Re: Kompletně šifrovaný disk se systémem i daty (Debian)

frantas

Zdravim v tenhle posvatny vanocni cas plny klidu, pohody a lasky.

Mel bych nekolik otazek a chtel bych znalejsi pozadat o radu (ano, jsem lajk). Tyka se clanku pana Krcmare Kompletně šifrovaný disk se systémem i daty (Debian)

1) podarilo se nekomu zreplikovat uspesne tento postup?
 - zkousel jsem to jak na notebooku Dell Latitude (nejaky posledni model) tak ve virtualboxu (viz. obrazky z clanku kde napr. rozdeleni disku je z virtualboxu, prestoze pan Krcmar v uvodu pise ze to zkousi na notebooku), a ani jednou jsem nebyl uspesny:
a) prvni vec je, a kdosi to psal i do diskuze pod clankem, ze obrazky rozdeleni disku neodpovidaji popisu ani zaverecnemu rozdeleni. Tazatel tenkrat dostal jedno "minus" a bez odpovedi. Snad se to dozvime zde.
b) dalsi je, ze pri kroku generovani konfiguracniho souboru nacitaneho zavadecem tam skace mnoho radku WARNING: Failed to connect to lvmetad. Falling back to device scanning.
O tom se pan Krcmar v clanku nezminuje. Na internetu jsem nasel, ze v /etc/lvm/lvm.conf zmenit/pridat use_lvmetad=0.
Pak se ta chyba nevyskytuje. Vrta mi hlavou jestli se to autorovi nestalo nebo jestli je to irelevantni (ty 3 radky kdy najde background image, linux image a initrd image se nakonec vypisi) nebo proc se o tom autor nezminuje?
c) tak jako tak at jsem to zkousel ve virtualboxu (s UEFI) nebo na notebooku (s UEFI), vzdy jsem skoncil na tom, ze po restartu nenabehl GRUB s dotazem na heslo k odsifrovani oddilů, ale v "minimal BASH-like" s grub> _
Postup jsem opakoval nekolikrat a daval si sakra pozor abych vsechno provedl spravne (ono to neni nijak slozity, jen mi to proste nefunguje), ale nikdy jsem se nedostal do funkcniho stavu.

Budu vdecny za kazdou radu.

K dalsim dotazum:
2) postup je funkcni jen pro amd64 UEFI stroj. Pokud mam stroj jen s Legacy BIOSem (resp. EFI natvrdo v legacy modu) tak nejde aplikovat. Ma nekdo 100% funkcni postup jak mit na takovem stroji sifrovany disk i s /boot oddilem? Zatim jsem zadny takovy nenalezl :(
Vsechny navody maji /boot oddil separatni a nesifrovany, viz. informace v uvodu clanku.

3) da se to nejak aplikovat na ubuntu? Tentokrat v "mini" verzi instalatoru (obdoba netinst). Plnotucna verze neumoznuje vytvorit si potrebne oddily. Mini zase (a to nechapu a nejsem jediny) se musi upravit, protoze v zakladu nema efi, coz je ale to nejmensi. Co se tyka aplikovatelnosti postupu, take jsem nebyl uspesny a ve finale jsem skoncil s grub> _ a natrapil se s tim abych to donutil bootovat, coz se stejne nepovedlo.

4) predpokladam ze lze mit vice sifrovanych oddilu (ne jen jeden co obsahuje lvm) ci jednotek, v tom pripade si myslim ze staci vytvorit vice *.key klicu a dat je do /etc/crypttab.
Vzhledem k tomu ze jsem se nedostal do funkcniho stavu ani s jednou jednotkou jak je v clanku, tak si tuto domnenku nemuzu overit.

Dekuji vsem kdo nebudou troli a budou mit opravdovou snahu pomoci, vcetne snad i autora clanku pana Krcmare, jehoz clanky dlouhodobe rad ctu a velmi si jich vazim.


