LINUX.ORG.RU

18
Всего сообщений: 172

Не работает suspend-to-disk на шифрованном swap

Добрый день.

Пытаюсь настроить suspend-to-disk с использованием шифрованного swap раздела.

На данный момент данная схема не работает: swap работает нормально, systemctl hibernate отрабатывает нормально, но resume не происходит и система загружается по-новой. Сейчас такое сообщение ошибки в journalctl:

Timed out waiting for device dev-disk-by\x2duuid-ec422827\x2d8d03\x2d4547\x2da107\x2dd6b9797c1d58.device.

Если swap не шифрован, то suspend-to-disk работает нормально.

Конфигурация системы: Fedora 28.

Информация, которая может быть полезна:

swapon -s

Имя файла                               Тип             Размер  Исп-но  Приоритет
/dev/dm-2                               partition       25708540        0       -2

free -m
              total        used        free      shared  buff/cache   available
Mem:          24053        7374       13517         283        3161       16062
Swap:         25105           0       25105
cat /etc/default/grub
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT="console"
GRUB_CMDLINE_LINUX="rd.driver.blacklist=nouveau modprobe.blacklist=nouveau nvidia-drm.modeset=1 rd.luks.uuid=luks-384de2b6-3fdf-4fa7-9f62-a34d6d82f680 rhgb quiet resume=UUID=ec422827-8d03-4547-a107-d6b9797c1d58"
GRUB_DISABLE_RECOVERY="true"
fdisk -l
Диск /dev/nvme0n1: 465,8 GiB, 500107862016 байт, 976773168 секторов
Единицы: секторов по 1 * 512 = 512 байт
Размер сектора (логический/физический): 512 байт / 512 байт
Размер I/O (минимальный/оптимальный): 512 байт / 512 байт
Тип метки диска: gpt
Идентификатор диска: D155F5DD-C780-4729-B274-A4D64830F158

Устр-во            начало     Конец   Секторы Размер Тип
/dev/nvme0n1p1       2048   1023999   1021952   499M Среда для восстановления Microsoft
/dev/nvme0n1p2    1024000   1226751    202752    99M EFI
/dev/nvme0n1p3    1226752   1259519     32768    16M Зарезервированный раздел Microsoft
/dev/nvme0n1p4    1259520 204799999 203540480  97,1G Microsoft basic data
/dev/nvme0n1p5  204800000 562978815 358178816 170,8G Microsoft basic data
/dev/nvme0n1p6  614400000 614924287    524288   256M EFI
/dev/nvme0n1p7  614924288 616972287   2048000  1000M Файловая система Linux
/dev/nvme0n1p8  616972288 723472383 106500096  50,8G Файловая система Linux
/dev/nvme0n1p9  723472384 976773119 253300736 120,8G Файловая система Linux
/dev/nvme0n1p10 562978816 614399999  51421184  24,5G Linux своп

Элементы таблицы разделов упорядочены не так, как на диске.


Диск /dev/mapper/luks-384de2b6-3fdf-4fa7-9f62-a34d6d82f680: 50,8 GiB, 54525952000 байт, 106496000 секторов
Единицы: секторов по 1 * 512 = 512 байт
Размер сектора (логический/физический): 512 байт / 512 байт
Размер I/O (минимальный/оптимальный): 512 байт / 512 байт


Диск /dev/mapper/luks-a631bb86-8605-4145-931d-e95bfe6d5e72: 120,8 GiB, 129687879680 байт, 253296640 секторов
Единицы: секторов по 1 * 512 = 512 байт
Размер сектора (логический/физический): 512 байт / 512 байт
Размер I/O (минимальный/оптимальный): 512 байт / 512 байт


