LINUX.ORG.RU

19
Всего сообщений: 158

Шифрованный раздел после hard reboot

Дратути.

После внезапного ребута сервера куда-то делся шифрованный раздел.
Он был в RAID1 дисков sda3 и sdb3.

В гугле ситуации «luks after hard reboot» ещё не было, поэтому пишу вам, может, кто знает.

edx-ng ~ # cryptsetup luksDump /dev/md3
Device /dev/md3 is not a valid LUKS device.


/dev/md3:
        Version : 0.90
  Creation Time : Tue Nov  1 12:10:46 2016
     Raid Level : raid1
     Array Size : 1932506048 (1842.98 GiB 1978.89 GB)
  Used Dev Size : 1932506048 (1842.98 GiB 1978.89 GB)
   Raid Devices : 2
  Total Devices : 2
Preferred Minor : 3
    Persistence : Superblock is persistent

  Intent Bitmap : Internal

    Update Time : Mon Apr 23 08:54:45 2018
          State : active 
 Active Devices : 2
Working Devices : 2
 Failed Devices : 0
  Spare Devices : 0

           UUID : 87979b7a:0bb9b950:a4d2adc2:26fd5302
         Events : 0.44028

    Number   Major   Minor   RaidDevice State
       0       8        3        0      active sync   /dev/sda3
       1       8       19        1      active sync   /dev/sdb3


# hexdump -C -n 2048 /dev/md3

http://paste.org.ru/?tvwz0j


______________________________

По отдельности, без рейда, диски, соответственно, тоже не монтируются.
Что это может быть и есть ли варианты оживить его?
Может, я что-то не так понимаю? Как мог raid1 с luks рассыпаться от хард ребута?

 ,

annerleen ()

Помогите с настройкой гибернации в генте (своп на LVM on LUKS)

Вот вся инфа, которую догадался предоставить.

# zcat /proc/config.gz | grep HIBER
CONFIG_ARCH_HIBERNATION_POSSIBLE=y
CONFIG_ARCH_HIBERNATION_HEADER=y
CONFIG_HIBERNATE_CALLBACKS=y
CONFIG_HIBERNATION=y

# zcat /proc/config.gz | grep SUSP
CONFIG_ARCH_SUSPEND_POSSIBLE=y
CONFIG_OLD_SIGSUSPEND3=y
CONFIG_SUSPEND=y
CONFIG_SUSPEND_FREEZER=y
# CONFIG_SUSPEND_SKIP_SYNC is not set
# CONFIG_BT_HCIBTUSB_AUTOSUSPEND is not set

# cat /proc/cmdline
BOOT_IMAGE=/kernel-genkernel-x86_64-4.16.2-gentoo root=/dev/mapper/lvm-root ro crypt_root=UUID=74f4955f-b422-4abe-8bcf-8329919222aa dolvm real_root=UUID=bbd59fba-ed35-4289-86a1-5c16106f2317 real_resume=UUID=a6401d1c-1769-45b0-b582-8b16e238f6bf

# lsblk -o name,type,mountpoint
NAME           TYPE  MOUNTPOINT
sda            disk 
├─sda1         part  /boot/efi
├─sda2         part 
│ └─cboot      crypt /boot
└─sda3         part 
  └─root       crypt
    ├─lvm-swap lvm   [SWAP]
    ├─lvm-root lvm   /
    └─lvm-home lvm   /home
sr0            rom 

Ядро собирал генкернелом. Как видно, своп располагается в довольно труднодоступном месте.

Что я понял из процесса загрузки: сначала грубом грузится ядро, чё-то там своё делает, потом передаёт руль initramfs, который просит у меня пароль от рута, разблокирует его и получает-таки доступ к заветному свопу, на который s2disk в прошлый раз уложил (кстати, вроде бы вполне успешно) систему спать.

Судя по всему, initramfs свою функцию выполняет, т.к. после ввода пароля я замечаю в летящем вверх логе что-то про real_resume, обнаруженный на /dev/dm-1, а ещё убеждаюсь, что initramfs успел записать этот самый /dev/dm-1 в /sys/power/resume (в чём я убеждаюсь чуть позже, после провала resume):

# cat /sys/power/resume
253:1
# file /dev/dm-1
/dev/dm-1: block special (253/1) 
Тем не менее, лог продолжает лететь вверх, а мне всучивают новую систему, нагло игнорируя содержимое свопа и ломая мне неотмонтированные при уходе баиньки файловые системы.

Я точно не знаю, что здесь не так и почему лыжи не едут, но у меня есть несколько гипотез:

1) «253:1» - не совсем тот формат, который нужен в новых модных ядрах линя (у меня 4.16.2, если что)

2) запись в /sys/power/resume происходит невовремя (например, когда примонтирован настоящий рут, или, наоборот, не примонтирован)

3) просто кривые конфиги ядра

Короче, если у кого есть идеи, куда двигаться, или если кто такую систему уже заставлял выходить из гибернации, то прошу поделиться.