Jenda

Re: Kompletně šifrovaný disk se systémem i daty (Debian)
« Odpověď #1 kdy: 26. 12. 2018, 20:02:30 »
Vrta mi hlavou jestli se to autorovi nestalo nebo jestli je to irelevantni

Je to irelevantní, podle mě jediný důsledek, který to má, je, že skenování bude déle trvat (musí se pokaždé projít všechny disky). Na běžném počítači bych čekal že to potrvá tak 1-2 sekundy navíc.

k3dAR

  • *****
  • 2 834
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re: Kompletně šifrovaný disk se systémem i daty (Debian)
« Odpověď #2 kdy: 26. 12. 2018, 23:31:04 »
ad 1b) jde o warning a nicemu to nevadi

postup sem nezkousel, ale podobny pouzivam uz dele (s *buntu/Mint) v komentari pod clankem sem uvadel odkaz na abclinuxu kde sem resil script co to vse dela, vcetne podpory legacy boot na gpt disku doky grub_reserved osdilu...

frantas

Re: Kompletně šifrovaný disk se systémem i daty (Debian)
« Odpověď #3 kdy: 28. 12. 2018, 11:30:01 »
4) predpokladam ze lze mit vice sifrovanych oddilu (ne jen jeden co obsahuje lvm) ci jednotek, v tom pripade si myslim ze staci vytvorit vice *.key klicu a dat je do /etc/crypttab.
Vzhledem k tomu ze jsem se nedostal do funkcniho stavu ani s jednou jednotkou jak je v clanku, tak si tuto domnenku nemuzu overit.

Na 4) si odpovim sam :) Jde to a funguje to. Odzkouseno ale se samostatnym nesifrovanym /boot oddilem.
+ doplnim dalsi dotaz:
4a) lze mit pro odemknuti z grubu jine heslo nez jakym jsou zasifrovany disky/oddily?

frantas

Re: Kompletně šifrovaný disk se systémem i daty (Debian)
« Odpověď #4 kdy: 29. 12. 2018, 23:23:08 »
3) da se to nejak aplikovat na ubuntu? Tentokrat v "mini" verzi instalatoru (obdoba netinst). Plnotucna verze neumoznuje vytvorit si potrebne oddily. Mini zase (a to nechapu a nejsem jediny) se musi upravit, protoze v zakladu nema efi, coz je ale to nejmensi. Co se tyka aplikovatelnosti postupu, take jsem nebyl uspesny a ve finale jsem skoncil s grub> _ a natrapil se s tim abych to donutil bootovat, coz se stejne nepovedlo.

Tady si taky odpovim sam - evidentne se da, chce to provest krok ktery popsal BFU v poslednim prispevku diskuze u puvodniho clanku:
Citace
BFU (neregistrovaný) ---.gw.selfnet.cz
U generování konfiguračního souboru
Kód: [Vybrat]
# grub-mkconfig -o /boot/grub/con­fig.cfg
chybová hláška: Cannot find list of partitions! (Try mounting /sys.)
pomohlo: mount sysfs /sys -t sysfs

Akorat jak jsem psal vyse, po rebootu cela instalace skonci na grub>_, stejne jako kdyz se instaluje samotnej Debian.

To opravdu nikdo ten postup pana Krcmare nezkousel zda funguje? Co na to pan Krcmar? To mu nevadi vyvesit nefunkcni postup?  :(


k3dAR

  • *****
  • 2 834
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re: Kompletně šifrovaný disk se systémem i daty (Debian)
« Odpověď #5 kdy: 30. 12. 2018, 00:45:46 »
Akorat jak jsem psal vyse, po rebootu cela instalace skonci na grub>_, stejne jako kdyz se instaluje samotnej Debian.
stale se nepta se na heslo? to by znamenalo bud ze mas spatne uvedenej /etc/crypttab (napr. v *buntu tusim musi jmeno disku na zacatku odpovidat aktualnimu jmenu odemceneho disku pri te configuraci a/nebo mas spatne regenerovanej initramfs (v clanku je uvedeno "update-initramfs -u" ja delam vzdy radeji pro vsechna jadra "update-initramfs -u -k all") a/nebo v /etc/default/grub neni uvedeno "GRUB_ENABLE_CRYPTODISK=y" (myslim ze v *buntu musi byt y a ne true a y bez uvozovek), pro zajimavost hod vystup "cat /boot/grub/grub.cfg | grep -i -e luks -e crypt"

