Έχω debian unstable σε νέο laptop και είπα να ξεκινήσω αυτή την φορά από ασφαλείς βάσεις.
Έτσι σε πρώτο βαθμό έκανα encrypt το home με eCryptfs. (η default λύση και του Ubuntu).
Πλεονέκτημα του είναι ότι είναι filesystem level και δουλεύει με τα login credentials.
Μειονέκτημα του είναι ότι έχει σχετικά χαμηλό περιορισμό στο επιτρεπόμενο μέγεθος filename λόγω κρυπτογράφησης και του filename, το οποίο γίνεται ακόμα πιο μικρό για non-ascii filenames. Δυστυχώς από το backup μου είχα αρκετά αρχεία που δεν γίνονταν restore για αυτό το λόγο. Ήταν αρκετά και η λύση της μετονομασίας δεν βόλευε. Το δεύτερο περίεργο μειονέκτημα είναι ότι ένα user systemd service παρότι το έκανα enable και start αρνιόταν να ξεκινήσει αυτόματα στο επόμενο login.
Επέλεξα να περάσω σε LUKS. Δεν θα πω πολλές λεπτομέρειες για να μην κουράσω. Κάνω λίγο fast-forward, και είμαι στο σημείο που θέλω να του πω "πάρε αυτό το LUKS container, ρώτα με για το password, κάνε unlock και mount πάνω στο home μου." (υποθέστε ότι το home μου είναι άδειος φάκελος τώρα).
Πρώτη λύση είναι να γίνεται ξεκλείδωμα κατά το user login χρησιμοποιώντας το ίδιο password. Ακολούθησα τις αρχικές οδηγίες από εδώ με την διαφορά ότι για debian έβαλα την εντολή στο
αντί του αρχείου που λέει το link καθώς δεν υπάρχει.Κώδικας:/etc/pam.d/common-auth
Δυστυχώς όμως ο lightdm παγώνει και έχω μαύρη οθόνη.
Δεν ξέρω τι φταίει και δεν έβγαλα άκρη από το google. Ενδεχομένως κατά το login να είναι πλέον αργά για το unlocking+mounting του home.
Δεύτερη λύση είναι να γίνεται το ίδιο κατά το boot με ορισμό entry στο /etc/crypttab. Αυτό δουλεύει μέχρι τώρα σχεδόν άψογα. Το κακό είναι με το τρόπο που ζητάει το password. Στο ζητάει κατά το boot αλλά δεν είναι καθόλου καλά intergrated με το init process. Ζητάει το passwod πολύ νωρίς στο init, όταν είναι ακόμα με την μικρή ανάλυση το κείμενο. Αλλά το πρόβλημα δεν είναι τόσο πολύ εκεί, αλλά στο γεγονός ότι το υπόλοιπο init process δεν σταματάει αλλά συνεχίζει λίγο ακόμα με κάποια services, αλάζει την ανάλυση οθόνης σε μεγαλύτερη και μετά σταματάει δείχνοντας τα πάντα μαύρα(γιατί είναι αμέσως μετά την αλλαγή ανάλυσης). Οπότε δεν ξέρεις ότι περιμένει το password σου. Ταυτόχρονα το input focus έχει χαθεί. Πρέπει να γράψεις κάτι με enter για να το πάρει ως λάθος και να σου ξαναζητήσει το password. Τώρα μπορεί και το δέχεται το password και μετά όλα τα υπόλοιπα προχωράνε κανονικά.
Ξέρω σας έπρηξα.
Έχετε ασχοληθεί με κάτι τέτοιο; Υπάρχει τρόπος να φτιάξω το δεύτερο;
Μήπως έχετε δοκιμασμένο τρόπο για mount κατά το login;
Εμφάνιση 1-12 από 12
-
22-02-18, 22:27 Κάνει κανείς mount luks volume στο boot ή στο login; #1Κάνω προσπάθεια να βάζω ; αντι για ?
-
23-02-18, 13:40 Απάντηση: Κάνει κανείς mount luks volume στο boot ή στο login; #2
Αν κατάλαβα καλά θέλεις να έχεις το home σου encrypted και όλο το υπόλοιπο σύστημα χωρίς κρυπτογράφηση.
