• Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    могу, умею, практикую вводить в заблуждение)
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    +1
    само собой, я же не оформлял это как баш-скрипт, который всё сам сделает, просто один читатель попросил проверить, работает ли оно на данный момент. Я тупо history в баше скопировал, добавил немножко комментов и всё
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    немножко автоматизации:
    timedatectl set-ntp true && timedatectl set-timezone Europe/Moscow && 
    parted -s /dev/sda mklabel gpt mkpart efi '0%' '512MB' mkpart crypt 513MB '100%' set 1 esp on set 1 boot on print && \
    mkfs.vfat /dev/sda1 && \
    cryptsetup -v luksFormat --type luks1 /dev/sda2 
    
    cryptsetup luksOpen /dev/sda2 container
    
    pvcreate /dev/mapper/container && \
    vgcreate rootvg /dev/mapper/container && \
    lvcreate -L6G -n root rootvg && \
    mkfs.ext4 -L root /dev/mapper/rootvg-root && \
    mount /dev/mapper/rootvg-root /mnt/ && \
    mkdir -p /mnt/{home,boot/efi} && \
    mount /dev/sda1 /mnt/boot/efi/ && \
    sed -i '/yandex/!d' /etc/pacman.d/mirrorlist && \
    pacstrap /mnt base base-devel grub dosfstools efibootmgr mtools
    
    genfstab -pU /mnt >> /mnt/etc/fstab && \
    cat /mnt/etc/fstab && \
    
    arch-chroot /mnt
    sed -i '/yandex/!d' /etc/pacman.d/mirrorlist && 
    hwclock --systohc && \
    echo luks-test > /etc/hostname && \
    passwd root
    
    sed -i 's/^HOOKS.*/HOOKS=(base udev autodetect modconf block keymap encrypt lvm2 resume filesystems keyboard fsck)/' /etc/mkinitcpio.conf && \
    grep HOOKS /etc/mkinitcpio.conf && \
    mkinitcpio -p linux 
    
    echo $(blkid -s UUID /dev/sda2 | awk -F 'UUID=*' '{print $2}' | sed 's/"//g' ) >> /etc/default/grub
    nano /etc/default/grub
    #GRUB_ENABLE_CRYPTODISK=y
    #GRUB_CMDLINE_LINUX=«cryptdevice=UUID=$UUID:container»
    
    cat /etc/default/grub | grep -E 'GRUB_ENABLE_CRYPTODISK|GRUB_CMDLINE_LINUX' && \
    grub-install /dev/sda && \
    grub-mkconfig -o /boot/grub/grub.cfg && \
    echo «container /dev/sda2 none» >> /etc/crypttab 
    
    exit
    
  • Переквалификация в DevOps – к чему себя готовить
    0
    Работаю в epam. Спасибо за статью, нервно и долго улыбался.
  • Примите участие в публичном тестировании сервиса Positive Technologies по поиску уязвимостей на сайтах
    0
    Вы меня пардоньте, но он не работает.
    Я добавляю сайт — система меня выкидыват на loginpage. Я об этом отписывался в отзывах, но ничего с тикетом не сделали :)
  • Продвинутое использование Гита или как выйти на пенсию на полгода раньше?
    0
    ну, я про это. Может не сильно корректно написано просто:

    Добавляем все изменения в индекс алиасом «git add all»:


    по умолчанию не прописан --color, в RHEL по крайней мере

    все эти gaa и прочее это, как уже выше заметили, верный способ выстрелить себе в ногу, да и не такая уж и значительная экономия времени, надо сказать.
  • Продвинутое использование Гита или как выйти на пенсию на полгода раньше?
    0
    невероятно полезный алиас
    git add all


    т.е. это в разы удобнее чем
    git add *

    ? Особого смысла не вижу

    полезнее был бы даже алиас
    git diff

    на
    git diff --color


    Да и вообще сам синтаксис git достаточно простой, чтобы не страдать никакими алиасами, ну, мне так кажется.
  • Как я написал и защитил диплом по DEVOPS и инженерным практикам в 1С с нуля
    +2
    свежо, но есть хабровская и общая аллергия на 2 буквы «1с».
    Хотя devops это методология, которая применима почти где угодно.
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    ну, здесь зачастую люди и делятся велосипедами. Вариант имеет место быть и ваш тоже, мне как-то привычнее и удобнее было сделать именно так.

