Εμφάνιση 1-12 από 12
  1. #1
    Εγγραφή
    09-11-2007
    Μηνύματα
    1.574
    Downloads
    0
    Uploads
    0
    Ταχύτητα
    8192/1024
    ISP
    Cyta Hellas
    DSLAM
    Cyta Hellas - ΤΡΙΠΟΛΗ
    Έχω debian unstable σε νέο laptop και είπα να ξεκινήσω αυτή την φορά από ασφαλείς βάσεις.
    Έτσι σε πρώτο βαθμό έκανα encrypt το home με eCryptfs. (η default λύση και του Ubuntu).
    Πλεονέκτημα του είναι ότι είναι filesystem level και δουλεύει με τα login credentials.
    Μειονέκτημα του είναι ότι έχει σχετικά χαμηλό περιορισμό στο επιτρεπόμενο μέγεθος filename λόγω κρυπτογράφησης και του filename, το οποίο γίνεται ακόμα πιο μικρό για non-ascii filenames. Δυστυχώς από το backup μου είχα αρκετά αρχεία που δεν γίνονταν restore για αυτό το λόγο. Ήταν αρκετά και η λύση της μετονομασίας δεν βόλευε. Το δεύτερο περίεργο μειονέκτημα είναι ότι ένα user systemd service παρότι το έκανα enable και start αρνιόταν να ξεκινήσει αυτόματα στο επόμενο login.

    Επέλεξα να περάσω σε LUKS. Δεν θα πω πολλές λεπτομέρειες για να μην κουράσω. Κάνω λίγο fast-forward, και είμαι στο σημείο που θέλω να του πω "πάρε αυτό το LUKS container, ρώτα με για το password, κάνε unlock και mount πάνω στο home μου." (υποθέστε ότι το home μου είναι άδειος φάκελος τώρα).

    Πρώτη λύση είναι να γίνεται ξεκλείδωμα κατά το user login χρησιμοποιώντας το ίδιο password. Ακολούθησα τις αρχικές οδηγίες από εδώ με την διαφορά ότι για debian έβαλα την εντολή στο
    Κώδικας:
    /etc/pam.d/common-auth
    αντί του αρχείου που λέει το link καθώς δεν υπάρχει.
    Δυστυχώς όμως ο lightdm παγώνει και έχω μαύρη οθόνη.
    Δεν ξέρω τι φταίει και δεν έβγαλα άκρη από το google. Ενδεχομένως κατά το login να είναι πλέον αργά για το unlocking+mounting του home.

    Δεύτερη λύση είναι να γίνεται το ίδιο κατά το boot με ορισμό entry στο /etc/crypttab. Αυτό δουλεύει μέχρι τώρα σχεδόν άψογα. Το κακό είναι με το τρόπο που ζητάει το password. Στο ζητάει κατά το boot αλλά δεν είναι καθόλου καλά intergrated με το init process. Ζητάει το passwod πολύ νωρίς στο init, όταν είναι ακόμα με την μικρή ανάλυση το κείμενο. Αλλά το πρόβλημα δεν είναι τόσο πολύ εκεί, αλλά στο γεγονός ότι το υπόλοιπο init process δεν σταματάει αλλά συνεχίζει λίγο ακόμα με κάποια services, αλάζει την ανάλυση οθόνης σε μεγαλύτερη και μετά σταματάει δείχνοντας τα πάντα μαύρα(γιατί είναι αμέσως μετά την αλλαγή ανάλυσης). Οπότε δεν ξέρεις ότι περιμένει το password σου. Ταυτόχρονα το input focus έχει χαθεί. Πρέπει να γράψεις κάτι με enter για να το πάρει ως λάθος και να σου ξαναζητήσει το password. Τώρα μπορεί και το δέχεται το password και μετά όλα τα υπόλοιπα προχωράνε κανονικά.


    Ξέρω σας έπρηξα.
    Έχετε ασχοληθεί με κάτι τέτοιο; Υπάρχει τρόπος να φτιάξω το δεύτερο;
    Μήπως έχετε δοκιμασμένο τρόπο για mount κατά το login;
    Κάνω προσπάθεια να βάζω ; αντι για ?


