LINUX.ORG.RU

16
Всего сообщений: 191

LUKS шифрование (Kali Linux)

Всем привет. Установил Кали на флешку по данной методе: https://www.youtube.com/watch?v=vqtfLtzpZnU https://www.youtube.com/watch?v=Wd_uyNEJ_NI Посоветовали настроить LUKS, но возникла проблема, т.к. в приведённом гайде установка происходила без шифрования. Изучив статьи в на просторах необъятного, узнал что перед полнодисковым шифрованием необходимо форматирование. Существует ли способ шифрования без форматирования?

 ,

Malinovyi_Zvon ()

LUKS, какой размер сектора выбрать для 4096 HDD через --sector-size?

Есть HDD с физическими секторами 4096 байт. В LUKS есть параметр

--sector-size
для выбора размера сектора. В документации пишут, что увеличение сектора с 512 байт (по умолчанию) до 4096 байт может повысить производительность для HDD с секторами 4096. Но у меня есть сомнение в этом, потому что в теме не разбираюсь и в некоторых статьях пишут, что хэширование 4096 байт будет дольше.

 

nifumoro ()

Как настроить автомонтирование luks разделов?

Как настроить автомонтирование?
Подскажите мануал, не могу настроить.

 

Centrin0 ()

Void linux LVM LUKS MBR - Зависает на Stuck on Executing post-install kernel hook: 50-grub

Привет, друзья!

Пытаюсь поставить воид

dd if=/dev/zero of=/dev/sda bs=1M count=1 && \
parted /dev/sda mklabel msdos && \
parted -a optimal /dev/sda mkpart primary 0% 257MiB && \
parted -a optimal /dev/sda mkpart primary 257MiB 100% && \
parted /dev/sda set 1 boot on

mkfs.ext3 -L boot /dev/sda1 && \
cryptsetup luksFormat --type luks -c serpent-xts-plain64 -h whirlpool -s 512 -q /dev/sda2 && \
cryptsetup open --type luks /dev/sda2 luks && \
pvcreate /dev/mapper/luks && \
vgcreate void /dev/mapper/luks && \
lvcreate -L4G void -n root && \
lvcreate -l 100%FREE void -n home && \

mkfs.xfs /dev/mapper/void-root && \
mkfs.xfs /dev/mapper/void-home && \
mount /dev/mapper/void-root /mnt && \
mkdir /mnt/home && \
mount /dev/mapper/void-home /mnt/home && \
mkdir /mnt/boot && \
mount /dev/sda1 /mnt/boot

export XBPS_ARCH=x86_64-musl && \
xbps-install -S -R https://alpha.de.repo.voidlinux.org/current/musl -r /mnt base-system cryptsetup grub lvm2

echo '/dev/mapper/void-root / xfs defaults,rw 0 0' > /mnt/etc/fstab && \
echo '/dev/mapper/void-home /home xfs defaults,rw 0 0' >> /mnt/etc/fstab && \
echo '/dev/sda1 /boot ext3 defaults,rw 0 0' >> /mnt/etc/fstab

mkdir /mnt/{dev,proc,sys}
mount -t proc /proc /mnt/proc
mount --rbind /dev /mnt/dev
mount --rbind /sys /mnt/sys
chroot /mnt /bin/bash

echo 'nameserver 8.8.8.8' > /etc/resolv.conf
echo "test" > /etc/hostname && \
sed -i 's/#TIMEZONE="Europe\/Madrid"/TIMEZONE="Europe\/Moscow"/g' /etc/rc.conf && \
sed -i 's/#KEYMAP="es"/KEYMAP="us"/g' /etc/rc.conf && \
sed -i 's/#TTYS=/TTYS=2/g' /etc/rc.conf

passwd root && chown root:root / && chmod 755 /

В /etc/defaults/grub

GRUB_CMDLINE_LINUX_DEFAULT="loglevel=4 slub_debug=P page_poison=1 rd.auto=1 cryptdevice=/dev/sda2:lvm"

Делаю

grub-install /dev/sda
xbps-reconfigure -f linux4.19

И на этом все зависает..

Executing post-install kernel hook: 50-grub

Помогите, пожалуйста, с проблемой...

 , , , ,

chepiga-and-borisov ()

Нюансы шифрования LUKS

Кто может подсказать меняется ли ключ шифрования LUKS при смене пароля? И насчет паролей, где то видел в интернете упоминание что LUKS позволяет создать до 8 паролей. Что это значит до 8 паролей, это можно задать сразу 8 паролей и любым из них дешифровывать тома или как? Помогите разобраться с этими нюансами.