Πριν από οτιδήποτε άλλο, προτείνω να σκεφτείς την λύση να κρυπτογραφήσεις όλο το σύστημα. Έτσι ο κωδικός θα δίνεται μόνο στην αρχή της εκκίνησης και θα εξαρτάται από το initramfs ή/και τον grub (στην περίπτωση που θέλεις να είναι κρυπτογραφημένο και το boot partition).
Το πρόβλημα που αντιμετωπίζεις - ότι δεν είναι εύκολο να δεις που εισάγεις των κωδικό στην διαδικασία της εκκίνησης, συνεχίζουν να "τρέχουν" μηνύματα κ.λ.π.- είναι κοινό σε όλα τα init systems/service managers που προσπαθούν να παραλληλίσουν όλες τις διεργασίες (υποθέτω ότι χρησιμοποιείς systemd). Κάποια init sytems/service managers δεν υποστηρίζουν αυτή την δυνατότητα (είναι non-interactive, π.χ. s6-rc) ή κάνουν την διαδικασία αυτή σε τμήμα τη εκκίνησης που δεν υπάρχει παραλληλισμός (π.χ. το runit όπως έχει υλοποιηθεί στο voidlinux). Νομίζω πως η προτεινόμενη λύση σε συστήματα με systemd είναι η χρήση του plymouth και των εργαλείων του για το password prompt. Σε αυτή την περίπτωση, δεν βλέπεις τα μηνύματα του systemd, αλλά το animation/bootscreen του plymouth και εισάγεται ο κωδικός σε παραθυράκι που ελέγχεται από το plymouth. Στο fedora αυτό συμβαίνει και για το passphrase όταν έχεις full disk encryption.Τελευταία επεξεργασία από το μέλος mobinmob : 23-02-18 στις 17:39.
It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
So when you are requested to pay up or be molested,/You will find it better policy to say: --
"We never pay any-one Dane-geld,/No matter how trifling the cost;
For the end of that game is oppression and shame,/And the nation that plays it is lost!"
Rudyard Kipling
-
23-02-18, 17:22 Απάντηση: Κάνει κανείς mount luks volume στο boot ή στο login; #3
Στο σύστημά μου έχω το /home encrypted με LUKS πάνω από soft raid 1 volume. Όταν ξεκινάει το σύστημα (systemd) και φτάνει στο σημείο να κάνει mount το /home, σταματάει και μου ζητάει το password. Όντως, μπορεί εκείνη τη στιγμή στην κονσόλα να πετάγονται κι άλλα μηνύματα, αλλά το εισάγω κανονικά, Enter και συνεχίζει το υπόλοιπο boot. Πάντως τα θέματα που έχεις με το να συνεχίζει το boot χωρίς να έχεις δώσει τον κωδικό δεν τα έχω. Δηλαδή, αν δεν εισάγω τον κωδικό, δεν συνεχίζει το boot.
Μάλλον δεν βοηθάω ιδιαίτερα, αλλά δεν ξέρω και τι άλλο μπορώ να σου πω. Ρώτα και βλέπουμε.
-
23-02-18, 17:47 Απάντηση: Κάνει κανείς mount luks volume στο boot ή στο login; #4
@OP
Το ίδιο και σε εμένα σε τρία μηχανήματα, ένα slackware, ένα gentoo με openrc και ένα opensuse με systemd. Και τα τρία σταματάνε κανονικά στο prompt για το password χωρίς να χάνεται το focus. Μερικές φορές βγαίνουν μόλις 1-2 μηνύματα του στυλ usb τάδε αλλά ό,τι γράψω το δέχεται κανονικά για password.
Η συμπεριφορά που βλέπεις εξαρτάται φυσικά από την υλοποίηση των initscripts οπότε δεν θα είναι ακριβώς ίδια παντού αλλά λογικά θα έπρεπε να συμπεριφέρεται όπως στον GoofyX και στο OpenSUSE μου μια και το debian τρέχει systemd.