  2. #2
    Εγγραφή
    28-02-2007
    Μηνύματα
    751
    Downloads
    0
    Uploads
    0
    Αν κατάλαβα καλά θέλεις να έχεις το home σου encrypted και όλο το υπόλοιπο σύστημα χωρίς κρυπτογράφηση.
    Πριν από οτιδήποτε άλλο, προτείνω να σκεφτείς την λύση να κρυπτογραφήσεις όλο το σύστημα. Έτσι ο κωδικός θα δίνεται μόνο στην αρχή της εκκίνησης και θα εξαρτάται από το initramfs ή/και τον grub (στην περίπτωση που θέλεις να είναι κρυπτογραφημένο και το boot partition).
    Το πρόβλημα που αντιμετωπίζεις - ότι δεν είναι εύκολο να δεις που εισάγεις των κωδικό στην διαδικασία της εκκίνησης, συνεχίζουν να "τρέχουν" μηνύματα κ.λ.π.- είναι κοινό σε όλα τα init systems/service managers που προσπαθούν να παραλληλίσουν όλες τις διεργασίες (υποθέτω ότι χρησιμοποιείς systemd). Κάποια init sytems/service managers δεν υποστηρίζουν αυτή την δυνατότητα (είναι non-interactive, π.χ. s6-rc) ή κάνουν την διαδικασία αυτή σε τμήμα τη εκκίνησης που δεν υπάρχει παραλληλισμός (π.χ. το runit όπως έχει υλοποιηθεί στο voidlinux). Νομίζω πως η προτεινόμενη λύση σε συστήματα με systemd είναι η χρήση του plymouth και των εργαλείων του για το password prompt. Σε αυτή την περίπτωση, δεν βλέπεις τα μηνύματα του systemd, αλλά το animation/bootscreen του plymouth και εισάγεται ο κωδικός σε παραθυράκι που ελέγχεται από το plymouth. Στο fedora αυτό συμβαίνει και για το passphrase όταν έχεις full disk encryption.
    Τελευταία επεξεργασία από το μέλος mobinmob : 23-02-18 στις 17:39.
    It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
    So when you are requested to pay up or be molested,/You will find it better policy to say: --
    "We never pay any-one Dane-geld,/No matter how trifling the cost;
    For the end of that game is oppression and shame,/And the nation that plays it is lost!"
    Rudyard Kipling

  3. #3
    Εγγραφή
    11-12-2003
    Περιοχή
    Θεσσαλονίκη
    Ηλικία
    46
    Μηνύματα
    6.584
    Downloads
    6
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    102400/10240
    ISP
    Vodafone
    DSLAM
    ΟΤΕ - ΤΟΥΜΠΑ
    Router
    Fritz!box 7530
    Στο σύστημά μου έχω το /home encrypted με LUKS πάνω από soft raid 1 volume. Όταν ξεκινάει το σύστημα (systemd) και φτάνει στο σημείο να κάνει mount το /home, σταματάει και μου ζητάει το password. Όντως, μπορεί εκείνη τη στιγμή στην κονσόλα να πετάγονται κι άλλα μηνύματα, αλλά το εισάγω κανονικά, Enter και συνεχίζει το υπόλοιπο boot. Πάντως τα θέματα που έχεις με το να συνεχίζει το boot χωρίς να έχεις δώσει τον κωδικό δεν τα έχω. Δηλαδή, αν δεν εισάγω τον κωδικό, δεν συνεχίζει το boot.

    Μάλλον δεν βοηθάω ιδιαίτερα, αλλά δεν ξέρω και τι άλλο μπορώ να σου πω. Ρώτα και βλέπουμε.
    ... Morpheus: What is "real"? How do you define "real"? If you 're talking about what you can feel, what you can smell, what you can taste and see, then "real" is simply electrical signals interpreted by your brain...
    __________
    Η σελίδα μου - e-tameio

  4. #4
    Εγγραφή
    20-12-2005
    Μηνύματα
    3.196
    Downloads
    4
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    49997/4997
    ISP
    ΟΤΕ Conn-x
    DSLAM
    ΟΤΕ - ΞΑΝΘΗ
    Router
    Speedport W 724V
    SNR / Attn
    24,4(dB) / (dB)
    Παράθεση Αρχικό μήνυμα από GoofyX Εμφάνιση μηνυμάτων
    Στο σύστημά μου έχω το /home encrypted με LUKS πάνω από soft raid 1 volume. Όταν ξεκινάει το σύστημα (systemd) και φτάνει στο σημείο να κάνει mount το /home, σταματάει και μου ζητάει το password. Όντως, μπορεί εκείνη τη στιγμή στην κονσόλα να πετάγονται κι άλλα μηνύματα, αλλά το εισάγω κανονικά, Enter και συνεχίζει το υπόλοιπο boot. Πάντως τα θέματα που έχεις με το να συνεχίζει το boot χωρίς να έχεις δώσει τον κωδικό δεν τα έχω. Δηλαδή, αν δεν εισάγω τον κωδικό, δεν συνεχίζει το boot.