Диск /dev/mapper/swap: 24,5 GiB, 26325549056 байт, 51417088 секторов
Единицы: секторов по 1 * 512 = 512 байт
Размер сектора (логический/физический): 512 байт / 512 байт
Размер I/O (минимальный/оптимальный): 512 байт / 512 байт
cat /etc/crypttab
luks-384de2b6-3fdf-4fa7-9f62-a34d6d82f680 UUID=384de2b6-3fdf-4fa7-9f62-a34d6d82f680 none discard
luks-a631bb86-8605-4145-931d-e95bfe6d5e72 UUID=a631bb86-8605-4145-931d-e95bfe6d5e72 none discard
swap /dev/nvme0n1p10 none luks
cat /etc/fstab 

#
# /etc/fstab
# Created by anaconda on Tue Jul  3 01:18:50 2018
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/luks-384de2b6-3fdf-4fa7-9f62-a34d6d82f680 /                       ext4    defaults,x-systemd.device-timeout=0 1 1
UUID=ae87099a-7a6b-42bd-93f2-fb5a0a685cd9 /boot                   ext4    defaults        1 2
UUID=4508-3B24          /boot/efi               vfat    umask=0077,shortname=winnt 0 2
/dev/mapper/luks-a631bb86-8605-4145-931d-e95bfe6d5e72 /home                   ext4    defaults,x-systemd.device-timeout=0 1 2
/dev/mapper/swap swap swap defaults 0 0

 , , ,

zamazan4ik ()

Итерации хешей, насколько это криптобезопасно?

Поясните вот про что. Как я понимаю, сами алгоритмы шифрования вроде AES достаточно хорошо исследованы, но что с алгоритмами их практического применения?

Например, в luks и truecrypt с некоторыми отличиями в деталях, но пароль пользователя хэшируется (обычно sha256/sha512) много раз (например сто тысяч раз и более) для замедления подбора. Этим хэшем потом шифруется (расшифровывается) MasterKey, используемый для всего контейнера.

Но доказано ли, что итерации хэша не сужают в итоге количество вариантов (не уменьшают энтропию)?

 , , ,

praseodim ()

luks: раcшифровка по паролю И ключу

Привет.

Я знаю, что есть 8 слотов, в каждый из которых можно добавить passphrase или key file. Для разблокировки раздела можно использовать любой слот.

Теперь вопрос: можно ли сделать так, чтобы для разблокировки нужен был и пароль и ключ, а не только что-то одно? Если нет, то м.б. truecrypt или veracrypt так умеет.

Что-то я ничего не нашел в спутнике.

 , , , ,

maverik ()

При загрузке системы возникает ошибка: ALERT UUID=<...> does not exist. Dropping to a shell!

Здравствуйте!

Недавно занимался установкой Debian через Debootstrap на полностью зашифрованный жёсткий диск (без таблицы разделов, зашифрованный раздел занимает всё пространство). При этом свои личные файлы перенёс в специальную папку, /boot же вынес на флешку. Не могу загрузить установленную систему. При попытке загрузки система запрашивает пароль от жёсткого диска, стартует GRUB, затем, после запуска системы появляется сообщение:

Gave up waiting for root file system device. Common problems:

- Boot args (cat /proc/cmdline)
- Check rootdelay= (did the system wait long enough?)
- Missing modules (cat /proc/modules; ls /dev)

ALERT UUID=<UUID зашифрованной ФС> does not exist. Dropping to a shell!

Файл /etc/crypttab заполнен следующим образом:

systemdiamonds /dev/disk/by-uuid/<UUID жёсткого диска> none luks

Файл /etc/fstab заполнен следующим образом:

UUID=<UUID зашифрованной ФС> / ext4 rw,user,auto,exec,dev 0 0
UUID=<UUID загрузочной флешки> /boot ext4 defaults 00
/swap none swap defaults 0 0
proc /proc proc defaults 0 0

Не подскажите, в чём может быть причина? И что нужно сделать?

 , , ,

ShiningRiver ()

LuksOpen : Не создается block device

Перестал открываться криптованный раздел после обновления ядра. Обнаружил, что /dev/mapper/<crypt_name> отсутствует.

#cryptsetup luksOpen /dev/sdc3 enc -d /path/to/key-file
должен создать девайс /dev/mapper/enc, но почему-то ничего не создает. Ошибок никаких тоже не возвращает. Ну и соответственно монтировать некого.