    Велосипед с квадратными колёсами едет немного с бОльшим усилием, а тут по «усилиям» — производительности, ресурсам, скорости загрузки вообще ничего не изменится.
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    почитайте другие комменты. там написано почему.
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    хм, отличная идея, кстати
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    ну, у меня после такого теста просто нет сомнений, что это действительно так:

    1. Итак, представим, что мы такие всё зашифровали и у нас сейчас в /etc/default/grub GRUB_ENABLE_CRYPTODISK=n, далее мы делаем grub-install /dev/vda и вот, что происходит, ololo.efi генерится заново и т.д.
    Потом мы грузимся(пытаемся) и, так как grub не видит конфига он тупо входит в grub-rescue или как там оно называется.

    2. Сразу после этого, мы с live-cd заходим, открываем контейнер, бла-бла-бла, заходим в chroot и меняем GRUB_ENABLE_CRYPTODISK=y в /etc/default/grub, далее опять делаем grub-install /dev/vda, и тут получаем уже новый ololo.efi, который уже будет пытаться найти и запросить пароль для расшифровки luks.


    к тому же… чего ждать, если можно тупо почитать:
    www.gnu.org/software/grub/manual/grub/grub.html

    ‘GRUB_ENABLE_CRYPTODISK’
    If set to ‘y’, grub-mkconfig and grub-install will check for encrypted disks and generate additional commands needed to access them during boot. Note that in this case unattended boot is not possible because GRUB will wait for passphrase to unlock encrypted container.


    и я думаю, что нет способа «generate additional commands needed to access them during boot» без перекомпиляции этого бинарника.
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    ок, давайте разложим для понимания тогда.
    У нас есть 3 «инстанции», куда обращается GRUB, записывает и чем оперирует.

    1. «последовательность загрузки в nvram». По сути это некая область памяти на мат. плате, где написать «шо и куда и последовательно как»
    2. Начало диска — как обратная совместимость с обычной BIOS загрузкой (первые 4** байт, кто-то говорит 512, где-то написано, что до 2 мегабайт может занимать) — не суть
    3. /boot/efi — раздел fat32 EFI — туда кладётся исполняемый бинарник — приложение UEFI — совместимое.

    Моя догадка в том, что бинарник всё-таки меняется и, собственно он(исполняемый файл EFI, выполняясь, уже имеет инструкцию искать и предлагать расшифровать).
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    у меня так proxmox работает — весь storage зашифрован.
    Но вчера в голову пришла мысль, что избежать терморектального метода расшифровки поможет только электронное тело)
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    Лан, не вопрос, просто как-то слог сложноват для понимания.
    А если у меня кейс без шифрования? А если я указал в конфиге граба GRUB_ENABLE_CRYPTODISK=n как он об этом узнает без расшифровки контейнера?


    А вот тут вот самое забавное.
    1. Итак, представим, что мы такие всё зашифровали и у нас сейчас в /etc/default/grub GRUB_ENABLE_CRYPTODISK=n, далее мы делаем grub-install /dev/vda и вот, что происходит, ololo.efi генерится заново и т.д.
    Потом мы грузимся(пытаемся) и, так как grub не видит конфига он тупо входит в grub-rescue или как там оно называется.

    2. Сразу после этого, мы с live-cd заходим, открываем контейнер, бла-бла-бла, заходим в chroot и меняем GRUB_ENABLE_CRYPTODISK=y в /etc/default/grub, далее опять делаем grub-install /dev/vda, и тут получаем уже новый ololo.efi, который уже будет пытаться найти и запросить пароль для расшифровки luks.