To opravdu nikdo ten postup pana Krcmare nezkousel zda funguje? Co na to pan Krcmar? To mu nevadi vyvesit nefunkcni postup?  :(
postup sem nezkousel, pouzivam Xubuntu s postupem kterej sem prevedl do scriptu jak sem psal nahore, viz:
https://www.root.cz/clanky/kompletne-sifrovany-disk-se-systemem-i-daty-debian/nazory/1004991/

k3dAR

  • *****
  • 2 834
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re: Kompletně šifrovaný disk se systémem i daty (Debian)
« Odpověď #6 kdy: 30. 12. 2018, 03:41:31 »
tak sem to zkusil (ve virtualu KVM&EFI) a postup funguje, nic sem nemusel menit, warningy sem ignoroval, sys NEbyl potreba pripojit rucne, v /target/sys jiz byl... napadlo me co si mohl udelat jinak:
1. NEsmazal si /boot oddil (i kdyz to by asi problem neudelalo, pokud by tedy zustal pripojen v /target/boot pri rucni instalaci grubu)
2. na me kdyz vyzkocil Grub Error, tak sem NEodtuknul ani tu prvni hlasku a rovnou se prepnul (je mozne ze to odtuknhuti odpojilo neco z /target)
3. po vraceni z konzole do instalatoru sem odtuknul 2x grub error a NEvybral instalaci zavadece ale rovnou "pokracovat bez zavadece" (pokud bys dal z menu instalovat zavadec, mozna to neco prepise spatne)

dukaz misto kecu mas v priloze ;-)
« Poslední změna: 30. 12. 2018, 03:44:52 od k3dAR »

frantas

Re: Kompletně šifrovaný disk se systémem i daty (Debian)
« Odpověď #7 kdy: 30. 12. 2018, 15:07:09 »
stale se nepta se na heslo? to by znamenalo bud ze mas spatne uvedenej /etc/crypttab (napr. v *buntu tusim musi jmeno disku na zacatku odpovidat aktualnimu jmenu odemceneho disku pri te configuraci a/nebo mas spatne regenerovanej initramfs (v clanku je uvedeno "update-initramfs -u" ja delam vzdy radeji pro vsechna jadra "update-initramfs -u -k all")
Nepta, jedinej pokus kdy se na heslo GRUB zepta bylo kdyz jsem tam prave nechal nesifrovanej /boot.
/etc/crypttab je nastavenej spravne.

a/nebo v /etc/default/grub neni uvedeno "GRUB_ENABLE_CRYPTODISK=y" (myslim ze v *buntu musi byt y a ne true a y bez uvozovek), pro zajimavost hod vystup "cat /boot/grub/grub.cfg | grep -i -e luks -e crypt"
/etc/default/grub je take spravne, viz. jak je v navodu i jak pises.

Vystup:
Kód: [Vybrat]
insmod cryptodisk
insmod luks
cryptomount -u 7d5332b546f1415a8718128c71073aa9
+3x se to opakuje, pokazde posunute o par prazdnych znaku

napadlo me co si mohl udelat jinak:
1. NEsmazal si /boot oddil (i kdyz to by asi problem neudelalo, pokud by tedy zustal pripojen v /target/boot pri rucni instalaci grubu)
Smazal, resp. zkousel jsem vytvorit oddily i manualne a /boot jsem nevytvarel.

2. na me kdyz vyzkocil Grub Error, tak sem NEodtuknul ani tu prvni hlasku a rovnou se prepnul (je mozne ze to odtuknhuti odpojilo neco z /target)
Zkousel jsem se prepnout hned po prvni hlasce (grubdummycosi) i az pri te druhe, vysledek stejny.

