Příspěvky

376

Distribuce / Re:Aktuální nonPAE distro na 2GB USB pro web browse

« kdy: 04. 06. 2017, 21:53:42 »

Debian 7 (netrivialne, ale) jde nainstalovat i na 486. Zkusil bych ten. Z Netinstall iso by mela jit udelat instalacni flashka a system pak nainstalovat ze site.

377

Hardware / Re:Mám použít UEFI nebo klasický Legacy

« kdy: 09. 05. 2017, 08:33:32 »

Pekne zvrhla diskuse.

Vsechny moderni distribuce funguji s UEFI (podpora je v Grubu). Windows 7 s GPT taky funguji s UEFI/GPT. (Predpokladam, ze tazatel nechce pouzivat 32-bit Windows 7, ktere vyzaduji Legacy boot a MBR) Neni tedy duvod prechazet na Legacy boot, protoze:

- Windows UEFI podporuji
- Linux UEFI podporuje
- Prechod na Legacy boot ve Windows znamena zkonvertovat disk na MBR schema, nasledne preinstalovat wokenni zavadec do MBR a nakonec vytvorit novou databazi BCD (coz se da, ale i s Googlem je to postup try&cry)
- Prestane fungovat SecureBoot (pokud by ho tazatel chtel pouzivat)
- Prestane fungovat nektery HW (z mych zkusenosti nefunguje s Legacy bootem TPM 2.0)
- Legacy boot je na UEFI deskach implementovan jako modul kompatibility, tzv. CSM, tedy emulace BIOSu (funguje to, ale proc se s tim prat?)
- Legacy boot je potencialne nachylnejsi k rozbiti (prepis MBR zpusobi nenabootovani; oproti tomu pokud si nejaky system zavadeny UEFI bootem zmeni poradi bootovani systemu, muzete vyvolat UEFI boot menu a jednoduse vybrat a nabootovat system puvodni)
- Legacy boot s MBR vyzaduje pro GRUB "prostor nikoho", tedy nekolik sektoru mezi MBR a prvnim oddilem disku; tento prostor si zvykl zneuzivat kdekdo, tedy hrozi poskozeni (prepis) kodu GRUBu jinym obsahem a znefunkcneni bootu - UEFI tento problem nema, protoze GRUB je pritomen v EFI partition

S UEFI v Linuxu je treba naucit se jen par novych pristupu: pouzivat efibootmgr pro upravu UEFI boot menu, mountovat EFI partition do /boot/efi, pri obnove napr. pomoci SystemRescueCD bootovat taktez v UEFI rezimu, jinak se Grub nainstaluje spatne (do MBR), a tak.

Varianta Legacy boot + GRUB + GPT je mozna, pokud GRUBu vytvorite v GPT oddil o velikosti alespon 1 MB, ale dost oskliva. Navic nebude fungovat s Windows (10 ani 7).

Varianta Legacy boot + GRUB + MBR bootovala nase systemy desitky let. Je tedy i pres vsechny workaroundy (extended partition) a prasarny (instalace stage1.5 do "prostoru nikoho" mezi MBR a prvnim oddilem) lety proverena a vicemene funkcni. Jen v dnesni dobe uz trochu zpatecnicka.

378

Sítě / Re:T-Mobile ADSL insider?

« kdy: 13. 04. 2017, 03:56:41 »

Mimochodem, Radek Zajíc je TEN Radek Zajíc, který by mi uměl pomoci s T-Mobile IPv6, které mi taky nefunguje? Ale to je až třetí věc, za urychlením uploadu a urychlením pingu, i když podstatná (kvůli IPv6 jsem si vybral T-Mobile).

Nojo. Napiste, co je za problem. Uvidime, co se s tim da udelat.

379

Sítě / Re:T-Mobile ADSL insider?

« kdy: 12. 04. 2017, 21:13:31 »

Neni to bitstream, ale sluzba od CETINu s predavacim bodem v Praze.

Prvni hop za modemem je BRAS (protoze se vyuziva PPPoE) v infrastrukture CETINu, casto az v krajskem meste. Neni tedy pravda, ze by cesta mezi modemem a prvnim hopem byla 300 m dratu a latenci to nabiralo na ni. Ve skutecnosti muze byt cesta dost dlouha. :-)

Latence na VDSL je kupodivu o dost vyssi nez byva(la) na ADSL, kde jsem obvykle dosahoval 8 ms mezi modemem (resp. PPPoE klientem) a BRASem. Na VDSL to je uz od spusteni 20 ms, nicmene treba se to v poslednich letech nejak zlepsilo. DSL neni optika, DSLAMy jsou pripojene optikou, ale zakaznici metalikou. Vykon DSLAMu muze latenci taky ovlivnit dost vyrazne.

