zfs + geli + dropbear
Honza Klokanek Sipek
klokanek at eldar.cz
Mon Jan 9 14:14:07 CET 2012
ze /boot musi zustat nesifrovany, je jasne.
ale maximum ostatniho (urcite /var, /usr, nejlepe i /sbin a /bin) bych mel
rad sifrovane (geli a na nem zfs).
otazka je, jak to udelat, aby se mi v _co nejrannejsi_ fazi bootu pustil
ssh daemon, treba staticky slinkovany dropbear, spolu treba s busyboxem,
ktery by mi umoznil pripojit se a dat kernelu heslo k pripojeni zbytku.
Mon, Jan 09, 2012 at 11:24:24AM +0100, Jan Dušátko pise:
> On 01/09/12 09:21, Vilem Kebrt:
> > Ahoj,
> >> Ledaze si nerozumime v tom, co je "root".
> >>
> >> Odkud by ten Linux ten binar asi nacetl, kdyz by naprosto vsechny
> >> disky mel sifrovane a nemohl by k nim ?
>
> > Tady te zarazim dane, /boot na linuxu se da staticky oddelit a tam se
> > vytvori init-ramfs na zaklade busyboxu a do nej se daji nahrat ty
> > staticke binarky...
>
> No to je samozrejme v poradku - /boot je podadresar rootu. Takze bud'
> jsou k dispozici dva nesifrovane volume (/ a /boot) nebo jeden (pokud ten
> svazek na kterem je /boot je primo rootovsky)
>
> Porad tvrdim, ze nelze mit VSECHNY svazky sifrovane a koren musi byt ten
> nesifrovany (a /boot je ten druhy, pokud je samostatny)
>
> Zatim nejsme ve sporu.
>
> > Linux vubec posledni dobou bootoje stylem .... loader -> /boot ->
> kernel->initramfs(busybox apod)->init....
>
> Instalace FreeBSD funguje na trochu podobnem principu.
>
> A mohl bys zhruba timto zpusobem vyrobit i "produkcni" instalaci - embedded
> (nebo kernel-loadable) obraz MFS, ktery bude slouzit jako rootovsky svazek -
> ten pochopitelne musi byt nesifrovany - a dal uz si samozrejme muzes delat
> cokoliv co chces.
>
> Omezeny jsi velikosti pameti, protoze toho rootovskeho svazku se uz
> nedokazes zbavit (nebo alespon netusim jak by to mohlo jit), takze on v te
> pameti proste zabira misto trvale.
>
> > Samozrejme ze ve vychozi instalaci i kdyz das sifrovat / tak se
> > sifruje jenom "userspace", tzn. /lib,/boot a nektere dalsi jsou bez
> sifrovani...
>
> To pak ale neni sifrovani celeho svazku. GELI (tusim, ze puvodni dotaz se
> ptal na nej) sifruje celej svazek.
>
> Nevim, jestli mame neco, co by umelo "centra;ne" a transparentne sifrovat
> jednotlive soubory.
>
> Dan
> --
>
> [ Obavam se, ze v takovem okamziku nezbyva nez disk s podporou AES a
> podstatna zalezitost - na zacatku ho cely prepsat nahodnymi daty. Jinak
> minimalne boot svazek musi obsahovat podporu pro sifrovani.
> Geli sifruje cely device, bohuzel co jsem zkousel, bud ufs root a geli nebo
> zfs. Doporucuji postup, ktery byl tusim pred tremi roky uveden na CCC, ted
> ho nemohu najit. Poprve jsem to delal na FBSD 7.0.
>
> Honza]
>
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
--
<(o)>..klokanek...............................................................
(honza sipek) * klokanek (zavinac) eldar.cz * ICQ#281 154 266
skype: brouci.tykadylko jabber: klokanek (zavinac) jabber.cz
tel.: +420 776 817 817
..................................... . .. .. . .
Hackeri: kouzlo modre obrazovky ------> http://eldar.cz/kangaroo/clanecky/hackeri/
More information about the Users-l
mailing list