3. po vraceni z konzole do instalatoru sem odtuknul 2x grub error a NEvybral instalaci zavadece ale rovnou "pokracovat bez zavadece" (pokud bys dal z menu instalovat zavadec, mozna to neco prepise spatne)
At uz jsem nechal instalovat zavadec znovu nebo pokracoval bez zavadece, vysledek stejny.

dukaz misto kecu mas v priloze ;-)
Velmi dekuji a vazim si tveho casu, opet a znovu jak ve virtualu tak na realnem NTB jsem provedl cely postup uplne tak jak to mas v tom dukazu a stejne po rebootu se nezepta na heslo ale je tam grub>_ a system nenabootuje >:(

To by mne vazne zajimalo v cem je zakopanej pes.  :'(

k3dAR

  • *****
  • 2 834
  • porad nemam telo, ale uz mam hlavu... nobody
    • Zobrazit profil
    • E-mail
Re: Kompletně šifrovaný disk se systémem i daty (Debian)
« Odpověď #8 kdy: 30. 12. 2018, 16:07:00 »
divne, na realhw sem to nezkpusel, jakej mas virrual? jestli kvm(virt-manager), muzu poslat svuj "profil"...

pro zajimavost, zkus ten luksuntu script, stahnu xubuntu1804, pust vyzkouset a jen v terminalu:
sudo bash luksuntu.sh
(resp. na zacatku skriptu je nastaveni, kde kdyztak zmen velikoati dle vortualniho disku)

buk

Re: Kompletně šifrovaný disk se systémem i daty (Debian)
« Odpověď #9 kdy: 30. 12. 2018, 18:26:51 »
Ahoj,
tiez som to skusal na Dell Latitude aj vo virtuale (Debian stable, netinstall, UEFI).
a) som si nevsimol
b) tiez ma prekvapili LVM warningy
c) mne to normalne vypise vyzvu na zadanie hesla

Avsak to odomknutie po zadani hesla trva velmi dlho - cca 10 sekund, rovnako vo virtuale...
To sa vam zda OK?

Re: Kompletně šifrovaný disk se systémem i daty (Debian)
« Odpověď #10 kdy: 30. 12. 2018, 19:03:02 »
Zkoušeli jsme to s Ondřejem několikrát ve virtuálu a na reálném hardware to tak oba denně používáme. Jak tu někdo opět ověřil, postup funguje.

Doba připojení je závislá na počtu iterací kryptografické funkce, které se dají nastavit při přidávání klíče příkazem cryptsetup a jeho parametrem --iter-time. Vyšší náročnost sice prodlužuje čas odemčení, ale také komplikuje práci útočníkovi, kterému jeden pokus zabere stejnou dobu. Deset sekund je podle mého velmi rozumný čas, který v praxi nevadí a zvyšuje výrazně bezpečnost. Nastavit se to ale dá libovolně.

silvestr

Re: Kompletně šifrovaný disk se systémem i daty (Debian)
« Odpověď #11 kdy: 31. 12. 2018, 11:37:51 »
Borci, ten BFrantaU se tam zmínil o Ubuntu, chová se mu to údajně stejně jako Debian který zkouší a nefunguje mu to. To zavádí k myšlence, nezkouší náhodou Debian Buster (testing)? Návod je psanej pro stable (Stretch) kde funguje. Vyzkoušejte mu to s Busterem, třeba je kámen úrazu tam  8)  8)  8)

buk

Re: Kompletně šifrovaný disk se systémem i daty (Debian)
« Odpověď #12 kdy: 31. 12. 2018, 14:32:08 »
@PK: Vďaka za vysvetlenie.
Dlhý čas odomknutia ma prekvapil preto, že som predtým použival šifrovaný disk ale bez šifrovaného /boot. Takže až v initrd sa dešifroval zvyšok disku a tam to po zadaní hesla okamžite pokračovalo (default nastavenie šifrovania z Debian stable installeru). Tu som zadal heslo a nič sa nedialo...