S TM tohle nema cenu resit, v TM jde o dva hopy (prechod mezi infrastrukturou CETINu a ISP routerem exTSystems, kde se provoz predava, pak mezi routerem exTSystems a ISP routerem TM, a pak uz jsou na rade routery ostatnich provideru v NIXu, peeringu nebo tranzitu.

380

Software / Re:TrustedGrub, TPM a autoodemykání LUKS volume

« kdy: 21. 02. 2017, 22:03:38 »

Zakladatel sem zadny takovy link ("ze je to blbost") rozhodne nedaval. Je to bezpecne s tim, ze bezpecnost ma urcitou uroven. Ta se da ruznymi dalsimi opatrenimi zvysit (doplnujici/podpurne kontroly pro odemceni) i snizit (diry v konceptu).

381

Software / Re:TrustedGrub, TPM a autoodemykání LUKS volume

« kdy: 15. 02. 2017, 20:45:47 »

Neni zac :-)
Moc jsem tam toho nenaprogramoval a zatim je to porad spis alfaverze.
Nedavno jsem mel problem s UEFI na novem Dell XPS, pocital jinak hash pro PCR[5] a jeste jsem se nedostal k hlubsi analyze, jak (jen tusim). Takze pokud byste na to nekdo narazil, doporucuju vypnout sealing na PCR[5] v /etc/tpm-luks.conf.

EDIT: a taky se to nema uplne rado s disky jinde nez na /dev/sd* (tzn. treba /dev/vda prip. /dev/nvm*). Opet mam nejakou alfa opravu, ale hardware s NVMe diskem jsem vratil...

382

Distribuce / Re:Linux/Debian Kaby Lake

« kdy: 17. 01. 2017, 12:32:25 »

Pořídil jsem včera Kaby Lake (i7-7700T) a po výměně CPU zatím (nejspíš) všehchno běží.
Kernel si zahlásil, že mu chybí firmware pro grafiku i s odkazem, odkud jej stáhnout a se slovy, že disabluje runtime power management grafiky (URL pro firmware je https://01.org/linuxgraphics/intel-linux-graphics-firmwares).
Virtuály přes KVM/QEMU běží bez problémů. Aplikace aplikují.

Kernel 4.8.0. Sice provozuju Ubuntu, ale to by snad tolik původního autora otázky nemuselo trápit. :-)
Osobně asi pro Kaby Lake můžu "co-nejnovější-kernel" jen doporučit. (Večer plánuju upgrade na 4.9.)

383

Windows a jiné systémy / Re:Android a IPv6

« kdy: 11. 01. 2017, 19:57:11 »

Jeste je tu moznost, ze tazatel ma pripojeni od O2 bez verejne adresy a na tehle siti Arduino. Ted se chce pripojovat na to Arduino (zvenku pres mobilni sit? Protoze domaci sit i v pripade NATovane pripojky stale je k dispozici) z Androidu a zajima ho, jak na to.
Kazdopadne potrebujeme vic informaci.

384

Sítě / Re:Levné SIM karty pro IoT

« kdy: 03. 01. 2017, 12:56:38 »

Nulový tarif na míru od VF není úplně ideálním řešením, protože:
1. se těžko získává (není oficiálně v nabídce)
2. oficiálně neumožňuje účtování po kB (jde k němu aktivovat Připojení na den, Na týden a Flexidata, příp. balíčky 500+ MB; nic z toho není vhodné pro přenos do 10 MB měsíčně); neoficiálně by možná účtování po kB aktivovat šlo (zkuste otravovat VF infolinku)
3. účtování po kB už ani není v ceníku, takže těžko říct, kolik si účtují dneska, ale kdysi dávno stával kilobyte tuším 0,06 Kč. To je 614,4 Kč za 10 MB.

Docela drahá sranda.

385

Software / Re:TrustedGrub, TPM a autoodemykání LUKS volume

« kdy: 23. 12. 2016, 18:04:37 »

Cold boot nebo zneuziti DMA pomoci firewire a pod. jsou utoky, proti kterym pomuze jen uplne jina uroven zabezpeceni.

