Root Remount (reroot) ze ZFS na jine ZFS

Marián Černý majo-users-l at cerny.sk
Wed May 29 20:38:58 CEST 2019


On 29 May 2019, at 13:54, Dan Lukes  wrote:
>> Nevite, jak lze zabezpecit, aby se to kompletne odmontovalo?
> 
> Proste je pred volanim reboot -r odmountovat explicitne ?

Ale jak? Rucne zavolat force unmount? To mi neprijde ciste. Nejake aplikace muzou mit otevrene soubory napriklad ve /var/run, pripadne syslogd v /var/log. Muzu ukoncit vetsinu aplikaci. Ale radsi bych byl kdyby se o to postaral system.

Nebo je mozne vytvorit nejaky shutdown script, ktery se zavola ve vhodne chvili pri tom reboot -r? Ja se moc do toho, jak to funguje pri vypinani, nevyznam.

>> Mam nesifrovany ZFS pool (base), do ktereho nabootuju, tam pripojim sifrovany ZFS pool (private) a pak do nej rerootuju.
> 
> Jen ze zvedavosti - takze to mas tak, ze pocitac nastartuje jen pokud je pritomna obsluha, ktera zada heslo ?
> 
> Ja delal neco podobneho, ale nemaje o existenci reroot zadne poneti, tak to mam tak, ze pocitac bootuje z flash (ktera sama je zabezpecena a nejprve je nutne ji odemknout zadanim kodu na HW klavesnici, ktera je primo na flashce), v ramci toho bootu se (z flash) nacte klic pro GELI, obsluha navic muzu zadat i heslo - a pak system dobootuje a rovnou mountne uz odemceny svaazek na disku. Ted, kdyz jsme se dozvedel o reroot, tak mi ale stejne nevychazi, ze to ma smysl predelavat. Klic stejne musi odnekud prijit, na nesifrovanem svazku lezet nemuze, takze bez flash se stejne neobejdu - no a to uz pak nepotrebuju ten reroot.

Ja jsem mel neco podobneho na FreeBSD 10.
Nezabezpecena flash, ze ktere se bootuje a na ktere je klic pro GELI. Pri bootu se pak jeste zadavalo heslo. V /boot/loader.conf jsem mel:

zfs_load="YES"
aesni_load="YES"
geom_eli_load="YES"
vfs.root.mountfrom="zfs:private/ROOT/default"

geli_ada0p4_keyfile0_load="YES"
geli_ada0p4_keyfile0_type="ada0p4:geli_keyfile0"
geli_ada0p4_keyfile0_name="/boot/keys/private.key"

Takze obsluha musela mit flash a znat heslo. Fungovalo to OK, ale byl problem s bootem z flash - neslo nastavit v BIOSu, muselo se pres F11. A pak s USB klavesnici. Kdyz system chtel heslo, tak klavesnica jeste nebyla ready a muselo se to heslo zadavat na x krat. A bylo tam omezeni, ze byla potreba obsluha na miste.

Ted jsem to upravil, ze se bootuje z ciste nezabezpecene instalace jenom s nastaveným SSH. Pres SSH sa nahraje klic pro GELI do memory filesystemu, odemkne s heslem a rerootuje. Je to min bezpecne, ale je to mozne udelat vzdalene. Nekdo s fyzickym pristupem a znalostmi by mohl upravit tu nezabezpecenou cast a pri vzdalenem odemykani odchytit klic a heslo - nebo upravit kernel. To ale povazuji v mem pripade za malo pravdepodobne. Navic to mam vice-mene na hrani. Slo by bootovat vzdy z flash disku a mit ten remote boot jenom jako fail safe.

BTW ta zabezpecena flash s HW klavesnici je fajn vec.

> Ale je pravda, ze ja pro rootovske svazku zasadne nepouzivam ZFS.

Me se libi ZFS Boot Environments. Ne ze bych to nekdy potreboval pouzit ;-).

Marian


More information about the Users-l mailing list