 , ,

Deleted ()

Подводные камни при полнодисковом шифровании SSD

Есть идея поставить Debian на SSD и полностью его зашифровать, даже не оставлять неразмеченного пространства, раздел boot будет на флешке. В плане безопасности насколько это надежно, безопасно или небезопасно полностью шифровать SSD в LUKS+Ext4 при установке Debian? И еще такой нюанс, если использовать Trim при таком шифровании на SSD то в плане безопасности есть моменты которые должны насторожить?

 , , ,

Deleted ()

Максимальный размер файла в файловой системе Luks+Ext4?

Какой максимальный размер файла можно записать на жесткий диск в файловой системе Luks+Ext4 ?

 , , ,

Deleted ()

Как правильно закрыть контейнер dm-crypt

Открываю контейнер командой

$sudo cryptsetup luksOpen ....

Если надо отключить то отмонтирую разделы и закрываю контейнер

$sudo cryptsetup luksClose

но закрыть его не получается, в терминале выдаёт сообщение:

Device luks-504afb56-d789-463b-8d6f-514d9dfebb10 is still in use.

lsblk показывает, что всё отмонтированно. Проверил findmnt примонтированных разделов шифрованного диска нет совсем. lsof ничего не нашёл по названию контейнера.

Как правильно закрыть этот контейнер?

 ,

dima81 ()

Перестал грузиться шифрованный Xubuntu

Привет ЛОР! Помоги! Есть SSDшка с xubuntu шифрованная LUKSом, ни с того ни с сего перестала грузиться. В при загрузке вместо запроса пароля теперь стандартная менюшка с выбором ядра, мемтест итд. При выборе ситемы и начале загрузки пишется вот это:

Begin: Loading essential drivers
Begin: Running /scripts/init-premount... done
Begin: Mounting root file system... done
Warning: Failed to connect to lvmetand.
Falling back to device scanning.
Volume group "xubuntu-vg" not found
Begin: Running /scripts/init-premount... done
Begin: Waiting for suspend/resume device...
Begin: Running scripts/local-block... done
Gave up waiting for suspend/resume device done
Volume group "xubuntu-vg" not found
Cannot process volume group xubuntu-vg
done
done
Gave up waiting for root file system device. Common problems:
 -Boot args (cat /proc/cmdline)
 -Check rootdelay= (did the system long enough ?)
 -Missing modules (cat /proc/modules is/dev)
ALERT: /dev/mapper/xubuntu-vg-root does not exist. Dropping to shell!
Busy Box v.1.27.2 (Ubuntu 1:1.27.2-2ubuntu3) built-in shell (ash)
Enter 'help' for list of built-in commands
(initramfs)

Из этих трех советов понял только первый:
cat /proc/cmdline Результат:
BOOT_IMAGE=vmlinuz.4.16... root=/dev/mapper/xubuntu-vg-root ro
2:Где и как изменить rootdelay?
3:cat список модулей выдает, но только как называется отсутствующий?

Папка /boot почему-то абсолютно пуста.
Что случилось и можно ли это починить?

 , , ,

Kaernk ()

Производительность LUKS, Hardware RAID, no AES-NI, multithreaded

Есть домашняя машина на старом железе.

LSI контроллер и RAID0 массив из 6 дисков.

Чтение диска выдает хорошую скорость линейного чтения. Результат из DD:

5368709120 bytes (5.4 GB, 5.0 GiB) copied, 7.96162 s, 674 MB/s

Но чтение с раздела LUKS выдает уже в 2 раза меньше:

5368709120 bytes (5.4 GB, 5.0 GiB) copied, 19.8654 s, 270 MB/s

Скорее всего ограничение в скорости дешифрования. Проц старый Phenom II X4 на частоте 3.8 все 4 ядра.

htop показывает, что во время чтения используется либо 1 ядро на 100%, либо 2 ядра приблизительно каждое на 70%.