386

Software / Re:TrustedGrub, TPM a autoodemykání LUKS volume

« kdy: 23. 12. 2016, 08:06:12 »

S tim sniffovanim je to hodne teoreticky utok. Praktickou realizaci se mi najit nepodarilo, takze bud to nikdo neumi, nebo je to tak slozity, ze to nikdo nedela. (Tady muzou byt tezsi a lehci realizace v zavislosti na tom, kde je TPM - krome samostatnyho odpojitelnyho modulu, mezi kterej a desku muzes zapojit relativne univerzalni odposlouchavaci elektroniku, muze byt tekzy az nerealizovatelny delat odposlech u TPM napajenyho na desce, a pak prakticky nemozny u firmwareTPM, ktery jsou soucasti Intel TXT a TPM je tudiz v procesoru.)
Neco malo materialu k utokum, ovsem bez dukazu, ze z toho nekomu tecou data v podobe, ktera by byla citelna:
https://online.tugraz.at/tug_online/voe_main2.getvolltext?pCurrPk=59565
https://securingtomorrow.mcafee.com/business/security-connected/tpm-undressed/

387

Software / Re:TrustedGrub, TPM a autoodemykání LUKS volume

« kdy: 23. 12. 2016, 00:27:57 »

Stejne jako u Windows je i tohle reseni jen omezene bezpecne. :-) Microsofti k tomu maji pekny diagram na https://technet.microsoft.com/en-us/library/ee706531(v=ws.10).aspx.

Zjednodusene:
1) je to samozrejme nachylne na cold boot attack a tam, kde jsou dost citliva data, je tohle pouziti samozrejme nedostacujici. Paranoici necht zustanou u rucniho zadavani hesla a duvere v to, ze jim dabelska pokojska nepodvrhla initrd.
2) Dal se da TPM teoreticky odposlechnout (je pripojen pres LPC https://en.m.wikipedia.org/wiki/Low_Pin_Count). To se dela hur tam, kde je TPM primo na desce, ale jinak data poputuji po sbernici v cleartextu.
3) Je treba pohlidat, aby pouzivany initrd neskoncil NIKDY v shellu. Proc? No, pokud napr. prepisu LUKS header docasne nulami, selze odemykani. V takovem pripade by me system hodil do shellu, ve kterem si muzu data z tpm vycist. Debiani initramdisky v pripade, ze je kernelu pridan parametr panic=X, rovnou rebootuji a heslo k disku tak neni ohrozeno.
4) V bezicim systemu je treba provest alespon zakladni zabezpeceni (bezny uzivatel nesmi mit moznost cist data z NVRAM TPM; do systemu se nesmi prihlasit guest; a pod.)
5) Sitove sluzby toho taky muzou dost prozradit a dost dat vydat. Nabizi se moznost provest lockdown v okamziku, kdy bude system nabootovan na miste, ktere nebudu znat.

388

Hardware / Re:Je TPM bezpečné? Jak ho bezpečně používat?

« kdy: 23. 12. 2016, 00:10:31 »

Windows si klic z TPM netahaji. Bitlocker funguje v principu takhle:
Disk je zasifrovan klicem pro full disk encryption. Tenhle klic je ulozen na disku a je zasifrovan tzv. Master klicem. Pristup k Master klici hlidaji protectors (jimi je pristup k master klici sifrovan): temi muze byt ciselne heslo (recovery key), usb flashka, tpm+pin, tpm, pripadne tpm+pin+flashka.
Kdyz se pouziva tpm, pozadaji windows o zasifrovani "tpm protectoru" pri "definovanem stavu systemu" tpmkem.
Odemykani pak funguje tak, ze tpm desifruje tento protector key jen tehdy, je-li system opet v predem definovanem stavu. Stav meni i vyber jine polozky z menu bootmanageru. Pokud system neni v definovanem stavu, tom nedesifruje korektne protector key a windows si vyzadaji recovery key od uzivatele, kterym pak odemknou master key a ten odemkne full volume encryption key.

V Linuxu existuje par pokusu o rozchozeni jednodussi varianty desifrovani, ktera se bude chovat podobne jako Bitlocker (tedy za definovaneho stavu odemkne disk). Vetsina z nich je vsak bohuzel uzivatelsky neprivetiva (kompilace) nebo nefunkcni (neaktualni software, nutnost prepsani). Kombinaci TPM+PIN jsem na Linuxu jeste nevidel, podobne TPM+PIN+UsbKey.

Taky mi ale neni uplne jasne, jakou predstavu o cilovem stavu ma puvodni pisatel.

389

Software / Re:TrustedGrub, TPM a autoodemykání LUKS volume

« kdy: 22. 12. 2016, 23:32:27 »

Tak tu mame prvni balicky dostupny pres PPA. Zatim pro Ubuntu 16.10 a 17.04.
Grub2 (i pro UEFI) s podporou TPM a sada skriptu a nastroju pro automatizaci nasazeni jsou na https://launchpad.net/~radek-zajic/+archive/ubuntu/measuredluks

Zatim bez dokumentace. :-)

390

Bazar / Re:Prodám DELL Optiplex 980

« kdy: 12. 12. 2016, 21:32:28 »

Nabizim 1000 Kc.