zfs + geli + dropbear

[Dan Lukes]

On 01/09/12 09:21, Vilem Kebrt:
> Ahoj,
>> Ledaze si nerozumime v tom, co je "root".
>>
>> Odkud by ten Linux ten binar asi nacetl, kdyz by naprosto vsechny
>> disky mel sifrovane a nemohl by k nim ?

> Tady te zarazim dane, /boot na linuxu se da staticky oddelit a tam se
> vytvori init-ramfs na zaklade busyboxu a do nej se daji nahrat ty
> staticke binarky...

No to je samozrejme v poradku - /boot je podadresar rootu. Takze bud' 
jsou k dispozici dva nesifrovane volume (/ a /boot) nebo jeden (pokud 
ten svazek na kterem je /boot je primo rootovsky)

Porad tvrdim, ze nelze mit VSECHNY svazky sifrovane a koren musi byt ten 
nesifrovany (a /boot je ten druhy, pokud je samostatny)

Zatim nejsme ve sporu.

> Linux vubec posledni dobou bootoje stylem .... loader -> /boot -> kernel->initramfs(busybox apod)->init....

Instalace FreeBSD funguje na trochu podobnem principu.

A mohl bys zhruba timto zpusobem vyrobit i "produkcni" instalaci - 
embedded (nebo kernel-loadable) obraz MFS, ktery bude slouzit jako 
rootovsky svazek - ten pochopitelne musi byt nesifrovany - a dal uz si 
samozrejme muzes delat cokoliv co chces.

Omezeny jsi velikosti pameti, protoze toho rootovskeho svazku se uz 
nedokazes zbavit (nebo alespon netusim jak by to mohlo jit), takze on v 
te pameti proste zabira misto trvale.

> Samozrejme ze ve vychozi instalaci i kdyz das sifrovat / tak se sifruje
> jenom "userspace", tzn. /lib,/boot a nektere dalsi jsou bez sifrovani...

To pak ale neni sifrovani celeho svazku. GELI (tusim, ze puvodni dotaz 
se ptal na nej) sifruje celej svazek.

Nevim, jestli mame neco, co by umelo "centra;ne" a transparentne 
sifrovat jednotlive soubory.

Dan