Я ещё слышал, что существуют разные виды саспенда, типа TuxOnIce и swsusp, нифига не понял, чем они отличаются, и пришёл к выводу, что у меня swsusp, исходя из структуры каталогов на /sys. Если это не так, то я вообще не в ту сторону думаю, тогда проясните мне ситуацию.

 , , ,

tsmx ()

Рутокен ЭЦП PKI

Попался в руки этот сабж. Хочется избавиться от паролей и ключ-файлов с шифрованных разделов (LUKS) и открывать их через этот токен. Можно ссылок на гайды по интеграции токенов с линем?

 , ,

FluffyPillow ()

Медленный dm-crypt, почему?

Бенчмарк cryptsetup показывает, что скорость шифрования более чем втрое больше скорости записи на диск, то есть вроде как шифрование не должно быть узким местом, но на деле скорость записи на шифрованный раздел вдвое меньше, чем на нешифроанный.
Почему так может быть?

Бнчмарк:

» cryptsetup benchmark    
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1      1236528 iterations per second for 256-bit key
PBKDF2-sha256    1583951 iterations per second for 256-bit key
PBKDF2-sha512    1067796 iterations per second for 256-bit key
PBKDF2-ripemd160  862315 iterations per second for 256-bit key
PBKDF2-whirlpool  633198 iterations per second for 256-bit key
#     Algorithm | Key |  Encryption |  Decryption
        aes-cbc   128b   698,2 MiB/s  2265,7 MiB/s
    serpent-cbc   128b    83,5 MiB/s   340,9 MiB/s
    twofish-cbc   128b   184,6 MiB/s   376,5 MiB/s
        aes-cbc   256b   519,6 MiB/s  1782,3 MiB/s
    serpent-cbc   256b    89,0 MiB/s   344,2 MiB/s
    twofish-cbc   256b   191,6 MiB/s   370,6 MiB/s
        aes-xts   256b  1555,7 MiB/s  1569,8 MiB/s
    serpent-xts   256b   355,3 MiB/s   339,8 MiB/s
    twofish-xts   256b   366,2 MiB/s   364,7 MiB/s
        aes-xts   512b  1288,3 MiB/s  1291,3 MiB/s
    serpent-xts   512b   356,7 MiB/s   339,8 MiB/s
    twofish-xts   512b   368,3 MiB/s   371,0 MiB/s
Контейнер:
» sudo cryptsetup status /dev/mapper/luks-df63558b-b644-435e-8135-72609beb62b7 
/dev/mapper/luks-df63558b-b644-435e-8135-72609beb62b7 is active and is in use.
  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 256 bits
  device:  /dev/mapper/intelssd-lvol0
  offset:  4096 sectors
  size:    10481664 sectors
  mode:    read/write
Шифрованный раздел:
» dd if=/dev/zero of=/media/Crypt/null bs=1M count=4000 status=progress oflag=direct
4000+0 записей получено
4000+0 записей отправлено
4194304000 байт (4,2 GB, 3,9 GiB) скопирован, 22,9683 s, 183 MB/s
Обычный раздел:
» dd if=/dev/zero of=$HOME/null bs=1M count=4000 status=progress oflag=direct
4000+0 записей получено
4000+0 записей отправлено
4194304000 байт (4,2 GB, 3,9 GiB) скопирован, 9,26037 s, 453 MB/s
При записи прямо на блочное устройство, а также с другими параметрами шифрования (aes-cbc, 128bit), скорость особо не меняется.

 , , ,

gasinvein ()

Расшифровка LUKS при автозагрузке

Добрый день. Для общего образования хотел бы узнать как можно реализовать расшифровку luks раздела home при загрузке OS. Если использовать ecryptfs то там в fstab подтягивается сам раздел /home и после подтягивания прописывается /home/user /home/user ecryptfs defaults 0 0 но при этом должен быть конфиг. А с luks, можно ли это сделать, или только его можно использовать для расшифровки через консоль определенного раздела ? И есть ли у luks «фейковый» раздел после ввода второго пароля для котиков? В интернете нет конкретной информации, собрал только по ниточкам чтобы более менее понять суть luks.

 

TheLinuxUser ()

Please unlock disk... Можно ли убрать?

При шифрованиии диска LUKS , при загрузке, видно сообщение из топика. Можно его как-то убрать/скрыть/изменить? Типа как в старом добром Truecrypt.

Перемещено Shaman007 из talks

 , ,

Kaernk ()

Киптование диска

Здравствуйте. Кто то может подсказать как сделать nuke cryptokey для Debian. Заинтересовала тема. В Кали встроенная такая фишка. На убунту есть возможность сделать, а вот меня интересует Debian. Так как ето единственный удобный дист. Буду весьма благодарный за подсказки или ман.