Сам заголовок раздела luks в порядке вроде.

В чем может быть причина?

.config тут: https://pastebin.com/v5BmhMTr

Опции ядра вроде все активированы, dmcrypt в default runlevel добавлен.

 

Chord ()

Backup зашифрованных разделов LUKS

Образ всего зашифрованного раздела можно сделать, без проблем. Но как сделать такой образ, чтобы из 160 Гб, к примеру, записались в образ только реальные 15 Гб данных (остальные 145 Гб не заполнены). Clonezilla может это делать, но только не с зашифрованными разделами, как я понял. Это возможно или противоречит самой природе шифрованных разделов? Правильно ли я понял, что в шифрации данных участвует всё выделенное место под раздел?

Если я прав, то это обратная сторона медали шифрованных разделов - придётся тупо копировать всё пространство(.

 , , ,

Desmond_Hume ()

Luks + USB key + Загрузка полторы минуты.

Всем привет. От программирования я очень далек. Но как то встал вопрос можно ли зашифровать диск и запускать его с usb ключа. Почитав я узнал про Luks. Установил Ubuntu 18.04. Настроил обращение к ключу на флешке согласно этого мануала 8 летней давности http://open-life.org/blog/paranoia/750.html И все мне нравится, кроме одного. При загрузке возникает что-то из за чего загрузка идет 2 минуты. p.s. свап файла нет и раздела тоже. Вот фотка экрана https://d.radikal.ru/d12/1806/12/9e5c1f0f1fe8.png

 ,

melomane ()

Монтирование системных дисков с LUKS с использованием ключей на USB носителе

Система Debian Testing. В наличии системный SSD с зашифрованным рутом и еще два отдельных шифрованных диска.

В Debian после введения systemd появились определенные конфликты с монтированием системных дисков с использование ключей. Кое-как по крохам информации в интернете сумел настроить автодекрипт и монтирование дисков при загрузке системы с использованием ключей на usb устройстве.

Что сделано:

# /etc/fstab
/dev/mapper/system--vg-root /               ext4    errors=remount-ro 0       1

# /boot was on /dev/sdb2 during installation
UUID=<uuid> /boot           ext2    defaults        0       2
# /boot/efi was on /dev/sdb1 during installation
UUID=<uuid>  /boot/efi       vfat    umask=0077      0       1
/dev/mapper/system--vg-swap_1 none            swap    sw              0       0

# USB key
LABEL=<label>         /mnt/key        ext4    defaults,nofail,x-systemd.device-timeout=1

/dev/mapper/cdata       /mnt/cdata      ext4    defaults        0       1
/dev/mapper/cvm         /mnt/cvm        ext4    defaults        0       1

# /etc/crypttab
sdb3_crypt /dev/disk/by-uuid/<uuid> /dev/disk/by-label/<label>:/root.key luks,keyscript=/lib/cryptsetup/scripts/passdev
cdata   UUID=<uuid> /mnt/key/cdata.key luks
cvm     UUID=<uuid> /mnt/key/cvm.key luks
# /etc/default/cryptdisks
CRYPTDISKS_MOUNT='/mnt/key'
systemctl mask systemd-cryptsetup@sdb3_crypt.service
update-initramfs -u -k all

Система загружается, диски монтируются. Затем, если просто достаю флешку с ключами, диски cdata и cvm демонтируются. Если предварительно вручную размонтировать usb устройство и только затем вытащить, то все нормально. Как это дело более грамотно обыграть? Каждый раз лезть в консоль и вбивать «sudo umount /mnt/key» очень неудобно.

И вообще, есть здесь люди с похожим сетапом? Как это реализовано у вас? Не покидает ощущение, что у меня костыль на костыле и при каком-нибудь обновлении системы все слетит.

 , ,

SamuelLJ ()

Preseet для установки Ubuntu на шифрованный раздел.

Всем привет. Проконсультируйте или подскажите в таком вопросе. Мне нужно сделать пресет для автоматической установки Ubuntu 16.04 на шифрованный luks-раздел. функция md-crypt правильно не отрабатывает, инсталятор крешится с ошибкой.Кто сталкивался с данным вопросом. прошу помощи.