Αν θέλεις να δοκιμάσουμε κάτι, πες μας."I like offending people, because I think people who get offended should be offended" - Linus Torvalds
"Παλιά είχαμε φτωχούς οι οποίοι ζούσανε σε φτωχογειτονιές. Τώρα, η οικονομικά δυσπραγούσα τάξη
κατέχει στέγες υποδεέστερης ποιότητας σε υποβαθμισμένα αστικά κέντρα" - George Carlin
Γα.... την πολιτική ορθότητα.
-
23-02-18, 18:36 Απάντηση: Κάνει κανείς mount luks volume στο boot ή στο login; #5
Δεν νομίζω ότι συνεχίζει το boot - καταλληλότερος βέβαια για την διευκρίνηση είναι ο hammered - απλά συνεχίζουν τα μηνύματα και (λίγο) μετά το prompt. Είναι αναμενόμενη συμπεριφορά, δυστυχώς. Δεν είναι κάτι που εμποδίζει την χρήση του συστήματος και σε συστήματα με systemd λύνεται με χρήση του plymouth.
Τελευταία επεξεργασία από το μέλος mobinmob : 23-02-18 στις 23:04.
It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
So when you are requested to pay up or be molested,/You will find it better policy to say: --
"We never pay any-one Dane-geld,/No matter how trifling the cost;
For the end of that game is oppression and shame,/And the nation that plays it is lost!"
Rudyard Kipling
-
25-02-18, 15:18 Απάντηση: Κάνει κανείς mount luks volume στο boot ή στο login; #6
Καλή ιδέα αυτό με το Plymouth. Θα το δοκιμάσω.
Αυτό που αντιμετωπίζω είναι ότι μετά το "please type your password" πετάγονται και 2-3 άλλα μηνύματα που χαλάνε την διαμόρφωση. Τώρα αν προέρχονται από βήματα που δεν κάνουν depend στα mounts δεν ξέρω.
Ταυτόχρονα γίνεται και η αλλαγή στην υψηλότερη ανάλυση της οθόνης, οπότε καθαρίζει η οθόνη από κείμενο και έχω ένα μαύρο background μπροστά μου, καθώς επειδή περιμένει το password από πριν, δεν προχωρά το λοιπό process και δεν γράφονται μηνύματα στην οθόνη.
@mobinmob full system encryption δεν έχει νόημα. Τα όποιας σημασίας δεδομένα μου βρίσκονται μέσα στο home μου. Το υπόλοιπο σύστημα δεν χρειάζεται έχει το performance hit του encryption/decryption. Εξάλλου αν σπάσει τίποτα luks με κάποιο update, να μπορώ να bootάρω και να έχω πρόσβαση σε κάποια βασικά πράγματα.Κάνω προσπάθεια να βάζω ; αντι για ?
-
25-02-18, 22:53 Απάντηση: Κάνει κανείς mount luks volume στο boot ή στο login; #7
Πέρα από τα bootsplash, ο plymouth λειτουργεί και σαν io multiplexer κατά την εκκίνηση
http://web.dodds.net/~vorlon/wiki/bl..._a_bootsplash/
Δεν θυμάμαι να έχω δει κάποια μέτρηση για το πόσο σημαντική είναι η επίπτωση στις επιδόσεις όταν έχεις κρυπτογραφημένο όλο το δίσκο. Το έχω δοκιμάσει και σε σύστημα με αδύναμο επεξεργαστή (παλιό Celeron ULV) χωρίς κάποιο αισθητό πρόβλημα. Για να σπάσει κάτι πρέπει να υπάρχει πρόβλημα είτε με τον πυρήνα/το initramfs (το έχω συναντήσει) , είτε να έχει κάποιο σοβαρό bug το cryptsetup (μάλλον απίθανο). Στην πρώτη περίπτωση, σε διανομές που κρατούν παλιότερους πυρήνες στις αναβαθμίσεις, απλά εκκινείς από παλιότερο πυρήνα/initramfs που δουλεύει.Τελευταία επεξεργασία από το μέλος mobinmob : 25-02-18 στις 22:58.
It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
So when you are requested to pay up or be molested,/You will find it better policy to say: --
"We never pay any-one Dane-geld,/No matter how trifling the cost;
For the end of that game is oppression and shame,/And the nation that plays it is lost!"