    Μάλλον δεν βοηθάω ιδιαίτερα, αλλά δεν ξέρω και τι άλλο μπορώ να σου πω. Ρώτα και βλέπουμε.
    @OP

    Το ίδιο και σε εμένα σε τρία μηχανήματα, ένα slackware, ένα gentoo με openrc και ένα opensuse με systemd. Και τα τρία σταματάνε κανονικά στο prompt για το password χωρίς να χάνεται το focus. Μερικές φορές βγαίνουν μόλις 1-2 μηνύματα του στυλ usb τάδε αλλά ό,τι γράψω το δέχεται κανονικά για password.

    Η συμπεριφορά που βλέπεις εξαρτάται φυσικά από την υλοποίηση των initscripts οπότε δεν θα είναι ακριβώς ίδια παντού αλλά λογικά θα έπρεπε να συμπεριφέρεται όπως στον GoofyX και στο OpenSUSE μου μια και το debian τρέχει systemd.

    Αν θέλεις να δοκιμάσουμε κάτι, πες μας.
    "I like offending people, because I think people who get offended should be offended" - Linus Torvalds

    "Παλιά είχαμε φτωχούς οι οποίοι ζούσανε σε φτωχογειτονιές. Τώρα, η οικονομικά δυσπραγούσα τάξη
    κατέχει στέγες υποδεέστερης ποιότητας σε υποβαθμισμένα αστικά κέντρα" - George Carlin
    Γα.... την πολιτική ορθότητα.

  5. #5
    Εγγραφή
    28-02-2007
    Μηνύματα
    751
    Downloads
    0
    Uploads
    0
    Παράθεση Αρχικό μήνυμα από GoofyX Εμφάνιση μηνυμάτων
    Πάντως τα θέματα που έχεις με το να συνεχίζει το boot χωρίς να έχεις δώσει τον κωδικό δεν τα έχω. Δηλαδή, αν δεν εισάγω τον κωδικό, δεν συνεχίζει το boot.
    Δεν νομίζω ότι συνεχίζει το boot - καταλληλότερος βέβαια για την διευκρίνηση είναι ο hammered - απλά συνεχίζουν τα μηνύματα και (λίγο) μετά το prompt. Είναι αναμενόμενη συμπεριφορά, δυστυχώς. Δεν είναι κάτι που εμποδίζει την χρήση του συστήματος και σε συστήματα με systemd λύνεται με χρήση του plymouth.
    Τελευταία επεξεργασία από το μέλος mobinmob : 23-02-18 στις 23:04.
    It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
    So when you are requested to pay up or be molested,/You will find it better policy to say: --
    "We never pay any-one Dane-geld,/No matter how trifling the cost;
    For the end of that game is oppression and shame,/And the nation that plays it is lost!"
    Rudyard Kipling

  6. #6
    Εγγραφή
    09-11-2007
    Μηνύματα
    1.574
    Downloads
    0
    Uploads
    0
    Ταχύτητα
    8192/1024
    ISP
    Cyta Hellas
    DSLAM
    Cyta Hellas - ΤΡΙΠΟΛΗ
    Καλή ιδέα αυτό με το Plymouth. Θα το δοκιμάσω.

    Αυτό που αντιμετωπίζω είναι ότι μετά το "please type your password" πετάγονται και 2-3 άλλα μηνύματα που χαλάνε την διαμόρφωση. Τώρα αν προέρχονται από βήματα που δεν κάνουν depend στα mounts δεν ξέρω.
    Ταυτόχρονα γίνεται και η αλλαγή στην υψηλότερη ανάλυση της οθόνης, οπότε καθαρίζει η οθόνη από κείμενο και έχω ένα μαύρο background μπροστά μου, καθώς επειδή περιμένει το password από πριν, δεν προχωρά το λοιπό process και δεν γράφονται μηνύματα στην οθόνη.