    Как-то так. Попробуйте, оно так и есть

    Т.е. как я понимаю, этот файл *.efi уже немного другой.
    В efi вон люди даже тетрис запускают :)
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    что такое ССЗБ? В каком конфиге LUKS? Что значит «запрещать»?

    Тогда он будет игнорировать мой конфиг что-ли или не будет ничего выполнять

    Он это кто? LUKS? GRUB? Ваши вопросы меня… немного смущают. Странные они. Я лучше вместо полемики бесполезной просто расскажу, как оно, на мой взгляд, работает(как я понял)

    1. UEFI запускает grubx64.efi
    2. Это запущеное приложение ищет по HEAD устройство LUKS, спрашивает у вас пароль ( Grub 2.02~beta2-29 supports reading an encrypted /boot partition. option GRUB_ENABLE_CRYPTODISK=y to /etc/default/grub )
    3. Контейнер открывается для самого grub после успешного ввода пароля. Становится доступной содержимое /boot/* (у меня оно там же, где и /)
    4. С открытого контейнера с опциями, параметрами загружается ядро, initramfs.
    5. На этапе загрузки initramfs, а именно предварительно настроенного хука encrypt второй раз спрашивается пароль уже для системы. Контейнер заново открывается уже для самой системы и вы работаете в ней.

    PS. такое ощущение, что тупо троллите.
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    ну, если быть точным, бинарник будет искать все устройства, которые имеют определённый HEADER (TYPE=«crypto_LUKS») и далее спрашивать пароль на открытие этого контейнера.

    Вот у меня по статье зашифровано всё и открыт только один файл efi и всё(ну, естественно раздел тоже)

    А если в конфиге параметр отвечающий за шифрование запрещает расшифровку?

    а чёт как-то бессмысленно звучит. Зашифровывать раздел а потом указывать, что надо запрещать расшифровку, так-то оно да, целее будет, согласен.
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    а статья ведь не сильно новая, и ссылка на git, где отключен hibernate для secureboot может быть уже и не такой актуальной
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    Способ 1. Отключить верификацию модулей ядра
    Включённая верификация модулей ядра отключает гибернацию. По умолчанию верификация модулей ядра включается вместе с Secure Boot, однако она от Secure Boot не зависит. Её можно отключить, оставив только Secure Boot.


    Собственно, вижу способ, не вижу препятствий. Т.е. достаточно будет только подписать сам загрузчик, а модули ядра особо и незачем будет подписывать, потому как они лежат в криптоконтейнере и всё будет работать. Не?

    Если я хочу сохранить полный контроль за загрузкой и использую единственную точку входа в виде граба, который даже подписанный может быть скомпрометирован, потому что конфиг то лежит рядом незашифрованый.

    Конфиг какой? /boot/grub/grub.cfg лежит уже внутри криптоконтейнера.

    Ну не засунуть в мой криптоконтейнер закладку, значит засунут в граб скрапер и я не замечу.

    Ну тут я только один метод могу представить — кто-то нашёл уязвимость в самом luks, secure boot и т.д., что достаточно сложно и надо таком человеку руку пожать просто
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    я вот видел пару раз шифрование подкачки. Расскажите мне зачем и почему? т.е. я видел, что бывает так, что система не зашифрована, а swap — зашифрован.

    Насколько я помню swap очищается при корректном выключении/перезагрузке системы. Стало быть только стоп виртуалки или выключение по питанию может сохранить данные в swap (т.е. по сути продолжение обычной памяти). Но, так как свопится зачастую всякое, скажем не такое уж и важное, то какова суть шифровать swap без шифрования рута?

    PS, ещё помню, что XSPider на вёнды 2000,2003 показывал уязвимость «Неочищаемый раздел подкачки» и советовал в реестре это исправить. Кто знает как это вообще можно использовать для компроментирования удалённой системы?
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    красивейший трюк меня просили сделать на прошлой работе. Суть — найти секурный VPS, где потом настроить luks таким же образом, что и описано в системе, но зашить в initramfs мини-образ системы с сетью и ssh-демоном, что использовать ssh для того, чтобы после перезагрузки системы открыть контейнер и загрузить саму систему.