 , , ,

unknown-stranger ()

Debian RAID1 + CRYPT + «Boot on flash» - помогите, уже даже мат иссяк

Приветствую, гуру. Поогите, плз, нубу разобраться в тоннах доки и сделать такую схему:

1. Два диска в RAID1, зашифровать целиком, потом поверх этого разделы для работы (swap + /) 2. /boot - загрузчик на флешке с логикой инициализации массива и дальнейшей инициализацией шифрованного диска

Я далеко не гуру, смог сделать просто шифрованный диск, смог просто собрать массив если систему не на шифрованном диске делать, смог отдельно вынести на флешку /boot... но вот подружить все это вместе - неделю стену лбом расшибаю, не выходит каменный цветок.

Debian 9.3

ЗЫ. Прошу многого, но слова вида «смотри туда/сюда, читай мануал» уже даже не воспринимаются адекватно - перекурил столько подобной «дури», что организм уже не принимает. Прошу помочь конкретными описаниями команд/директив/порядка действий =(

Питерским благодарность может измеряться универсальной «емкостной» валютой...

 , ,

zuart ()

Шифрование данных в linux

Здравствуйте. В мире линукс недавно. На виндоус пользовался truecrypt для шифрования, хотел и под линуксом его, но прочел о незакрытых уязвимостях. В линукс нашел несколько программ, но определиться не могу. Шифрование требуется для раздела под домашнюю папку пользователя, где по роду работы располагаются конфеденциальные документы. Сначала хотел просто по отдельности шифровать, но оказалось это не очень удобно. Поэтому решил зашифровать весь раздел целиком. Подскажите, пожалуйста, что лучше использовать? Нашел инфорацию про LUKS, ecryptfs и encfs. Но encfs вроде как признан «дырявым», а по остальным не ясно однозначно, что выбрать лучше. Основных требования три:

  • ввод пароля отдельно от учетной записи пользователя, чтобы пароли не совпадали,
  • незначительное влияние на производительность (система на ssd),
  • отказоустойчивость (читал про случаи, когда шифрованный раздел из за конфликтов с фс переставал читаться).

С установкой разберусь, главное решить, что лучше подойдет.

 , , ,

ComeClarity ()

Зашифрованный Raspberry pi

Кароче, воспользовался этим мануалом:https://docs.kali.org/kali-dojo/04-raspberry-pi-with-luks-disk-encryption, Все вроде прошло нормально, разве что варнингов несколько увидел. Раздел дешифруется нормально если через флешку картридер подключать. А вот система не грузится воообще, то есть даже экран не загорается. Одновременно горят красный и зеленый диод. Где я ошибся и рабочий ли вообще мануал?

 , , , ,

Kaernk ()

Офисно-джентельмеский набор....

Приветствую всех.. Появилась необходимость сообразить на троих офисный «насик» с возможностью хранения кофиденциальных данных
И все бы ничего.. Казалось бы... Дебиан с самбой поверх лвм который поверх лукса..
Но не так для меня все просто оказалось.
Грубое тз: надо чтобы в самбовой шаре один из каталогов был шифрованым.. т.е. при определенных обстоятельствах, доступ к нему был открыт определенной группе юзеров, а при других обстоятельствах - соответственно закрыт.

Проблема номер 1 - это использование шифрованного раздела под виндами. Подскажите, какие есть вменяемые способы реализации (клиенты) использования шифрованного раздела через самбу под виндой? или это должно реализовываться со стороны наса?

Проблема номер 2: было бы не плохо чтобы он включался-выключался при помощи какой-то двухэтапной схемы (типа пришла смска/почта/паш - ввел гдето код - все расшифровалось) нажал где-то кнопку - все зашифровалось.. нет сетевой активности - опять все зашифровалось..

Проблема номер 3 - не могу придумать - как шифрованый раздел всунуть в какой-то из каталогов на самбе: начнутся же пляски с АЦЛами и т.п., т.к. юзеров и групп много - настраивается сложный доступ для разных групп (да и много этих групп.. штук 30 - только ключевых, и в каждой не менее 4-5 дополнительных)

Есть у кого-то мысли на тему?
Или может есть описание каких-то готовых реализаций подобного толка?