 , ,

seempson ()

sync ext4

Флешка полностью зашифрованна LUKSом, на ней лежит профиль ФырФокса и данные с Nextcloud. Если использовать опцию sync при монтировании этой флешки, то можно будет не боясь выдергивать её без размонтирования? Ведь мы минуем все кэши и сразу пишем в память флешки.

 , ,

FluffyPillow ()

Cryptsetup luks . Вынос заголовка с загрузчиком на USB .

Всем здравствуйте . У меня есть операционная система Linux на жестком диске , зашифрованная с помощью LUKS . Какие шаги нужно предпринять , чтобы перенести загрузчик с заголовком LUKS на USB , и это все работало ? Заранее спасибо за ответ .

 , , ,

Prostovasiliy ()

init RAM disk, как добавить необходимый софт.

Здравствуйте, уважаемые форумчане. Хочу научиться конфигурировать загрузчик.

В результате необходимо, что-бы выбранная программа запускалась автоматически, ну, например, openssh сервер или же hostapd, или openvpn. Стоит учесть, что основной том зашифрован при помощи LUKS.

Хочу отметить, что мне не обязательно нужны примеры с программами, указанными выше, полностью подойдет гайд по установке любого другого программного обеспечения.

Сама сложность для меня состоит в том, чтобы:

1)Добавить зависимости программы.

2)Написать скрипт для ее работы, ну и остальные аспекты, связанные с ее запуском.

Буду рад любым идеям и любой помощи.

 , , ,

Marex ()

luks vs veracrypt

Привет

В чем плюсы/минусы luks по сравнению с veracrypt? Алгоритмы, функционал, простота использования, ...

 , ,

Kroz ()

Hotspot в boot разделе.

Добрый день, уважаемые форумчане. Имею raspberry pi 3. Зашифровал всю систему используя LUKS. В загрузчике стоит dropbear ssh. Однако, что-бы через него разблокировать систему, нужно подключение к сети, а на этом этапе точка доступа еще не включается (система то зашифрована) Сейчас интернет принимает по ethernet, но такая возможность представляется не всегда.

Вопрос: как можно получить доступ к ssh имея только raspberry и телефон?

1) Можно ли в initramfs прописать автоматическое подключение к определенный WiFi сети? (Сеть можно поднять на телефоне)

2) Можно ли на этом этапе поднять hotspot, через hostapd?

Может у вас есть идеи... Ну, например, расшифровка через флешку, докупка мини-роутера, монитора и т.д. Конечно, в приоритете являются два вопроса, описанные выше, а вы что думаете?

 , , ,

Marex ()

Шифрованный раздел после hard reboot

Дратути.

После внезапного ребута сервера куда-то делся шифрованный раздел.
Он был в RAID1 дисков sda3 и sdb3.

В гугле ситуации «luks after hard reboot» ещё не было, поэтому пишу вам, может, кто знает.

edx-ng ~ # cryptsetup luksDump /dev/md3
Device /dev/md3 is not a valid LUKS device.


/dev/md3:
        Version : 0.90
  Creation Time : Tue Nov  1 12:10:46 2016
     Raid Level : raid1
     Array Size : 1932506048 (1842.98 GiB 1978.89 GB)
  Used Dev Size : 1932506048 (1842.98 GiB 1978.89 GB)
   Raid Devices : 2
  Total Devices : 2
Preferred Minor : 3
    Persistence : Superblock is persistent

  Intent Bitmap : Internal

    Update Time : Mon Apr 23 08:54:45 2018
          State : active 
 Active Devices : 2
Working Devices : 2
 Failed Devices : 0
  Spare Devices : 0

           UUID : 87979b7a:0bb9b950:a4d2adc2:26fd5302
         Events : 0.44028

    Number   Major   Minor   RaidDevice State
       0       8        3        0      active sync   /dev/sda3
       1       8       19        1      active sync   /dev/sdb3


# hexdump -C -n 2048 /dev/md3

http://paste.org.ru/?tvwz0j


______________________________

По отдельности, без рейда, диски, соответственно, тоже не монтируются.
Что это может быть и есть ли варианты оживить его?
Может, я что-то не так понимаю? Как мог raid1 с luks рассыпаться от хард ребута?