    Не хватило времени и желания… пришлось уволиться)
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    ниииииит! grubx64.efi это бинарный файл, efi-приложение, которое тупо запускается, а дальше уже работает… как приложение собсно.

    А вот, к примеру, efibootmgr, он чуть более крут, он ( мой любимый приём — поправьте, если не так ) efi-приложением не является, а напрямую взаимодействует с efi, позволяя поменять порядок загрузки, создать порядок и беспорядок)
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    т.е. чтобы только часть /boot была незашифрована как у вас, а не весь с ядрами)

    у меня как раз /boot зашифрован. Разве нет? — доступен только /dev/sda1 fat32, на котором grub-файл и всё, дальше только по парольной фразе
  • Установка Archlinux c полным шифрованием системы и LVM на LUKS
    0
    PS: для повышения уровня шизофрении здесь не хватает только secure boot, чтобы подписать наш загрузчик grubx64.efi.

    Просто положить ядро и initramfs на /dev/vda1 я счёл безыинтересным, так как 100 раз так уже делал. Другие загрузчики типа SHIM, bootctl и прочее не умеют вытворять подобного(ну и ли я не в курсе — расскажите в комментах )


    к тому же, если не использовать grub, а, к примеру, просто положить ядро придётся положить на открытое место и initramfs(поправьте меня, если я ошибаюсь). И как в этом варианте использовать secure boot? Ну или какой от неё будет толк, если фс открыта и будет можно подменить и ядро и initramfs?
    Я примерно понял, как использовать secureboot, по сути эти подписание загрузчика (efi-исполняемого файла) в pki UIFI. Может коряво, но вроде поянил норм.

    В моём варианте есть файл grubx64.efi, который мы «подпишем» и вряд ли он изменится(ну или не так часто), а вот если обновится ядро, то как-то заново надо будет secureboot настраивать или?

    — До конца не разобрался как secureboot работает, возможно позже добавлю его в статью, когда настрою на ноуте. Но как мне видится, есть только один файл, который является загрузчиком и только его можно подменить, но его же можно и верифицировать через secureboot чтобы избежать подмены.

    Поправьте меня, если что не так
  • Опыт внедрения криптошлюзов ViPNet в ЕРИС
    0
    не критикую статью, вас. Всё вполне здраво. В фактах не сомневаюсь.
    Просто говорю, что в регионах(на момент года 2013-14) было именно так, что эти стойки тупо стояли без дела. Линк какой-то держали, но не использовались по факту.
  • Опыт внедрения криптошлюзов ViPNet в ЕРИС
    0
    Насколько я помню, (сталкивался с этим в ЛПУ), все эти ЗТКИ стоят, типа работают, никто за ними не смотрят и самое главное… никакой траффик через них не ходит.
    Стоят они для видимости, деньги «уплочены» и всё отлично.
  • OpenStack: вся правда о «королевском» релизе
    0
    вручную вообще не рекомендуется, но если вы имеете ввиду почти вручную — packstack, да, это простенько, понятненько и круто. Знаем-плавали.

    Просто сама эта концепция TripleO, Director невероятно умная, красивая(мне даже нравится). Но вот приехал я такой на экзамен RH, начал ставить 8 версию, а она такая хоп и не ставится. Тупо в процессе overcloud deploy на втором часу деплоя — ошибка. И все гайды по troubleshooting просто бесполезны. Вернуть состояние можно, вроде всё ок, но вот реально, почему билд происходит с непонятными сообщениями puppet? К чему вот такая автоматизация установки, которая тебе говорит всё время «Unknown Error» даже в процессе удачного деплоя?

