Názory k článku Jak vytvořit šifrovaný oddíl v Linuxu

To bude probráno v posledním dílu seriálu.

Jako jisty bonus lze brat, ze kdyz nekdo tuto cast odhali a rozlouskne klic (coz mu nejaky cas zabere), tak ten klic nemuze pouzit na lousknuti skutecnych dat a je mu k nicemu :)

Zdar, možná se to bude někomu hodit (třeba autorovy jako potvrzená toho co bude psát pro jinou distribuci :o) Zrovna předevčírem jsem dával do kupy jeden servřík, kde je RAID políčko ze 4 1TB disků a 2 systémových. Je to je pořadí příkazů, bez nějakých extra komentářů, či vysvětlení, platných obecně. Změny konfigurace potom pro ARCH linux (ale budou asi podobné všade). Popsaný je vytvoření systémových, bootu, instalace. Datové jsou identické, jen jednodušší. Neřeším otázku původních dat, disky byly nové (navíc nevím o tom, že bych měl poruchu osobnosti :) Pakliže tam někdo něco má, pak je vhodné udělat to co píše autor článku. Rozdělení LVM, přsun /var /tmp tu neřeším. Jen prostě čistou hrubou instalaci.

Cca 20 minutek, když jsou svižné disky a rozumná (čti neklikací,nelive) instalace.

Na 1 sys disk se normálně nainstaluje distribuce (nezdržovat partition, nacpat vše do sda1)

Bez záruky (o: Bůch ví, jestli si to pamatuju přesně.

rozdelit disk (vse typ FD)
* 1: 100M boot
2: 8G swap
3: 5G /
4: zbytek LVM (data)

#vytvorit pole (pokud by bylo víc disků, SWAP mít RAID0 nebo 1, BOOT 1 a zbytek 10)
mdadm --create /dev/md0 --level=1 --chunk=64 --raid-devices=2 /dev/sdb3 missing
mdadm --create /dev/md1 --level=1 --chunk=128 --raid-devices=2 /dev/sdb1 missing
mdadm --create /dev/md2 --level=1 --chunk=128 --raid-devices=2 /dev/sdb4 missing
mdadm --create /dev/md3 --level=1 --chunk=256 --raid-devices=2 /dev/sdb2 missing

md0: /
md1: boot
md2: LVM (data)
md3: swap

# kuk jestli funguje co to ma
cat /proc/mdstat

modprobe dm-crypt
modprobe aes-i586
modprobe sha256

# udelat samotne ctrypt odily
cryptsetup -c aes-lrw-benbi -y -s 384 luksFormat /dev/md0
cryptsetup -c aes-lrw-benbi -y -s 384 luksFormat /dev/md2
cryptsetup luksOpen /dev/md0 root
cryptsetup luksOpen /dev/md2 lvm

# pripojit pro instalaci a pripravit dirs
mkreiserfs /dev/md1
mkreiserfs /dev/mapper/root
mkdir /mnt2
mount /dev/mapper/root /mnt2
mkdir /mnt2/var
mkdir /mnt2/tmp
mkdir /mnt2/boot
mkdir /mnt2/dev
mkdir /mnt2/sys
mkdir /mnt2/proc
mount /dev/md1 /mnt2/boot/
chmod u-w /mnt2/proc

# install
cp -rp /bin/ /home/ /sbin/ /usr/ /boot/ /etc/ /lib/ /opt/ /root/ /srv/ /var/ /mnt2/

# zakladni nody pro po init
mknod -m 660 /mnt2/dev/console c 5 1
mknod -m 660 /mnt2/dev/null c 1 3
mknod -m 660 /mnt2/dev/zero c 1 5

# pripojit udev a spol (aby bezelo lilo a pod)
mount -t proc none /mnt2/proc
mount -t sysfs none /mnt2/sys
mount -o bind /dev /mnt2/dev

# zaznamenani RAIDu
mdadm -D --scan >> /mnt2/etc/mdadm.conf

# veskere dalsi upravy jsou v /mnt2, kde funguje chroot (lilo, mdadm, ...)

#uprava lilo.conf
boot=/dev/md0
raid-extra-boot=mbr-only
append="md=0,/dev/sdb3,/dev/sda3 cryptdevice=/dev/md0:root"
menu-scheme=wb:bw:wb:bw
...
root=/dev/md0

# pokud bude lilo prskat, ze neni sda3, dopsat "disk=/dev/sda3 inaccessible", pripadne misto /dev/sda3 pouzit missing. obe po pridani druheho disku zrusit

# upravit mkinitcpio.conf
HOOKS="base udev autodetect pata scsi sata usbinput keymap raid lvm2 encrypt filesystems"

# upravit rc.conf
USELVM="yes"
DAEMONS=(syslog-ng network sshd netfs crond mdadm


# update boot image
chroot /mnt2 mkinitcpio -g /boot/kernel26.img

# fstab
/dev/mapper/root / reiserfs defaults 0 1
/dev/md1 /boot reiserfs defaults 0 1
/dev/mapper/swap swap swap defaults 0 0

# crypttab
swap /dev/md3 SWAP -c aes-cbc-essiv:sha256 -h sha256 -s 256

# update lila
lilo -r /mnt2 -H

# reboot (bylo by košér nejrpve unmount všeho), bootnout z degrad. pole

# udelat RAID stastnym
mdadm --add /dev/md0 /dev/sda3
mdadm --add /dev/md1 /dev/sda1
mdadm --add /dev/md2 /dev/sda4
mdadm --add /dev/md3 /dev/sda2
# poladit mdadm.conf, vyhodit spare/failed, minimalne nastavit MAILADDR

# nez dobehne repllikace, dat si pivo (u tech TB disku je cas i na tocene)

# updatnout LILO, uz nebude prskat (mne prskalo dokud nedobehla replikace)
lilo

Reboot || EOF.

Může mi někdo říct, proč všici používají GRUB ? Ne že bych miloval lilo (hlavně před 10ti rokama to bylo něco ¨tragického), ale přiblbé značení (číslování) disků a konfigurace GRUBu mně osobně docela děsí. S GRUBem a RAIDama jsem měl dycinky problém, spousta řádků, spousta počítání (hlavně když je v poli třeba 8 disků). LILO to zchroupe jemnou úpravou :) Vím, že GRUB i kafe uvaří, ale za jakou cenu ?

Ray

Problém byl právě opraven: degradovaného :-D.

Pokud je RAID pole šifrované a nad ním vytváříte LVM, pak by měl váš postup zcela postačovat.

Řeší se to tak, že se pomocí CBC šifrují jednotlivé sektory, a to odděleně. Cituji:

Since CBC encryption is a recursive algorithm, the encryption of the n-th block requires the encryption of all preceding blocks, 0 till n-1. Thus, if we would run the whole hard disk encryption in CBC mode, one would have to re-encrypt the whole hard disk, if the first computation step changed, this is, when the first plain text block changed. Of course, this is an undesired property, therefore the CBC chaining is cut every sector and restarted with a new initialisation vector (IV), so we can encrypt sectors individually. The choice of the sector as smallest unit matches with the smallest unit of hard disks, where a sector is also atomic in terms of access.

Zdroj: Clemens Fruhwirth, Linux hard disk encryption settings

Dle mnou zmíněného zdroje, pokud ho správně chápu, proti podobným útokům by mohly poskytovat jistou formu ochrany šifrovací módy LRW a XTS. Ale v tomhle už vážně střílím od boku.