Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
[b]paw4el[/b]: Twoje pytanie ma jakiś związek z tym wątkiem, czy tak sobie tutaj wrzuciłeś? Możesz doprecyzować o co Ci chodzi?
Offline
Ja robie to tak:
http://bsdevil.onuse.pl/?x=entry:entry120825-190713
Wybaczcie, ale nie chce mi sie przeklejac i przekopiowywac tresci, ktora juz napisalem.
PS nie wiem jak to zadziala w Kubuntu, bo ma wlasne skrypty startowe na upstart zdaje sie, i generalnie jakies graficzne splashe.
Jesli chodzi ci o zwykle zamontowanie partycji juz po zalogowaniu sie na pulpit, to wystarcza:
gksu truecrypt /sciezka/do/partycji /sciezka/montowania
Przy zalozeniu, ze uzywasz wersji TrueCrypt "Standard", a nie konsolowej wylacznie.
Ostatnio edytowany przez marc (2012-09-23 12:11:19)
Offline
Czy nie prościej zamiast Truecrypta, do automatycznego montowania partycji wziąść Cryptsetup/Lux?
Ten jest obsługiwany natywnie w Linuxie, w Debianie jest montowany zgodnie z ustawieniami w /etc/crypttab, i w ogóle łatwiej go ogarnąć, niż Truecrypa, jeśli trzeba szyfrować partycję root, lub home.
Sznurki:
https://help.ubuntu.com/community/EncryptedFilesystemHowto3
https://wiki.archlinux.org/index.php/Dm-crypt_with_LUKS
http://madduck.net/docs/cryptdisk/
Ostatnio edytowany przez Jacekalex (2012-09-23 12:37:21)
Offline
[quote=marc]Ja robie to tak:
http://bsdevil.onuse.pl/?x=entry:entry120825-190713
Wybaczcie, ale nie chce mi sie przeklejac i przekopiowywac tresci, ktora juz napisalem.
PS nie wiem jak to zadziala w Kubuntu, bo ma wlasne skrypty startowe na upstart zdaje sie, i generalnie jakies graficzne splashe.
Jesli chodzi ci o zwykle zamontowanie partycji juz po zalogowaniu sie na pulpit, to wystarcza:
gksu truecrypt /sciezka/do/partycji /sciezka/montowania
Przy zalozeniu, ze uzywasz wersji TrueCrypt "Standard", a nie konsolowej wylacznie.[/quote]
Można po prostu skonfigurować sudo.
Offline
Chodzi o to, że nie mogę zamontować partycji z poziomu zwykłego użytkownika. Opis znalazłem [url=http://en.gentoo-wiki.com/wiki/TrueCrypt#Install]tutaj[/url], ale żeby podmontować taką partycję muszę mieć pakiet sudo, którego nie mam i nie chciałbym instalować.
Offline
[quote=Jacekalex]Czy nie prościej zamiast Truecrypta, do automatycznego montowania partycji wziąść Cryptsetup/Lux?
Ten jest obsługiwany natywnie w Linuxie, w Debianie jest montowany zgodnie z ustawieniami w /etc/crypttab, i w ogóle łatwiej go ogarnąć, niż Truecrypa, jeśli trzeba szyfrować partycję root, lub home.[/quote]
Moze i prosciej, ale dla zaawansowanych uzytkownikow, lub tych, ktorzy maja duzo wolnego czasu. Dla innych CryptSetup/LUKS to *PITA* ["pain in the ass"], jesli chodzi o ustawianie, i nie ma sie co oszukiwac, ze jest to prosta konfiguracja ;)
Czy lepsza? to inna rzecz. Byc moze lepsza, z pewnoscia lepiej zintegrowana z Debianem. Nie sadze jednak, aby "latwiej mozna bylo to ogarnac", a przynajmniej mi nie przychodzi to z latwoscia. TrueCrypt jest zwarty, ma jeden plik wykonywalny, latwiej zaimplementowac szyfrowanie partycji lub plikopartycji, z kolei niemozliwym jest uzycie go do szyfrowania roota.
Sam chetnie uzylbym CS/LUKS, gdyby bylo to ciut latwiejsze w ogarnieciu i nie sprowadzalo sie do pisania obszernego skryptu. Bo ustawienia instalatora Debiana mnie nie zadowalaja [nie chce przeznaczac na szyfrowanie calego dysku, a jedynie partycje].