 ,

annerleen ()

Помогите с настройкой гибернации в генте (своп на LVM on LUKS)

Вот вся инфа, которую догадался предоставить.

# zcat /proc/config.gz | grep HIBER
CONFIG_ARCH_HIBERNATION_POSSIBLE=y
CONFIG_ARCH_HIBERNATION_HEADER=y
CONFIG_HIBERNATE_CALLBACKS=y
CONFIG_HIBERNATION=y

# zcat /proc/config.gz | grep SUSP
CONFIG_ARCH_SUSPEND_POSSIBLE=y
CONFIG_OLD_SIGSUSPEND3=y
CONFIG_SUSPEND=y
CONFIG_SUSPEND_FREEZER=y
# CONFIG_SUSPEND_SKIP_SYNC is not set
# CONFIG_BT_HCIBTUSB_AUTOSUSPEND is not set

# cat /proc/cmdline
BOOT_IMAGE=/kernel-genkernel-x86_64-4.16.2-gentoo root=/dev/mapper/lvm-root ro crypt_root=UUID=74f4955f-b422-4abe-8bcf-8329919222aa dolvm real_root=UUID=bbd59fba-ed35-4289-86a1-5c16106f2317 real_resume=UUID=a6401d1c-1769-45b0-b582-8b16e238f6bf

# lsblk -o name,type,mountpoint
NAME           TYPE  MOUNTPOINT
sda            disk 
├─sda1         part  /boot/efi
├─sda2         part 
│ └─cboot      crypt /boot
└─sda3         part 
  └─root       crypt
    ├─lvm-swap lvm   [SWAP]
    ├─lvm-root lvm   /
    └─lvm-home lvm   /home
sr0            rom 

Ядро собирал генкернелом. Как видно, своп располагается в довольно труднодоступном месте.

Что я понял из процесса загрузки: сначала грубом грузится ядро, чё-то там своё делает, потом передаёт руль initramfs, который просит у меня пароль от рута, разблокирует его и получает-таки доступ к заветному свопу, на который s2disk в прошлый раз уложил (кстати, вроде бы вполне успешно) систему спать.

Судя по всему, initramfs свою функцию выполняет, т.к. после ввода пароля я замечаю в летящем вверх логе что-то про real_resume, обнаруженный на /dev/dm-1, а ещё убеждаюсь, что initramfs успел записать этот самый /dev/dm-1 в /sys/power/resume (в чём я убеждаюсь чуть позже, после провала resume):

# cat /sys/power/resume
253:1
# file /dev/dm-1
/dev/dm-1: block special (253/1) 
Тем не менее, лог продолжает лететь вверх, а мне всучивают новую систему, нагло игнорируя содержимое свопа и ломая мне неотмонтированные при уходе баиньки файловые системы.

Я точно не знаю, что здесь не так и почему лыжи не едут, но у меня есть несколько гипотез:

1) «253:1» - не совсем тот формат, который нужен в новых модных ядрах линя (у меня 4.16.2, если что)

2) запись в /sys/power/resume происходит невовремя (например, когда примонтирован настоящий рут, или, наоборот, не примонтирован)

3) просто кривые конфиги ядра

Короче, если у кого есть идеи, куда двигаться, или если кто такую систему уже заставлял выходить из гибернации, то прошу поделиться.

Я ещё слышал, что существуют разные виды саспенда, типа TuxOnIce и swsusp, нифига не понял, чем они отличаются, и пришёл к выводу, что у меня swsusp, исходя из структуры каталогов на /sys. Если это не так, то я вообще не в ту сторону думаю, тогда проясните мне ситуацию.