Cryptsetup benchmark показывает такую картинку, притом грузится только одно ядро:

#     Algorithm |       Key |      Encryption |      Decryption
        aes-cbc        128b       233.3 MiB/s       255.0 MiB/s
    serpent-cbc        128b        98.4 MiB/s       252.6 MiB/s
    twofish-cbc        128b       220.4 MiB/s       264.4 MiB/s
        aes-cbc        256b       184.7 MiB/s       197.2 MiB/s
    serpent-cbc        256b        98.4 MiB/s       252.3 MiB/s
    twofish-cbc        256b       220.1 MiB/s       264.0 MiB/s
        aes-xts        256b       253.2 MiB/s       255.5 MiB/s
    serpent-xts        256b       231.4 MiB/s       234.8 MiB/s
    twofish-xts        256b       248.7 MiB/s       246.7 MiB/s
        aes-xts        512b       195.2 MiB/s       197.2 MiB/s
    serpent-xts        512b       231.5 MiB/s       235.2 MiB/s
    twofish-xts        512b       248.8 MiB/s       246.4 MiB/s

Ось Fedora 29 (4.19.8-300.fc29.x86_64).

Может кто сталкивался?

Возможно ли утилизировать все ядра при шифровании, дешифровании?

 , ,

maxlinux ()

LUKS+LVM+TRIM (Samsung 860 Evo)

Вчера случайно обнаружил, что у меня не работает TRIM.

|-----------------------|
|    Samsung 860 EVO    |
|-----|-------|---------|
| EFI | /boot | LUKS    |
|-----|-------| └─ LVM  |
              |    └─ / |
              |---------|

Не работает fstrim:

sudo fstrim -v /
fstrim: /: the discard operation is not supported

Arch wiki:

Solid state drive users should be aware that, by default, TRIM commands are not enabled by the device-mapper, i.e. block-devices are mounted without the discard option unless you override the default.

cat /etc/crypttab                  
sda3_crypt UUID=be8c51fe-e99a-46fa-a085-63d117a8eb2e none luks

Arch wiki:

For non-root filesystems, configure /etc/crypttab to include discard in the list of options for encrypted block devices located on an SSD

У меня только /, но добавление опции discard в /etc/crypttab позволяет (после перезагрузки) выполнить fstrim.

Вопросы: Почему fstrim ругается на отсутствие discard? Что лучше, полноценно включить discard для / или делать fstrim по расписанию?

 , , , ,

aquadon ()

Не шифровать /boot раздел

Привет!

На Arch Linux использую systemd-boot не шифрую /boot и просто ввожу пароль на корневой раздел (Enter passphrase for /dev/sda2) - меня это устраивает

На Void Linux использую GRUB и ввожу пароль дважды, сначала на сам GRUB (Enter passphrase for hd0,gpt2) потом на коревой раздел (Enter passphrase for /dev/sda2) - меня это не устраивает

Сам /boot не зашифрован, но GRUB без GRUB_ENABLE_CRYPTODISK=y не устанавливается загрузчиком на целевой диск

GRUB_CMDLINE_LINUX_DEFAULT="rd.auto=1"
GRUB_CMDLINE_LINUX="cryptdevice=/dev/sda2:luks"
GRUB_ENABLE_CRYPTODISK=y

Как в Void использовать шифрование только корневого раздела, без запросов «Enter passphrase for hd0,gpt2» в GRUB? Нагуглил создание ключей в /boot - но меня это тоже не устраивает. Как просто зашифровать / для использования с GRUB?

 , , ,

huzurayezi ()

LVM2 LUKS Full-disk backup

Есть несколько томов LVM2 (на LUKS), физически живущие на одном диске: /boot/efi, /boot и /. Требуется максимально просто делать полные бекапы диска, чтобы состояние ОС можно было восстановить, просто накатив образ обратно. Пользовательские данные особо не важны (хотя, хомяк живет в /).

Требования:

1. Возможность делать online backup (т.е. во время работы ОС). Поэтому всякие clonezilla не подходят.

2. Инкрементальные бекапы. Т.е. просто сделать dd не получится. Диск большого размера (относительно) и зашифрован. Обычно, реально используемый объем данных сильно меньше объема диска. Банальная копия будет занимать слишком много места.

3. Максимально простой интерфейс (можно только консольный) и возможность настраивать бекапы по крону.

4. Бекапы будут хранится на отдельном диске (LVM2/LUKS).

Все, что я пока нашел - это куча туториалов, как написать свой скрипт для бекапов. А есть-ли готовые решения? Нашел Timeshift, но, кажется, он только графический (без возможности запуска из консоли) и страдает какими-то багами, которые не очень активно фиксятся (можно увидеть в разделе issues).

 , , ,

maverik ()

Cryptsetup 2.0

Релиз был почти год назад, но упоминаний маловато.

  • Кто-нибудь уже пользуется LUKS2?
    • Как там скорость с новыми 4k блоками?
  • А dm-integrity?
    • Теперь можно не бояться, что raid-1 из двух экземпляров будет недостаточно для восстановления при тихой ошибке?
    • С журналом всё так плохо(двойная запись)?