 , ,

zelenij ()

resize2fs не работает

Дано: диск /dev/sdc1 (500Mb), контейнер luks /dev/sdc2 (930Gig), под ним раздел crypt ext4.
Нужно: сделать ещё один раздел, отрезав около 200Гиг, за пределами контейнера.
Делаю:

# resize2fs /dev/mapper/crypt 700G
resize2fs 1.43.8 (1-Jan-2018)
Resizing the filesystem on /dev/mapper/crypt to 183500800 (4k) blocks.
The filesystem on /dev/mapper/crpt is now 183500800 (4k) blocks long.
# cryptsetup resize /dev/mapper/crpt
Всё вроде успешно, только cryptsetup подозрительно моментально выполняется.
Отмонтирую диск, отключаю от USB. Подключаю снова в порт. Открываю Partition manager, он показывает luks на 930Гиг, под ним ext4 на всё пространство. fdisk -l говорит то же самое. Повторный запуск ресайза говорит, что всё сделано уже:
resize2fs /dev/mapper/crpt 700G
resize2fs 1.43.8 (1-Jan-2018)
The filesystem is already 183500800 (4k) blocks long.  Nothing to do!
Диск GPT, если что. Как сделать, чтобы нормально всё поресайзилось?

 , ,

fehhner ()

LUKS volume over NFS

На NFS шаре находится образ с LUKS томом. Шара подключается к хосту через fstab с опцией _netdev. Когда лучше производить открытие тома LUKS?

В crypttab не вариант - он отрабатывает до fstab. Или можно через post-up при поднятии сетевого интерфейса, или можно написать свой systemd сервис который будет запускаться в самом конце загрузки системы.

Какой вариант лучше?

 , ,

FluffyPillow ()

LuksOpen with Offset

У меня есть raw образ диска. Хочу открыть с него контейнер с люксом (идёт вторым разделом). Делаю:

cryptsetup --offset=105906176 luksOpen image cryptroot

Не даёт, получаю:

cryptsetup: Option --offset is supported only for open of plain and loopaes devices.

И как тогда мне его монтировать? Обрезать и обратно склеивать не хотелось бы, есть другое решение?

 , ,

fehhner ()

Шифрование диска в Linux

Всем привет!

Во многих оффтоповых осей присутствует замечательная фича - запуск до шифрования диска и после шифрования на глаз не меняется, никаких luks паролей и т. п., ключ это ваша учетка.

Как такое можно реализовать на Linux? Знаю, что у Ubuntu можно, но там только хомяк.

 , ,

mfhunruh ()

Проблема с LUKS на LVM: Linux не видит зашифрованный swap-раздел при загрузке.

Есть свежеустановленный на LVM Debian 9. Три раздела в этом LVM зашифрованы cryptsetup.

При загрузке появляется такое сообщение:

WARNING: Failed to connect to lvmetad. Falling back to device scanning.
Gave up waiting for suspend/resume device
resume: Could not stat the resume device file '/dev/disk/by-uuid/1b082d18-...'
Please type in the full path name to try again
or press ENTER to boot the system: _"

При нажатии на Enter система не реагирует пару минут, после чего загружается в нормальном режиме. После загрузки swap все-таки подключился и работает:
$ sudo swapon --show
NAME TYPE SIZE USED PRIO
/dev/dm-7 partition 3,7G 0B -1

По какой-то причине нужный LVM раздел, Debian-SWAP, вообще не имеет своего UUID:
$ lsblk -o NAME,UUID

( $ lsblk -o NAME,UUID )

 , , ,

hedgehog_alex ()

удалённый self-destruction в в экстренных ситуациях!

добрый день друзья!

хотелось бы поднять такую вот интересную тему:

есть кали линукс, установленный на удалённом компьютере, который в свою очередь используется в качестве удалённого сервера хранения личных данных.

под словом «удалённый» я имею в виду что он автоматический комп - не требующий вмешательство человека для его работы.

а вопросы такие:

1. возможно ли зашифровать диск под luks пароль (задав также и nuke), но чтобы при загрузке линукса пароль не требовался? (как?)

2. если ответ на первый вопрос да, то как через SSH можно, в один прекрасный день, ввести nuke пароль для самоуничтожения данных (навсегда!)?

3. может есть какие другие варианты для того чтоб провернуть такую идею?

всем заранее спасибо!

 , ,

gogogordy ()

Gentoo + ZFS

Кто-нибудь использует gentoo + нативное шифрование в zfs? Сам использую gentoo + luks. Интересует производительность и стабильность.

 , , ,

hardentoo ()

Реально ли ужать шифрованый раздел?


      [LVM-SWAP][LVM-ROOT(ext4)]
[EFI ][          LUKS          ]
[sda1][          sda2          ]

Короче говоря, стандартная схема, согласно которой LVM находится внутри шифрованого раздела. Подозреваю, что мне надо сначала ужать ext4 раздел, потом lvm, потом раздел luks. Но делается ли это или проще перенакатить? Никогда просто не сталкивался.

 , ,

Romashev ()

В качестве ключей шифрования у cryptsetup могут быть любые файлы?

А то есть идея сделать папку с содомией и использовать как ключи шифрования. С виду говно-говном, а на самом деле доступ к данным.

 ,

Romashev ()