    @mobinmob full system encryption δεν έχει νόημα. Τα όποιας σημασίας δεδομένα μου βρίσκονται μέσα στο home μου. Το υπόλοιπο σύστημα δεν χρειάζεται έχει το performance hit του encryption/decryption. Εξάλλου αν σπάσει τίποτα luks με κάποιο update, να μπορώ να bootάρω και να έχω πρόσβαση σε κάποια βασικά πράγματα.
    Κάνω προσπάθεια να βάζω ; αντι για ?


  7. #7
    Εγγραφή
    28-02-2007
    Μηνύματα
    751
    Downloads
    0
    Uploads
    0
    Πέρα από τα bootsplash, ο plymouth λειτουργεί και σαν io multiplexer κατά την εκκίνηση
    http://web.dodds.net/~vorlon/wiki/bl..._a_bootsplash/

    Δεν θυμάμαι να έχω δει κάποια μέτρηση για το πόσο σημαντική είναι η επίπτωση στις επιδόσεις όταν έχεις κρυπτογραφημένο όλο το δίσκο. Το έχω δοκιμάσει και σε σύστημα με αδύναμο επεξεργαστή (παλιό Celeron ULV) χωρίς κάποιο αισθητό πρόβλημα. Για να σπάσει κάτι πρέπει να υπάρχει πρόβλημα είτε με τον πυρήνα/το initramfs (το έχω συναντήσει) , είτε να έχει κάποιο σοβαρό bug το cryptsetup (μάλλον απίθανο). Στην πρώτη περίπτωση, σε διανομές που κρατούν παλιότερους πυρήνες στις αναβαθμίσεις, απλά εκκινείς από παλιότερο πυρήνα/initramfs που δουλεύει.
    Τελευταία επεξεργασία από το μέλος mobinmob : 25-02-18 στις 22:58.
    It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
    So when you are requested to pay up or be molested,/You will find it better policy to say: --
    "We never pay any-one Dane-geld,/No matter how trifling the cost;
    For the end of that game is oppression and shame,/And the nation that plays it is lost!"
    Rudyard Kipling

  8. #8
    Εγγραφή
    09-11-2007
    Μηνύματα
    1.574
    Downloads
    0
    Uploads
    0
    Ταχύτητα
    8192/1024
    ISP
    Cyta Hellas
    DSLAM
    Cyta Hellas - ΤΡΙΠΟΛΗ
    Παράθεση Αρχικό μήνυμα από mobinmob Εμφάνιση μηνυμάτων
    Δεν θυμάμαι να έχω δει κάποια μέτρηση για το πόσο σημαντική είναι η επίπτωση στις επιδόσεις όταν έχεις κρυπτογραφημένο όλο το δίσκο. Το έχω δοκιμάσει και σε σύστημα με αδύναμο επεξεργαστή (παλιό Celeron ULV) χωρίς κάποιο αισθητό πρόβλημα. Για να σπάσει κάτι πρέπει να υπάρχει πρόβλημα είτε με τον πυρήνα/το initramfs (το έχω συναντήσει) , είτε να έχει κάποιο σοβαρό bug το cryptsetup (μάλλον απίθανο). Στην πρώτη περίπτωση, σε διανομές που κρατούν παλιότερους πυρήνες στις αναβαθμίσεις, απλά εκκινείς από παλιότερο πυρήνα/initramfs που δουλεύει.
    Δεν ξέρω μου φαίνεται αχρείαστο. Το υπόλοιπο σύστημα δεν ειναι "ευαίσθητα δεδομένα".

    Τώρα μπορεί να λέω βλακείες αλλά προσπαθώ να αποφύγω την κατά λάθος καταστροφή του luks header, από κακή αναβάθμιση ή/και από διεργασίες που γράφουν στο δίσκο κατευθείαν. Σε τέτοια περίπτωση όλα τα data είναι unrecoverable. Είναι αδύνατον να βρεις το encryption key.
    Το file container είναι λιγάκι πιο απομονωμένο.
    Κάνω προσπάθεια να βάζω ; αντι για ?


  9. #9
    Εγγραφή
    28-02-2007
    Μηνύματα
    751
    Downloads
    0
    Uploads
    0
    "Ευαίσθητα" δεδομένα μπορεί να έχεις και στο swap partition (διαφορετική περίπτωση, προφανώς). Αυτό, αν δεν σε ενδιαφέρει το suspend2disk μπορείς να το κρυπτογραφήσεις με random password.

