zfs + geli + dropbear

Jan Dušátko jan at dusatko.org
Mon Jan 9 11:24:24 CET 2012

Previous message: zfs + geli + dropbear
Next message: zfs + geli + dropbear
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On 01/09/12 09:21, Vilem Kebrt:
> Ahoj,
>> Ledaze si nerozumime v tom, co je "root".
>>
>> Odkud by ten Linux ten binar asi nacetl, kdyz by naprosto vsechny 
>> disky mel sifrovane a nemohl by k nim ?

> Tady te zarazim dane, /boot na linuxu se da staticky oddelit a tam se 
> vytvori init-ramfs na zaklade busyboxu a do nej se daji nahrat ty 
> staticke binarky...

No to je samozrejme v poradku - /boot je podadresar rootu. Takze bud' 
jsou k dispozici dva nesifrovane volume (/ a /boot) nebo jeden (pokud ten
svazek na kterem je /boot je primo rootovsky)

Porad tvrdim, ze nelze mit VSECHNY svazky sifrovane a koren musi byt ten
nesifrovany (a /boot je ten druhy, pokud je samostatny)

Zatim nejsme ve sporu.

> Linux vubec posledni dobou bootoje stylem .... loader -> /boot ->
kernel->initramfs(busybox apod)->init....

Instalace FreeBSD funguje na trochu podobnem principu.

A mohl bys zhruba timto zpusobem vyrobit i "produkcni" instalaci - embedded
(nebo kernel-loadable) obraz MFS, ktery bude slouzit jako rootovsky svazek -
ten pochopitelne musi byt nesifrovany - a dal uz si samozrejme muzes delat
cokoliv co chces.

Omezeny jsi velikosti pameti, protoze toho rootovskeho svazku se uz
nedokazes zbavit (nebo alespon netusim jak by to mohlo jit), takze on v te
pameti proste zabira misto trvale.

> Samozrejme ze ve vychozi instalaci i kdyz das sifrovat / tak se 
> sifruje jenom "userspace", tzn. /lib,/boot a nektere dalsi jsou bez
sifrovani...

To pak ale neni sifrovani celeho svazku. GELI (tusim, ze puvodni dotaz se
ptal na nej) sifruje celej svazek.

Nevim, jestli mame neco, co by umelo "centra;ne" a transparentne sifrovat
jednotlive soubory.

Dan
--

[ Obavam se, ze v takovem okamziku nezbyva nez disk s podporou AES a
podstatna zalezitost - na zacatku ho cely prepsat nahodnymi daty. Jinak
minimalne boot svazek musi obsahovat podporu pro sifrovani.
Geli sifruje cely device, bohuzel co jsem zkousel, bud ufs root a geli nebo
zfs. Doporucuji postup, ktery byl tusim pred tremi roky uveden na CCC, ted
ho nemohu najit. Poprve jsem to delal na FBSD 7.0.

Honza]

Previous message: zfs + geli + dropbear
Next message: zfs + geli + dropbear
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list