Offline
Ja używam LUKSa tylko do systemowych partycji. Do pozostałych mam truecrypta. Zaletą tego rozwiązania jest odseparowanie systemu od pozostałych danych -- nie wiem jak by się zachowywały inne partycje z wykorzystaniem LUKSa po wipe systemu, jak i również przy próbie odczytu ich z wina.
Próbowałem kiedyś zreinstalować linuxa na poprzednim, zaszyfrowanym LVM ale jakoś nigdy mi się to nie udało. Niby instalator prosi o hasło podczas odczytu LVM, niby formatuje istniejące voluminy i wgrywa system na nowo, niby wszystko ok, ale przychodzi do botowania systemu, po wyborze jajka zostaje wyrzucony komunikat, że nie można odnaleźć grupy voluminów... Co ciekawe, taki komunikat wyrzucany jest nawet przy działającym LVM. Tyle że w przypadku świeżej, czystej instalacji, system startuje.
@marc -- możesz przecie wybrać sobie w instalatorze partycję, nie musisz szyfrować całego dysku.
Co do samego sudo -- ja nigdy nie używałem tego mechanizmu. Wolę proste montowanie z roota.
Offline
@morfik - no tak wlasnie nieszczegolnie. Probowalem wielokrotnie pod VBoxem [nie zaryzykuje utraty danych], ale instalator zawsze krzyczy o "/". Nie wiem, zapewne cos zle robie, ale nie znalazlem dobrego przewodnika instalacji z uzyciem LUKS/CryptSetup. Jesli znasz jakis, to bede wdzieczny ;)
No ale nie chce krasc autorowi watku.
Offline
[quote=marc]No ale nie chce krasc autorowi watku.[/quote]
Ten wątek i tak jest sprzed półtora roku, tylko ktoś postanowił zabawić się w nekrofilię ostatnio. ;)
Offline
Zobacz jak u mnie to wygląda: http://imageshack.us/a/img42/3025/39570422.png
Tam gdzie "nieznane" w systemie plików to voluminy truecrypta.
I rozpis lvm: http://imageshack.us/a/img543/5112/71598587.png
Offline
Ok, nieco jasniej. A sdb3 to czym jest?
Offline
[quote=marc]. Nie wiem, zapewne cos zle robie, ale nie znalazlem dobrego przewodnika instalacji z uzyciem LUKS/CryptSetup.[/quote]
[url]http://nocnypingwin.blogspot.com/2012/04/instalacja-i-szyfrowanie-caego-systemu.html[/url] <-- na ubuntu.
Ostatnio edytowany przez BlackEvo (2012-10-02 08:03:20)
Offline
@BlackEvo - dzieki. Dobry tutorial. Mam tylko uwage co do tego, ze autor nazwal "tabele partycji" "partycją" [przy tworzeniu 'wolnej przestrzeni", bo inicjalizacja nowego dysku rozpoczyna sie od utworzenia nowej tabeli partycji MBR/GPT, etc].
Pozostaje miec nadzieje, ze podobny proces zadziala pod Debiane, bo wlasnie w nim mialem problemy.
Offline
@marc -- sdb3 to truecrypt.
Co do samego tutoriala -- Dokładnie to samo da się wykonać z płytki debiana. Ja w tym celu z reguły używam płytek netinst albo business card (testingi).
I jeszcze mi się przypomniało -- w opcjach partycji zmień 5% zarezerwowanego miejsca na 0%.
Ostatnio edytowany przez morfik (2012-10-02 12:25:36)
Offline
Podsumowujac: tworze pierwsza mala partycje fizyczna, np sda1 dla /boot, sda2 przeznaczam na partycje szyfrowana LUKSem i stawiam na niej punkty montowania, jak "/", "usr", "home" itd?
Jesli pozwolicie, to mam dwa pytania:
1. czy sda2 moze byc podstawowa, a nie logiczna?
2. czy na sda2 moge utworzyc tylko "/", bez "home" i innych?
Chcialbym uzyskac cos takiego:
1. sda1 - /boot
2. sda2 - LUKS - szyfrowany root ["/"].
Inna rzecz, ze najlepiej byloby utworzyc jedna partycje, w ktorej juz bedzie "/" i "boot" - cala szyfrowana, ale rozumiem, ze to w LUKSie niemozliwe?