    Όντως, αν καταστραφεί ο LUKS header δεν μπορείς να διαβάσεις τίποτα. Αν αυτό είναι κάτι που σε ανησυχεί, νομίζω ότι ακόμα και στην περίπτωση κρυπτογράφησης μόνο του home αξίζει να κρατήσεις ένα backup του header. Δύσκολα πάντως θα γράψει κάτι "άσχετο" εκεί
    It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
    So when you are requested to pay up or be molested,/You will find it better policy to say: --
    "We never pay any-one Dane-geld,/No matter how trifling the cost;
    For the end of that game is oppression and shame,/And the nation that plays it is lost!"
    Rudyard Kipling

  10. #10
    Εγγραφή
    09-11-2007
    Μηνύματα
    1.574
    Downloads
    0
    Uploads
    0
    Ταχύτητα
    8192/1024
    ISP
    Cyta Hellas
    DSLAM
    Cyta Hellas - ΤΡΙΠΟΛΗ
    Παράθεση Αρχικό μήνυμα από mobinmob Εμφάνιση μηνυμάτων
    "Ευαίσθητα" δεδομένα μπορεί να έχεις και στο swap partition (διαφορετική περίπτωση, προφανώς). Αυτό, αν δεν σε ενδιαφέρει το suspend2disk μπορείς να το κρυπτογραφήσεις με random password.
    Ξέχασα να το πω αυτό. Ναι έχω encryption και στο swap.
    Συντόμως θα κάνω κάτι παρόμοιο και για το tmp.

    Παράθεση Αρχικό μήνυμα από mobinmob Εμφάνιση μηνυμάτων
    Όντως, αν καταστραφεί ο LUKS header δεν μπορείς να διαβάσεις τίποτα. Αν αυτό είναι κάτι που σε ανησυχεί, νομίζω ότι ακόμα και στην περίπτωση κρυπτογράφησης μόνο του home αξίζει να κρατήσεις ένα backup του header. Δύσκολα πάντως θα γράψει κάτι "άσχετο" εκεί
    Έχω τύπου αυτοματοποιημένα backup(syncthing με το desktop). Και χειροκίνητα ανά διαστήματα.
    Βέβαια και αυτό που λες για backup του header, το είχα ξεχάσει. Αξίζει.
    Κάνω προσπάθεια να βάζω ; αντι για ?


  11. #11
    Εγγραφή
    28-02-2007
    Μηνύματα
    751
    Downloads
    0
    Uploads
    0
    Παράθεση Αρχικό μήνυμα από hammered Εμφάνιση μηνυμάτων
    Ξέχασα να το πω αυτό. Ναι έχω encryption και στο swap.
    Συντόμως θα κάνω κάτι παρόμοιο και για το tmp.
    Δεν είναι tmpfs (και άρα στην RAM) το tmp στο Debian;
    It is wrong to put temptation in the path of any nation,/For fear they should succumb and go astray;
    So when you are requested to pay up or be molested,/You will find it better policy to say: --
    "We never pay any-one Dane-geld,/No matter how trifling the cost;
    For the end of that game is oppression and shame,/And the nation that plays it is lost!"
    Rudyard Kipling

  12. #12
    Εγγραφή
    09-11-2007
    Μηνύματα
    1.574
    Downloads
    0
    Uploads
    0
    Ταχύτητα
    8192/1024
    ISP
    Cyta Hellas
    DSLAM
    Cyta Hellas - ΤΡΙΠΟΛΗ
    Παράθεση Αρχικό μήνυμα από mobinmob Εμφάνιση μηνυμάτων
    Δεν είναι tmpfs (και άρα στην RAM) το tmp στο Debian;
    Νομίζω πως όχι. Εξάλλου με 4GB που έχω, δεν θα ήθελα να το έχω σε tmpfs.
    Κάνω προσπάθεια να βάζω ; αντι για ?


Παρόμοια Θέματα

  1. Μηνύματα: 131
    Τελευταίο Μήνυμα: 18-01-18, 23:19
  2. Μηνύματα: 2
    Τελευταίο Μήνυμα: 03-11-17, 01:52
  3. Μηνύματα: 71
    Τελευταίο Μήνυμα: 13-10-17, 18:16
  4. Μηνύματα: 6
    Τελευταίο Μήνυμα: 03-05-17, 23:34
  5. Προβλήματα στο boot υπολογιστή- πιθανόν Hardware
    Από puffy στο φόρουμ Hardware Γενικά
    Μηνύματα: 3
    Τελευταίο Μήνυμα: 23-02-17, 19:55

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας