Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2020-11-06 12:24:18

  Baca05 - Użytkownik

Baca05
Użytkownik
Zarejestrowany: 2020-08-07

Szyfrowanie calego dysku SSD LUKS2

Witam!

Debian Buster domyslnie uzywa LUKS2 ale trzeba pozostawic niezaszyfrowana partycje boot
poniewaz nie obsluzy jej GRUB 2.02 przy Legacy MBR BIOS tak?
Jak ktos chce zaszyfrowac rozniez partycje boot to nastepna partycja musi byc w tym przypadku juz w LUKS1 dobrze to rozumiem?
Mam zainstalowac Debiana na jedenej partycji zaszyfrowanej LUKS2 i pozostawic nieszyfrowana mala partycje boot by to zadzialalo ?
Nie chce tworzyc zadnego swap i nie musze tez tworzyc zadnych LVM?
Warto na proceszorze bez obslugi AES ?

Przepraszam jak cos namieszalem ,zdawalo mi sie to proste ale jak zaczalem przegladac rozne informacje na ten temat
to zaczelo  mi ie to juz mieszac.

Dziekuje.

Ostatnio edytowany przez Baca05 (2020-11-06 12:25:10)

Offline

 

#2  2020-11-06 13:22:54

  developer - Użytkownik

developer
Użytkownik
Zarejestrowany: 2014-03-20

Re: Szyfrowanie calego dysku SSD LUKS2

Partycji

Kod:

/boot

nie powinno się szyfrować.

Offline

 

#3  2020-11-06 14:21:25

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Szyfrowanie calego dysku SSD LUKS2

developer napisał(-a):

Partycji

Kod:

/boot

nie powinno się szyfrować.

Dlaczego nie powinno? Wręcz przeciwnie, powinno, choć niewiele mechanizmów oferuje taki ficzer.

Baca05 napisał(-a):

Debian Buster domyslnie uzywa LUKS2 ale trzeba pozostawic niezaszyfrowana partycje boot
poniewaz nie obsluzy jej GRUB 2.02 przy Legacy MBR BIOS tak?

Grub2 już wspiera LUKSv2 od prawie roku. Nie bawiłem się tym, także nie wiem jak w praktyce to wypada.

Baca05 napisał(-a):

Jak ktos chce zaszyfrowac rozniez partycje boot to nastepna partycja musi byc w tym przypadku juz w LUKS1 dobrze to rozumiem?

Nie, jak masz grub'a bez wsparcia dla LUKSv2 to wtedy jak masz osobny /boot/, to tam ma być LUKSv1. A jeśli masz /boot/ na partycji / , to ta partycja musi mieć LUKSv1.

Baca05 napisał(-a):

Mam zainstalowac Debiana na jedenej partycji zaszyfrowanej LUKS2 i pozostawic nieszyfrowana mala partycje boot by to zadzialalo ?

Ja tak mam, bo nie używam grub'a.

Baca05 napisał(-a):

Nie chce tworzyc zadnego swap i nie musze tez tworzyc zadnych LVM?

Nie musisz.

Baca05 napisał(-a):

Warto na proceszorze bez obslugi AES ?

Jasne, ja tak jechałem xx lat choć jak się przesiadłem na procek ze wsparciem dla AES, to różnica jest nie do porównania. xD

Offline

 

#4  2020-11-06 15:19:56

  Baca05 - Użytkownik

Baca05
Użytkownik
Zarejestrowany: 2020-08-07

Re: Szyfrowanie calego dysku SSD LUKS2

Wielkie Dzieki za wyjasnienia.

Cyt. "Nie, jak masz grub'a bez wsparcia dla LUKSv2 to wtedy jak masz osobny /boot/, to tam ma być LUKSv1. A jeśli masz /boot/ na partycji / , to ta partycja musi mieć LUKSv1."

Czyli co skoro GRUB 2.02 wspiera LUKSv2 to /boot i partycja/ obie w LUKSv2 i zadziala? czy nawet nie trzeba dodatkowej partycji /boot tylko wszystko na jednej LUKSv2. i pojedzie.

Dziekuje.

P.S skoro nie uzywasz gruba mam nadzieje ze wypowie sie jeszcze ktos kto uzywa i powie nam jak to jest.

Offline

 

#5  2020-11-06 15:47:20

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Szyfrowanie calego dysku SSD LUKS2

Baca05 napisał(-a):

Wielkie Dzieki za wyjasnienia.

Cyt. "Nie, jak masz grub'a bez wsparcia dla LUKSv2 to wtedy jak masz osobny /boot/, to tam ma być LUKSv1. A jeśli masz /boot/ na partycji / , to ta partycja musi mieć LUKSv1."

Czyli co skoro GRUB 2.02 wspiera LUKSv2 to /boot i partycja/ obie w LUKSv2 i zadziala? czy nawet nie trzeba dodatkowej partycji /boot tylko wszystko na jednej LUKSv2. i pojedzie.

Dziekuje.

P.S skoro nie uzywasz gruba mam nadzieje ze wypowie sie jeszcze ktos kto uzywa i powie nam jak to jest.

Grub w wersji-2 był wdrażany w Ubuntu jako wersja alfa, potem beta, wiele razy miał rożne dziwne błędy.
W trybie uruchamiania MBR radzę się zaprzyjaźnić z EXTlinuxem, na UEFI z Refindem.
Oba są stabilne i przewidywalne,

Jeśli natomiast ktoś kocha całym sercem SystemD, to SystemD ma już w brzuchu własny bootloader,
tylko źli i niewdzięczni twórcy dystrybucji  nie chcą go używać. xD

Ostatnio edytowany przez Jacekalex (2020-11-06 16:05:04)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2020-11-06 21:19:41

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Szyfrowanie calego dysku SSD LUKS2

Ja nie używam gruba, bo on komplikuje bardzo proces startu maszyny, już raz były kwiatki skutkujące wymianą certyfikatów EFI/UEFI. Także lepiej poczekać na jakieś lepsiejsze rozwiązanie.

Offline

 

#7  2020-11-07 00:00:23

  developer - Użytkownik

developer
Użytkownik
Zarejestrowany: 2014-03-20

Re: Szyfrowanie calego dysku SSD LUKS2

morfik napisał(-a):

developer napisał(-a):

Partycji

Kod:

/boot

nie powinno się szyfrować.

Dlaczego nie powinno? Wręcz przeciwnie, powinno, choć niewiele mechanizmów oferuje taki ficzer.

OK. No dobra: zaszyfrujesz sobie /boot; działa ok do momentu padu dysku. I co dalej?

No właśnie......

Nie podmienisz zaszyfrowanej /boot na inną za pomocą livecd inaczej niż ją formatując = odszyfrowując.

Także: dać się technicznie da, oczywiście; tylko że jest to ryzykowne.

Offline

 

#8  2020-11-07 01:49:29

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Szyfrowanie calego dysku SSD LUKS2

Od kiedy mobo startuje z partycji EFI, osobny boot nie ma już większego sensu, jajo można wsadzić i odpalić z partycji EFI z weryfikacją podpisu SecureBoot.

Jedyny poważny problem jest taki, że jajo nie sprawdza podpisu SecureBoot dla initramfs.
Ciekaw jestem, kiedy to poprawią.

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2020-11-07 07:17:54

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Szyfrowanie calego dysku SSD LUKS2

developer napisał(-a):

OK. No dobra: zaszyfrujesz sobie /boot; działa ok do momentu padu dysku. I co dalej?

A co ma być? Odszyfrowujesz i operujesz tak jak na normalnym nośniku. xD

Jacekalex napisał(-a):

Jedyny poważny problem jest taki, że jajo nie sprawdza podpisu SecureBoot dla initramfs.
Ciekaw jestem, kiedy to poprawią.

Pewnie nigdy. xD

Ostatnio edytowany przez morfik (2020-11-07 07:18:48)

Offline

 

#10  2020-11-07 09:54:54

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Szyfrowanie calego dysku SSD LUKS2

developer napisał(-a):

morfik napisał(-a):

developer napisał(-a):

Partycji

Kod:

/boot

nie powinno się szyfrować.

Dlaczego nie powinno? Wręcz przeciwnie, powinno, choć niewiele mechanizmów oferuje taki ficzer.

OK. No dobra: .

Jeśli nie jesteś ziemniakiem i masz kopie to w razie problemu deszyfrujesz dysk i jedziesz 

ALE

Jak padnie ci dysk to nie ważne czy masz szyfrowanie czy nie - niedziała ci dysk xD

A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#11  2020-11-07 22:49:15

  developer - Użytkownik

developer
Użytkownik
Zarejestrowany: 2014-03-20

Re: Szyfrowanie calego dysku SSD LUKS2

morfik napisał(-a):

developer napisał(-a):

OK. No dobra: zaszyfrujesz sobie /boot; działa ok do momentu padu dysku. I co dalej?

A co ma być? Odszyfrowujesz i operujesz tak jak na normalnym nośniku. xD

Ciekawe jak ( = jakim sterownikiem ) deszyfrujesz skoro jesteś w fazie testowania partycji

Kod:

/boot

czyli przed zamontowaniem tej partycji i co za tym idzie masz załądowane tylko niezbędne stery?

ak padnie ci dysk to nie ważne czy masz szyfrowanie czy nie - niedziała ci dysk xD

w systemach desktopowych -> masz rację. W serwerach natomiast masz iluśkrotny RAID, więc jest zgoła inaczej.

Ostatnio edytowany przez developer (2020-11-07 22:50:23)

Offline

 

#12  2020-11-07 23:21:35

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Szyfrowanie calego dysku SSD LUKS2

developer napisał(-a):

Ciekawe jak ( = jakim sterownikiem ) deszyfrujesz skoro jesteś w fazie testowania partycji

Kod:

/boot

czyli przed zamontowaniem tej partycji i co za tym idzie masz załądowane tylko niezbędne stery?.

O jakim teoretycznym przpadku teraz mówisz bo bardzo mocno teoretyzujesz

developer napisał(-a):

ak padnie ci dysk to nie ważne czy masz szyfrowanie czy nie - niedziała ci dysk xD

w systemach desktopowych -> masz rację. W serwerach natomiast masz iluśkrotny RAID, więc jest zgoła inaczej.

Po to jest raid abyś nie musiał się interesowac poszczególnymi dyskami?

A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#13  2020-11-08 00:51:16

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Szyfrowanie calego dysku SSD LUKS2

developer napisał(-a):

Ciekawe jak ( = jakim sterownikiem ) deszyfrujesz skoro jesteś w fazie testowania partycji

Kod:

/boot

W fazie czego jestem? Jak ci system wykrywa nośnik, to masz dostępne urządzenia sda1, sda2, itp. Nie ma żadnego znaczenia jak dane przechowywane są na tych partycjach, bo system bez problemu ci dobierze odpowiedni sterownik i tyle — tak samo jak to robi podczas rozruchu systemu — na live po prostu sobie wpisujesz parę dodatkowych poleceń.

developer napisał(-a):

czyli przed zamontowaniem tej partycji i co za tym idzie masz załądowane tylko niezbędne stery?

No i do tych niezbędnych się zalicza moduł szyfrowania.

Co do samego raid, to też bez znaczenia - albo szyfrujesz wszystkie dyski niezależnie i na nich tworzysz macierz albo tworzysz pierw macierz i dopiero szyfrujesz całość jednym kluczem.

Ostatnio edytowany przez morfik (2020-11-08 00:52:05)

Offline

 

#14  2020-11-08 13:08:26

  Baca05 - Użytkownik

Baca05
Użytkownik
Zarejestrowany: 2020-08-07

Re: Szyfrowanie calego dysku SSD LUKS2

Co to tylko ja uzywam tego GRUB-asa ? :-) Ma ktos jedna partycje LUKSv2 z Grub 2.02 i mu to dziala? ja  testowalem tylko na pendrive system sie instalowal na szyfrowanej LUKSv2 az do monentu kiedy przyszla kolej na Grub i wolalo o oddzielna partycje /boot poniewaz sie grub nie chcial zainstalowac na zadnej szyfrowanej ale na oddzielnej /boot nieszyfrowanej tez nie chcial sie instalowac.Sprawdzalem uzywajac graficznego instalatora debiana ale to wszystko na pendrive moze dlatego nie wychodzilo.Pewnie trzeba by bylo to zrobic  w terminalu.

Ostatnio edytowany przez Baca05 (2020-11-08 17:24:22)

Offline

 

#15  2020-11-11 18:54:04

  Baca05 - Użytkownik

Baca05
Użytkownik
Zarejestrowany: 2020-08-07

Re: Szyfrowanie calego dysku SSD LUKS2

Wiec tak.. Szanowni Panowie.

Proste pytanie:

Sprawdzalem na starym HDD nieszyfrowana part. ext4 /boot i system zainstalowany na szyfrowanej part. ext4 / LUKS2 dziala. Czy mozna w przyszlosci (po lepszym ogarnieciu zagadnienia) zaszyfrowac ten /boot nie ruszajac juz zainstalowanego systemu? czy trzeba bedzie instalowac system od nowa?
Dziekuje.

P.S. No nic zainstaluje boot normalnie na niezaszyfrowanej.

Pozdrawiam.

Ostatnio edytowany przez Baca05 (2020-11-12 14:56:24)

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)