon Apr 23 08:54:45 2018
          State : active 
 Active Devices : 2
Working Devices : 2
 Failed Devices : 0
  Spare Devices : 0

           UUID : 87979b7a:0bb9b950:a4d2adc2:26fd5302
         Events : 0.44028

    Number   Major   Minor   RaidDevice State
       0       8        3        0      active sync   /dev/sda3
       1       8       19        1      active sync   /dev/sdb3


# hexdump -C -n 2048 /dev/md3

http://paste.org.ru/?tvwz0j


______________________________

По отдельности, без рейда, диски, соответственно, тоже не монтируются.
Что это может быть и есть ли варианты оживить его?
Может, я что-то не так понимаю? Как мог raid1 с luks рассыпаться от хард ребута?

 ,

annerleen ()

Помогите с настройкой гибернации в генте (своп на LVM on LUKS)

Вот вся инфа, которую догадался предоставить.

# zcat /proc/config.gz | grep HIBER
CONFIG_ARCH_HIBERNATION_POSSIBLE=y
CONFIG_ARCH_HIBERNATION_HEADER=y
CONFIG_HIBERNATE_CALLBACKS=y
CONFIG_HIBERNATION=y

# zcat /proc/config.gz | grep SUSP
CONFIG_ARCH_SUSPEND_POSSIBLE=y
CONFIG_OLD_SIGSUSPEND3=y
CONFIG_SUSPEND=y
CONFIG_SUSPEND_FREEZER=y
# CONFIG_SUSPEND_SKIP_SYNC is not set
# CONFIG_BT_HCIBTUSB_AUTOSUSPEND is not set

# cat /proc/cmdline
BOOT_IMAGE=/kernel-genkernel-x86_64-4.16.2-gentoo root=/dev/mapper/lvm-root ro crypt_root=UUID=74f4955f-b422-4abe-8bcf-8329919222aa dolvm real_root=UUID=bbd59fba-ed35-4289-86a1-5c16106f2317 real_resume=UUID=a6401d1c-1769-45b0-b582-8b16e238f6bf

# lsblk -o name,type,mountpoint
NAME           TYPE  MOUNTPOINT
sda            disk 
├─sda1         part  /boot/efi
├─sda2         part 
│ └─cboot      crypt /boot
└─sda3         part 
  └─root       crypt
    ├─lvm-swap lvm   [SWAP]
    ├─lvm-root lvm   /
    └─lvm-home lvm   /home
sr0            rom 

Ядро собирал генкернелом. Как видно, своп располагается в довольно труднодоступном месте.

Что я понял из процесса загрузки: сначала грубом грузится ядро, чё-то там своё делает, потом передаёт руль initramfs, который просит у меня пароль от рута, разблокирует его и получает-таки доступ к заветному свопу, на который s2disk в прошлый раз уложил (кстати, вроде бы вполне успешно) систему спать.

Судя по всему, initramfs свою функцию выполняет, т.к. после ввода пароля я замечаю в летящем вверх логе что-то про real_resume, обнаруженный на /dev/dm-1, а ещё убеждаюсь, что initramfs успел записать этот самый /dev/dm-1 в /sys/power/resume (в чём я убеждаюсь чуть позже, после провала resume):

# cat /sys/power/resume
253:1
# file /dev/dm-1
/dev/dm-1: block special (253/1) 
Тем не менее, лог продолжает лететь вверх, а мне всучивают новую систему, нагло игнорируя содержимое свопа и ломая мне неотмонтированные при уходе баиньки файловые системы.

Я точно не знаю, что здесь не так и почему лыжи не едут, но у меня есть несколько гипотез:

1) «253:1» - не совсем тот формат, который нужен в новых модных ядрах линя (у меня 4.16.2, если что)

2) запись в /sys/power/resume происходит невовремя (например, когда примонтирован настоящий рут, или, наоборот, не примонтирован)

3) просто кривые конфиги ядра

Короче, если у кого есть идеи, куда двигаться, или если кто такую систему уже заставлял выходить из гибернации, то прошу поделиться.

Я ещё слышал, что существуют разные виды саспенда, типа TuxOnIce и swsusp, нифига не понял, чем они отличаются, и пришёл к выводу, что у меня swsusp, исходя из структуры каталогов на /sys. Если это не так, то я вообще не в ту сторону думаю, тогда проясните мне ситуацию.

 , , ,

tsmx ()

Рутокен ЭЦП PKI

Попался в руки этот сабж. Хочется избавиться от паролей и ключ-файлов с шифрованных разделов (LUKS) и открывать их через этот токен. Можно ссылок на гайды по интеграции токенов с линем?

 , ,

FluffyPillow ()