Forum Debian Users Gang

developer napisał(-a):

Partycji

Kod:

/boot

nie powinno się szyfrować.

Dlaczego nie powinno? Wręcz przeciwnie, powinno, choć niewiele mechanizmów oferuje taki ficzer.

Baca05 napisał(-a):

Debian Buster domyslnie uzywa LUKS2 ale trzeba pozostawic niezaszyfrowana partycje boot
poniewaz nie obsluzy jej GRUB 2.02 przy Legacy MBR BIOS tak?

Grub2 już wspiera LUKSv2 od prawie roku. Nie bawiłem się tym, także nie wiem jak w praktyce to wypada.

Baca05 napisał(-a):

Jak ktos chce zaszyfrowac rozniez partycje boot to nastepna partycja musi byc w tym przypadku juz w LUKS1 dobrze to rozumiem?

Nie, jak masz grub'a bez wsparcia dla LUKSv2 to wtedy jak masz osobny /boot/, to tam ma być LUKSv1. A jeśli masz /boot/ na partycji / , to ta partycja musi mieć LUKSv1.

Baca05 napisał(-a):

Mam zainstalowac Debiana na jedenej partycji zaszyfrowanej LUKS2 i pozostawic nieszyfrowana mala partycje boot by to zadzialalo ?

Ja tak mam, bo nie używam grub'a.

Baca05 napisał(-a):

Nie chce tworzyc zadnego swap i nie musze tez tworzyc zadnych LVM?

Nie musisz.

Baca05 napisał(-a):

Warto na proceszorze bez obslugi AES ?

Jasne, ja tak jechałem xx lat choć jak się przesiadłem na procek ze wsparciem dla AES, to różnica jest nie do porównania. xD

Baca05 napisał(-a):

Wielkie Dzieki za wyjasnienia.

Cyt. "Nie, jak masz grub'a bez wsparcia dla LUKSv2 to wtedy jak masz osobny /boot/, to tam ma być LUKSv1. A jeśli masz /boot/ na partycji / , to ta partycja musi mieć LUKSv1."

Czyli co skoro GRUB 2.02 wspiera LUKSv2 to /boot i partycja/ obie w LUKSv2 i zadziala? czy nawet nie trzeba dodatkowej partycji /boot tylko wszystko na jednej LUKSv2. i pojedzie.

Dziekuje.

P.S skoro nie uzywasz gruba mam nadzieje ze wypowie sie jeszcze ktos kto uzywa i powie nam jak to jest.

Grub w wersji-2 był wdrażany w Ubuntu jako wersja alfa, potem beta, wiele razy miał rożne dziwne błędy.
W trybie uruchamiania MBR radzę się zaprzyjaźnić z EXTlinuxem, na UEFI z Refindem.
Oba są stabilne i przewidywalne,

Jeśli natomiast ktoś kocha całym sercem SystemD, to SystemD ma już w brzuchu własny bootloader,
tylko źli i niewdzięczni twórcy dystrybucji  nie chcą go używać. xD

Ostatnio edytowany przez Jacekalex (2020-11-06 16:05:04)

morfik napisał(-a):

developer napisał(-a):

Partycji

Kod:

/boot

nie powinno się szyfrować.

Dlaczego nie powinno? Wręcz przeciwnie, powinno, choć niewiele mechanizmów oferuje taki ficzer.

OK. No dobra: zaszyfrujesz sobie /boot; działa ok do momentu padu dysku. I co dalej?

No właśnie......

Nie podmienisz zaszyfrowanej /boot na inną za pomocą livecd inaczej niż ją formatując = odszyfrowując.

Także: dać się technicznie da, oczywiście; tylko że jest to ryzykowne.

developer napisał(-a):

OK. No dobra: zaszyfrujesz sobie /boot; działa ok do momentu padu dysku. I co dalej?

A co ma być? Odszyfrowujesz i operujesz tak jak na normalnym nośniku. xD

Jacekalex napisał(-a):

Jedyny poważny problem jest taki, że jajo nie sprawdza podpisu SecureBoot dla initramfs.
Ciekaw jestem, kiedy to poprawią.

Pewnie nigdy. xD

Ostatnio edytowany przez morfik (2020-11-07 07:18:48)

morfik napisał(-a):

developer napisał(-a):

OK. No dobra: zaszyfrujesz sobie /boot; działa ok do momentu padu dysku. I co dalej?

A co ma być? Odszyfrowujesz i operujesz tak jak na normalnym nośniku. xD

Ciekawe jak ( = jakim sterownikiem ) deszyfrujesz skoro jesteś w fazie testowania partycji

/boot

czyli przed zamontowaniem tej partycji i co za tym idzie masz załądowane tylko niezbędne stery?

ak padnie ci dysk to nie ważne czy masz szyfrowanie czy nie - niedziała ci dysk xD

w systemach desktopowych -> masz rację. W serwerach natomiast masz iluśkrotny RAID, więc jest zgoła inaczej.

Ostatnio edytowany przez developer (2020-11-07 22:50:23)

developer napisał(-a):

Ciekawe jak ( = jakim sterownikiem ) deszyfrujesz skoro jesteś w fazie testowania partycji

Kod:

/boot

W fazie czego jestem? Jak ci system wykrywa nośnik, to masz dostępne urządzenia sda1, sda2, itp. Nie ma żadnego znaczenia jak dane przechowywane są na tych partycjach, bo system bez problemu ci dobierze odpowiedni sterownik i tyle — tak samo jak to robi podczas rozruchu systemu — na live po prostu sobie wpisujesz parę dodatkowych poleceń.

developer napisał(-a):

czyli przed zamontowaniem tej partycji i co za tym idzie masz załądowane tylko niezbędne stery?

No i do tych niezbędnych się zalicza moduł szyfrowania.

Co do samego raid, to też bez znaczenia - albo szyfrujesz wszystkie dyski niezależnie i na nich tworzysz macierz albo tworzysz pierw macierz i dopiero szyfrujesz całość jednym kluczem.

Ostatnio edytowany przez morfik (2020-11-08 00:52:05)

Wiec tak.. Szanowni Panowie.

Proste pytanie:

Sprawdzalem na starym HDD nieszyfrowana part. ext4 /boot i system zainstalowany na szyfrowanej part. ext4 / LUKS2 dziala. Czy mozna w przyszlosci (po lepszym ogarnieciu zagadnienia) zaszyfrowac ten /boot nie ruszajac juz zainstalowanego systemu? czy trzeba bedzie instalowac system od nowa?
Dziekuje.

P.S. No nic zainstaluje boot normalnie na niezaszyfrowanej.

Pozdrawiam.

Ostatnio edytowany przez Baca05 (2020-11-12 14:56:24)