 , ,

boowai ()

Загрузка с несколькими шифрованными PV

Я правильно понимаю, что генерируемые initramfs заточены на открытие только одного LUKS? Схема с несколькими PV, некоторые из которых зашифрованы, деградирует, придётся следить за расположением / и /usr, dm-raid тоже пролетает?

Самому можно настроить как угодно. Вопрос пока про genkernel, dracut и прочие.

 , , , ,

boowai ()

Как примонтировать раздел из LUKS'а с опцией только чтение? Нужно монтировать только последний нужный раздел, или всю ветку? Как отмонтировать?

У меня есть диск, на нём LUKS потом LVM и только после этого нужный раздел. LUKS я уже победил, но вот монтирование.

$ lsblk -f

sdb                       0  0 disk  
├─sdb1                    0  0 part  
├─sdb2                    0  0 part  
└─sdb3  crypto_LUKS                0  0 part
  └─luks  LVM2_member                0  1 crypt 
    ├─VG-yaya  ext4  yaya     0  0 lvm
До открытия LUKS — yaya был /dev/sdb5 и всё казалось бы было просто, как мне теперь его монтирования? Нужно всё дерево вручную монтировать(crypto_LUKS, LVM2_member, yaya ext4)?

$ ls -l /dev/mapper/

VG-yaya -> ../dm-4
Тот UUID что я взял из blkid /dev/sdb3 уже не подойдёт, правильно?

Если я хочу закрыть LUKS, то у меня это не получается командной cryptsetup luksClose: в консоли какое-то сообщение о том что что-то ожидается, а потом: «Device ... is still in use»

 , ,

just_a_brake ()

LUKS раздел и /etc/fstab, /etc/crypttab — в чём разница? Нужно редактировать оба файла для подключения LUKS раздела?

Я не понимаю, для того чтобы примонтировать LUKS раздел нужно «настройки» писать в crypttab и fstab?

Чтобы подключить весь раздел как read only нужно в обоих файлах задать такие настройки?

 , ,

just_a_brake ()

Подключить в VirtualBox систему ubuntu из образа dd, с зашифрованным разделом luks

Есть диск с установленной Ubuntu, небольшой раздел /boot и потом зашифрованный раздел luks. Можно ли эту систему перегнать в VirtualBox? В инете есть описания как один раздел подключить через losetup и подсунуть вбоксу, а так что бы сразу диск найти не могу.

 ,

victor79 ()

Несколько вопросов по настройки Grub2

Приветствую всех. Сразу скажу, пользователь линукса я не опытный, посему, прошу, более-менее разжевать.

Имеется Xubuntu 18.04, полнодисковое шифрование с помощью LUKS+LVM, бут так же зашифрован, прописаны к нему конфиги в настройках граба (делал по мануалу).

Собственно вопросы связаны с этим: 1) Можно ли изменить окно при загрузки компьютера, где просят ввести пароль от бута (там где написано, чтобы ввели пароль и ниже строка с UUID и какие то еще данные) на кастомное, например написать вместо этого свое слово? Как вариант если нельзя свое - просто черным оставить, без надписей. 2) При обновление системы, можно ли все потерять? Т.е. например обновится граб, а с ним и мои конфиги с параметрами для запуска зашифрованного бута. Если да - то как этого избежать? Сюда же вопрос: Как все же надежнее, сделать как я, или хранить бут на флешке? В плане даже сохранности данных, случае варианта из пункта 2, если он возможен.

3) Ну и чтоб не плодить темы - Можно ли добавить Nuke LUKS на текущую конфигурацию, ничего не поломав? Т.е. имеем просто зашифрованный диск с помощью LUKS без всяких «примочек», кроме бута, и просто с помощью определенных манипуляций, добавить функцию Nuke (стереть заголовки определенным паролем, дабы «убить» инфу).

 , ,

Alpiden ()

Не работает suspend-to-disk на шифрованном swap

Добрый день.

Пытаюсь настроить suspend-to-disk с использованием шифрованного swap раздела.

На данный момент данная схема не работает: swap работает нормально, systemctl hibernate отрабатывает нормально, но resume не происходит и система загружается по-новой. Сейчас такое сообщение ошибки в journalctl:

Timed out waiting for device dev-disk-by\x2duuid-ec422827\x2d8d03\x2d4547\x2da107\x2dd6b9797c1d58.device.

Если swap не шифрован, то suspend-to-disk работает нормально.

