zfs + geli + dropbear

Honza Klokanek Sipek klokanek at eldar.cz
Mon Jan 9 14:14:07 CET 2012


ze /boot musi zustat nesifrovany, je jasne. 
ale maximum ostatniho (urcite /var, /usr, nejlepe i /sbin a /bin) bych mel
rad sifrovane (geli a na nem zfs).
otazka je, jak to udelat, aby se mi v _co nejrannejsi_ fazi bootu pustil
ssh daemon, treba staticky slinkovany dropbear, spolu treba s busyboxem, 
ktery by mi umoznil pripojit se a dat kernelu heslo k pripojeni zbytku. 

Mon, Jan 09, 2012 at 11:24:24AM +0100, Jan Dušátko pise:
> On 01/09/12 09:21, Vilem Kebrt:
> > Ahoj,
> >> Ledaze si nerozumime v tom, co je "root".
> >>
> >> Odkud by ten Linux ten binar asi nacetl, kdyz by naprosto vsechny 
> >> disky mel sifrovane a nemohl by k nim ?
> 
> > Tady te zarazim dane, /boot na linuxu se da staticky oddelit a tam se 
> > vytvori init-ramfs na zaklade busyboxu a do nej se daji nahrat ty 
> > staticke binarky...
> 
> No to je samozrejme v poradku - /boot je podadresar rootu. Takze bud' 
> jsou k dispozici dva nesifrovane volume (/ a /boot) nebo jeden (pokud ten
> svazek na kterem je /boot je primo rootovsky)
> 
> Porad tvrdim, ze nelze mit VSECHNY svazky sifrovane a koren musi byt ten
> nesifrovany (a /boot je ten druhy, pokud je samostatny)
> 
> Zatim nejsme ve sporu.
> 
> > Linux vubec posledni dobou bootoje stylem .... loader -> /boot ->
> kernel->initramfs(busybox apod)->init....
> 
> Instalace FreeBSD funguje na trochu podobnem principu.
> 
> A mohl bys zhruba timto zpusobem vyrobit i "produkcni" instalaci - embedded
> (nebo kernel-loadable) obraz MFS, ktery bude slouzit jako rootovsky svazek -
> ten pochopitelne musi byt nesifrovany - a dal uz si samozrejme muzes delat
> cokoliv co chces.
> 
> Omezeny jsi velikosti pameti, protoze toho rootovskeho svazku se uz
> nedokazes zbavit (nebo alespon netusim jak by to mohlo jit), takze on v te
> pameti proste zabira misto trvale.
> 
> > Samozrejme ze ve vychozi instalaci i kdyz das sifrovat / tak se 
> > sifruje jenom "userspace", tzn. /lib,/boot a nektere dalsi jsou bez
> sifrovani...
> 
> To pak ale neni sifrovani celeho svazku. GELI (tusim, ze puvodni dotaz se
> ptal na nej) sifruje celej svazek.
> 
> Nevim, jestli mame neco, co by umelo "centra;ne" a transparentne sifrovat
> jednotlive soubory.
> 
> Dan
> --
> 
> [ Obavam se, ze v takovem okamziku nezbyva nez disk s podporou AES a
> podstatna zalezitost - na zacatku ho cely prepsat nahodnymi daty. Jinak
> minimalne boot svazek musi obsahovat podporu pro sifrovani.
> Geli sifruje cely device, bohuzel co jsem zkousel, bud ufs root a geli nebo
> zfs. Doporucuji postup, ktery byl tusim pred tremi roky uveden na CCC, ted
> ho nemohu najit. Poprve jsem to delal na FBSD 7.0.
> 
> Honza]
> 
> -- 
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l

-- 
<(o)>..klokanek...............................................................  
     (honza sipek) * klokanek (zavinac) eldar.cz * ICQ#281 154 266
        skype: brouci.tykadylko  jabber: klokanek (zavinac) jabber.cz
                 	tel.: +420 776 817 817 
..................................... . ..        ..   . .  
Hackeri: kouzlo modre obrazovky ------> http://eldar.cz/kangaroo/clanecky/hackeri/




More information about the Users-l mailing list