Rudyard Kipling
-
25-02-18, 23:19 Απάντηση: Κάνει κανείς mount luks volume στο boot ή στο login; #8
Δεν ξέρω μου φαίνεται αχρείαστο. Το υπόλοιπο σύστημα δεν ειναι "ευαίσθητα δεδομένα".
Τώρα μπορεί να λέω βλακείες αλλά προσπαθώ να αποφύγω την κατά λάθος καταστροφή του luks header, από κακή αναβάθμιση ή/και από διεργασίες που γράφουν στο δίσκο κατευθείαν. Σε τέτοια περίπτωση όλα τα data είναι unrecoverable. Είναι αδύνατον να βρεις το encryption key.
Το file container είναι λιγάκι πιο απομονωμένο.Κάνω προσπάθεια να βάζω ; αντι για ?
-
25-02-18, 23:44 Απάντηση: Κάνει κανείς mount luks volume στο boot ή στο login; #9
"Ευαίσθητα" δεδομένα μπορεί να έχεις και στο swap partition (διαφορετική περίπτωση, προφανώς). Αυτό, αν δεν σε ενδιαφέρει το suspend2disk μπορείς να το κρυπτογραφήσεις με random password.
Όντως, αν καταστραφεί ο LUKS header δεν μπορείς να διαβάσεις τίποτα. Αν αυτό είναι κάτι που σε ανησυχεί, νομίζω ότι ακόμα και στην περίπτωση κρυπτογράφησης μόνο του home αξίζει να κρατήσεις ένα backup του header. Δύσκολα πάντως θα γράψει κάτι "άσχετο" εκείIt is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
So when you are requested to pay up or be molested,/You will find it better policy to say: --
"We never pay any-one Dane-geld,/No matter how trifling the cost;
For the end of that game is oppression and shame,/And the nation that plays it is lost!"
Rudyard Kipling
-
25-02-18, 23:58 Απάντηση: Κάνει κανείς mount luks volume στο boot ή στο login; #10
Ξέχασα να το πω αυτό. Ναι έχω encryption και στο swap.
Συντόμως θα κάνω κάτι παρόμοιο και για το tmp.
Έχω τύπου αυτοματοποιημένα backup(syncthing με το desktop). Και χειροκίνητα ανά διαστήματα.
Βέβαια και αυτό που λες για backup του header, το είχα ξεχάσει. Αξίζει.Κάνω προσπάθεια να βάζω ; αντι για ?
-
26-02-18, 00:38 Απάντηση: Κάνει κανείς mount luks volume στο boot ή στο login; #11It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
So when you are requested to pay up or be molested,/You will find it better policy to say: --
"We never pay any-one Dane-geld,/No matter how trifling the cost;
For the end of that game is oppression and shame,/And the nation that plays it is lost!"
Rudyard Kipling
-
26-02-18, 09:58 Απάντηση: Κάνει κανείς mount luks volume στο boot ή στο login; #12
Παρόμοια Θέματα
-
Η Apple κάνει throttle down παλιότερα iPhones όταν πέφτει η απόδοση της μπαταρίας τους
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 131Τελευταίο Μήνυμα: 18-01-18, 23:19 -
το Verycool s505 Spark μου κολλήσει στο boot / συνεχώς επανεκκινεί
Από ramikatz στο φόρουμ AndroidΜηνύματα: 2Τελευταίο Μήνυμα: 03-11-17, 01:52 -
Η επίσκεψη στο Piratebay σύντομα μπορεί να κάνει χρήση του επεξεργαστή σας στο 100% για cryptocurrency mining
Από sdikr στο φόρουμ ΕιδήσειςΜηνύματα: 71Τελευταίο Μήνυμα: 13-10-17, 18:16 -
Η Google εργάζεται επάνω στο Copyless pasting στο Android
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 6Τελευταίο Μήνυμα: 03-05-17, 23:34 -
Προβλήματα στο boot υπολογιστή- πιθανόν Hardware
Από puffy στο φόρουμ Hardware ΓενικάΜηνύματα: 3Τελευταίο Μήνυμα: 23-02-17, 19:55
Bookmarks