Конфигурация системы: Fedora 28.

Информация, которая может быть полезна:

swapon -s

Имя файла                               Тип             Размер  Исп-но  Приоритет
/dev/dm-2                               partition       25708540        0       -2

free -m
              total        used        free      shared  buff/cache   available
Mem:          24053        7374       13517         283        3161       16062
Swap:         25105           0       25105
cat /etc/default/grub
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT="console"
GRUB_CMDLINE_LINUX="rd.driver.blacklist=nouveau modprobe.blacklist=nouveau nvidia-drm.modeset=1 rd.luks.uuid=luks-384de2b6-3fdf-4fa7-9f62-a34d6d82f680 rhgb quiet resume=UUID=ec422827-8d03-4547-a107-d6b9797c1d58"
GRUB_DISABLE_RECOVERY="true"
fdisk -l
Диск /dev/nvme0n1: 465,8 GiB, 500107862016 байт, 976773168 секторов
Единицы: секторов по 1 * 512 = 512 байт
Размер сектора (логический/физический): 512 байт / 512 байт
Размер I/O (минимальный/оптимальный): 512 байт / 512 байт
Тип метки диска: gpt
Идентификатор диска: D155F5DD-C780-4729-B274-A4D64830F158

Устр-во            начало     Конец   Секторы Размер Тип
/dev/nvme0n1p1       2048   1023999   1021952   499M Среда для восстановления Microsoft
/dev/nvme0n1p2    1024000   1226751    202752    99M EFI
/dev/nvme0n1p3    1226752   1259519     32768    16M Зарезервированный раздел Microsoft
/dev/nvme0n1p4    1259520 204799999 203540480  97,1G Microsoft basic data
/dev/nvme0n1p5  204800000 562978815 358178816 170,8G Microsoft basic data
/dev/nvme0n1p6  614400000 614924287    524288   256M EFI
/dev/nvme0n1p7  614924288 616972287   2048000  1000M Файловая система Linux
/dev/nvme0n1p8  616972288 723472383 106500096  50,8G Файловая система Linux
/dev/nvme0n1p9  723472384 976773119 253300736 120,8G Файловая система Linux
/dev/nvme0n1p10 562978816 614399999  51421184  24,5G Linux своп

Элементы таблицы разделов упорядочены не так, как на диске.


Диск /dev/mapper/luks-384de2b6-3fdf-4fa7-9f62-a34d6d82f680: 50,8 GiB, 54525952000 байт, 106496000 секторов
Единицы: секторов по 1 * 512 = 512 байт
Размер сектора (логический/физический): 512 байт / 512 байт
Размер I/O (минимальный/оптимальный): 512 байт / 512 байт


Диск /dev/mapper/luks-a631bb86-8605-4145-931d-e95bfe6d5e72: 120,8 GiB, 129687879680 байт, 253296640 секторов
Единицы: секторов по 1 * 512 = 512 байт
Размер сектора (логический/физический): 512 байт / 512 байт
Размер I/O (минимальный/оптимальный): 512 байт / 512 байт


Диск /dev/mapper/swap: 24,5 GiB, 26325549056 байт, 51417088 секторов
Единицы: секторов по 1 * 512 = 512 байт
Размер сектора (логический/физический): 512 байт / 512 байт
Размер I/O (минимальный/оптимальный): 512 байт / 512 байт
cat /etc/crypttab
luks-384de2b6-3fdf-4fa7-9f62-a34d6d82f680 UUID=384de2b6-3fdf-4fa7-9f62-a34d6d82f680 none discard
luks-a631bb86-8605-4145-931d-e95bfe6d5e72 UUID=a631bb86-8605-4145-931d-e95bfe6d5e72 none discard
swap /dev/nvme0n1p10 none luks
cat /etc/fstab 

#
# /etc/fstab
# Created by anaconda on Tue Jul  3 01:18:50 2018
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/luks-384de2b6-3fdf-4fa7-9f62-a34d6d82f680 /                       ext4    defaults,x-systemd.device-timeout=0 1 1
UUID=ae87099a-7a6b-42bd-93f2-fb5a0a685cd9 /boot                   ext4    defaults        1 2
UUID=4508-3B24          /boot/efi               vfat    umask=0077,shortname=winnt 0 2
/dev/mapper/luks-a631bb86-8605-4145-931d-e95bfe6d5e72 /home                   ext4    defaults,x-systemd.device-timeout=0 1 2
/dev/mapper/swap swap swap defaults 0 0

 , , ,

zamazan4ik ()