    Ansible вроде уже есть, но были костыляки вроде того, что Ansible вызывал Puppet и делал часть работы — это как вообще так и зачем?
  • OpenStack: вся правда о «королевском» релизе
    +1
    Openstack прекрасен в своём странном поведении, особенно на этапе установки(скажу на RH Openstack 8 ).
    Overcloud deploy выглядит как pyppet Unknown Error практически всегда и это нормально. Отлаживать проблемы устнановки просто нереально, как вообще этим можно нормально рулить, если всё настолько никак в Openstack?
  • HOWTO setup ubuntu 18.04 sendmail+DKIM+SPF+DMARC или о том как мне удалось пробиться в бастион Gmail
    0
    даже mail.ru ещё в 16 году об этом писал

    corp.mail.ru/ru/press/releases/9593
    и вполне себе нормальные инструкции уже 100 раз тут были.
    Единственное, что стоит добавить — публичный ключ 2048 DKIM не всегда влезает в поле, если вы хостите DNS у недопровайдеров.
  • Роскомнадзор: блокировка Telegram затронула 400 ресурсов
    +2
    хз, но я думаю большинство предпренимателей не рискуют подать на них иск, потому как у них резко могут что-то найти или что-то отрубить. Судя по тому как пролоббировали тему блокировок будут тупо отказы на такие иски на основе прецедентов.
  • Этот день мы приближали, как могли — блокнот в Windows 10 стал понимать юниксовый перевод строки
    0
    :)
    Я может наивный, но вот просто мне близка такая идеология — если что-то уже написано(какой-то код) нормально, то незачем опять придумывать как сделать тоже самое, но по-своему.
    Могли бы уже вместо траты сил своих разработчиков(а я думаю нехилые траты), просто объединиться с готовым проектом(notepad++, sublime), инвестировать, разрабатывать свою версию и заменить стандартный блокнот. Да, будут компоненты opensource, а может и не будет(сделать платную версию, а бесплатную как тестинг для платного как Fedora-Centos для RedHat)
  • Этот день мы приближали, как могли — блокнот в Windows 10 стал понимать юниксовый перевод строки
    +5
    нахер вообще этот магазин, который нормально не отключается? Почему он не работае через тот же WSUS, к примеру? Почему всё так через жопу? Они хотят прийти к концепции репозиториев Linux(публично доступных, зеркалируемых, с подписанными для верификации пакетами), но делают это так стрёмно и убого, что даже страшно иногда.
  • Этот день мы приближали, как могли — блокнот в Windows 10 стал понимать юниксовый перевод строки
    –12
    в notepad++ это ещё со старта всё работало, я вот к чему. Но каждому же надо свои костыляки
  • Роскомнадзор: блокировка Telegram затронула 400 ресурсов
    +14
    ахеренная контора, за налоги людей они делают неадекватную и абсолютно неквалифицированную работу, а потом проигранные дела в суде оплачивают теми же налогами.
  • Этот день мы приближали, как могли — блокнот в Windows 10 стал понимать юниксовый перевод строки
    –6
    новость отражает всю суть microsoft: полезные фичи идут в последнюю очередь, а всякие магазины и прочее — в первую.
    Я думаю, что лет через 15 можно будет ожидать подсветку синтаксиса в блокноте…
  • Сборка rpm пакетов и настройка своего репозитория
    +1
    Чем делать rich-rule, проще было добавить новую зону, добавить туда сеть и сервис ssh
  • Security Week 15: колонки-шпионы и взлом гостиничных ключей
    0
    Microtik?
  • Кто сканирует Интернет и существует ли Австралия
    0
    я уже когда-то задавал вопросы по этому поводу и отчасти нашёл ответы.
    toster.ru/q/325039

    самым эффективным оказалось ограничение доступа по региону, для меня оно было возможным.
  • Как Red Hat убила свой главный продукт и стала многомиллиардной корпорацией
    0
    у вас где-то можно высказать предложения по поводу обучения? Есть предложения, граничащие с претензиями. В servicenow вам писал, но как-то всё ни о чём вообще.
  • Как Red Hat убила свой главный продукт и стала многомиллиардной корпорацией
    0
    у Gentoo тоже написано, что она портирована и работает на ppc, ppc64
    и handbook есть:
    wiki.gentoo.org/wiki/Handbook:PPC/ru
    но в списке официально поддерживаемых дистрибутивов её… нет