 , , ,

tsmx ()

Рутокен ЭЦП PKI

Попался в руки этот сабж. Хочется избавиться от паролей и ключ-файлов с шифрованных разделов (LUKS) и открывать их через этот токен. Можно ссылок на гайды по интеграции токенов с линем?

 , ,

FluffyPillow ()

Медленный dm-crypt, почему?

Бенчмарк cryptsetup показывает, что скорость шифрования более чем втрое больше скорости записи на диск, то есть вроде как шифрование не должно быть узким местом, но на деле скорость записи на шифрованный раздел вдвое меньше, чем на нешифроанный.
Почему так может быть?

Бнчмарк:

» cryptsetup benchmark    
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1      1236528 iterations per second for 256-bit key
PBKDF2-sha256    1583951 iterations per second for 256-bit key
PBKDF2-sha512    1067796 iterations per second for 256-bit key
PBKDF2-ripemd160  862315 iterations per second for 256-bit key
PBKDF2-whirlpool  633198 iterations per second for 256-bit key
#     Algorithm | Key |  Encryption |  Decryption
        aes-cbc   128b   698,2 MiB/s  2265,7 MiB/s
    serpent-cbc   128b    83,5 MiB/s   340,9 MiB/s
    twofish-cbc   128b   184,6 MiB/s   376,5 MiB/s
        aes-cbc   256b   519,6 MiB/s  1782,3 MiB/s
    serpent-cbc   256b    89,0 MiB/s   344,2 MiB/s
    twofish-cbc   256b   191,6 MiB/s   370,6 MiB/s
        aes-xts   256b  1555,7 MiB/s  1569,8 MiB/s
    serpent-xts   256b   355,3 MiB/s   339,8 MiB/s
    twofish-xts   256b   366,2 MiB/s   364,7 MiB/s
        aes-xts   512b  1288,3 MiB/s  1291,3 MiB/s
    serpent-xts   512b   356,7 MiB/s   339,8 MiB/s
    twofish-xts   512b   368,3 MiB/s   371,0 MiB/s
Контейнер:
» sudo cryptsetup status /dev/mapper/luks-df63558b-b644-435e-8135-72609beb62b7 
/dev/mapper/luks-df63558b-b644-435e-8135-72609beb62b7 is active and is in use.
  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 256 bits
  device:  /dev/mapper/intelssd-lvol0
  offset:  4096 sectors
  size:    10481664 sectors
  mode:    read/write
Шифрованный раздел:
» dd if=/dev/zero of=/media/Crypt/null bs=1M count=4000 status=progress oflag=direct
4000+0 записей получено
4000+0 записей отправлено
4194304000 байт (4,2 GB, 3,9 GiB) скопирован, 22,9683 s, 183 MB/s
Обычный раздел:
» dd if=/dev/zero of=$HOME/null bs=1M count=4000 status=progress oflag=direct
4000+0 записей получено
4000+0 записей отправлено
4194304000 байт (4,2 GB, 3,9 GiB) скопирован, 9,26037 s, 453 MB/s
При записи прямо на блочное устройство, а также с другими параметрами шифрования (aes-cbc, 128bit), скорость особо не меняется.

 , , ,

gasinvein ()

Расшифровка LUKS при автозагрузке

Добрый день. Для общего образования хотел бы узнать как можно реализовать расшифровку luks раздела home при загрузке OS. Если использовать ecryptfs то там в fstab подтягивается сам раздел /home и после подтягивания прописывается /home/user /home/user ecryptfs defaults 0 0 но при этом должен быть конфиг. А с luks, можно ли это сделать, или только его можно использовать для расшифровки через консоль определенного раздела ? И есть ли у luks «фейковый» раздел после ввода второго пароля для котиков? В интернете нет конкретной информации, собрал только по ниточкам чтобы более менее понять суть luks.

 

TheLinuxUser ()

Please unlock disk... Можно ли убрать?

При шифрованиии диска LUKS , при загрузке, видно сообщение из топика. Можно его как-то убрать/скрыть/изменить? Типа как в старом добром Truecrypt.

Перемещено Shaman007 из talks

 , ,

Kaernk ()