Interesuje mnie rowniez mozliwosc wstrzykniecia/dodania rootkita np do "/boot". Tzn chodzi mi o to, czy osobna partycja /boot nie umozliwia niepowolanym dodania takowego i w konsekwencji odczytania hasla wpisywanego dla LUKSa?
Dzieki za czas, ciekawe uwagi i i rzetelne instrukcje ;)
Offline
1. Generalnie to ta tablica partycji była projektowana na max 4 partycje, a że teraz dyski są większe, to istnieje potrzeba by pokroić dysk na więcej niż 4 kawałki. Dlatego jak potrzebujesz max 4 partycji, to robisz wszystkie jako podstawowe. Ale jak potrzebujesz więcej niż 4 to robisz z jednej rozszerzoną i tam pakujesz pozostałe partycje -- tak jak to widać u mnie na skrinie z gparted. Oczywiście, jeżeli coś się stanie z wpisem rozszerzonej partycji, to znikną ci wszystkie partycje które tam się znajdują wewnątrz. Dlatego ja tę dużą partycję zrobiłem jako osobną.
2. Możesz -- ja podzieliłem swój lvm na 8 części, co troszeczkę zmniejsza fragmentację plików i ułatwia organizację pracy z danymi, bo osobne partycje dają ci więcej możliwości podczas montowania -- czasem przydatne. Nie wiem jak obecnie wygląda sprawa swap, bo kiedyś instalator nie chciał mnie puścić bez zdefiniowania swap. Tylko że ja ostatni raz instalowałem linuxa ponad 10 miechów temu i być może poprawili ten ficzer. :D
3. Nie możliwe. I dochodzi jeszcze taki jeden mankament bez którego ci linux nie wstanie. Musisz wygenerować obrazy modułów jądra, za każdym razem jak instalujesz nowe jajko. Chodzi o ręcznie kompilowane kernele -- te z repo generują automatycznie chyba albo mam jakiś pakiet zainstalowany, który odpowiada za automatyczne generowanie obrazu modułów.
4. Każda przestrzeń nieszyfrowana umożliwia. Jak tracisz panowanie nad dyskiem to musisz wyczyścić mbr oraz nieszyfrowaną przestrzeń dysku, czyli, w tym wypadku, całą partycję boot. Z mbr jest sprawa prosta bo to parę bajtów i możesz sobie je skopiować tuż po zaszyfrowaniu dysku. Tylko trzeba uważać z ewentualną późniejszą modyfikacją tablicy partycji. Wiesz jakbyś potrzebował na coś więcej miejsca i musiał pozmieniać rozmiary istniejących już partycji. Z bootem jest ten problem, że po jego wyczyszczeniu musisz zreinstalować kernela i gruba z live cd. Tylko po takim zabiegu możesz mieć pewność, że nikt ci syfu nie wgrał i spokojnie możesz załadować system podając hasło do luks'a.
Offline
Dzieki, morfik. Rozjasniles mi chyba wszystko. Doprecyzuje ostatnia rzecz: rozumiem, ze nie da sie jednak postawic szyfrowania Luksem na 1 partycji? [odpowiedziales na to w 3, czy mi sie zle przeczytalo?]
Offline
Systemowej nie trzeba i nie warto szyfrować Truecryptem.
Luks ma tą przewagę, ze do jednej partycji można mieć 50 kluczy na pendrakach i płytach CD, każdy inny.
Grzecznie szyfruje wszystkimi wersjami AESa, co na systemówkę wystarczy.
Jest trochę roboty z partycją boot i wywaleniem programów niezbędnych do zamontowania rootfs, ale nie święci garnki lepią.
Luks ma też pełne wsparcie w kernelu, czego o Truecrypcie powiedzieć się nie da.
Ostatnio edytowany przez Jacekalex (2012-10-03 11:49:53)
Offline
Time (s) | Query |
---|---|
0.00012 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00147 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.116.85.102' WHERE u.id=1 |
0.00075 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.116.85.102', 1732737887) |
0.00031 | SELECT * FROM punbb_online WHERE logged<1732737587 |
0.00089 | SELECT topic_id FROM punbb_posts WHERE id=212127 |
0.00005 | SELECT id FROM punbb_posts WHERE topic_id=18358 ORDER BY posted |
0.00059 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=18358 AND t.moved_to IS NULL |
0.00009 | SELECT search_for, replace_with FROM punbb_censoring |
0.00865 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=18358 ORDER BY p.id LIMIT 25,25 |
0.00135 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=18358 |
Total query time: 0.01432 s |