Частный случай установки Ubuntu/Debian с полнодисковым шифрованием
Требуется решить конкретную задачу. Однако на этом сайте очень много инфы и не всегда, чаще всего, свести все воедино не хватает практических знаний.
1. Модель угрозы. Домашний комп может попасть в чужие руки. В таком случае, на дисках должно быть только бессигнатурное шифрование, чтобы противник не мог ни напрямую получить с дисков какую-либо информацию, ни доказать, что она там вообще есть. Все остальные угрозы опускаются.
2. Легенда. Затер диски рандомом, т.к. они мне не нужны и хочу отнести их в базар. Пользуюсь только live-CD.
3. Необходимое условие. Директории / и /home должны быть на разных физических дисках.
4. Грубый набросок решения.
- Бессигнатурно шифруем два физических диска – один для /, второй для /home.
- Поверх бессигнатурного шифрования создаем слой LUKS на обоих дисках.
- Boot выносим на флешку так, чтобы ее можно было после старта ОС вынуть.
Прошу любых замечаний/советов/мыслей по поводу бредовости и сложности реализации такой задачи в связи с полнодисковым шифрованием двух дисков и выносом boot на флешку. В первую очередь, интересует техническая сторона вопроса. Заранее благодарю.
Плюс к безопасности и минус к фичам. Иногда фичи очень нужны. Иногда ещё старый софт не поддерживает железо.
Блондинко-стайл?
Ирония-стайл.
Debian 8.0 Jessie has been released
Вот это новость! Неплохо.
Как обновиться c Debian-testing (jessie) до нового стейбла и продолжить следовать только стейблу? apt-get update, upgrade и dist-upgrade будет достаточно?
Последнее звучит более обнадёживающе, чем первое.
На debian.org есть инструкция на русском как обновляться.
комментариев: 1060 документов: 16 редакций: 32
По идее должно быть достаточно исправить везде в /etc/apt/* testing на stable. А если там было jessie, то вообще ничего не надо делать. А затем да, apt-get update, upgrade и dist-upgrade. Хотя, не уверен, что последний обязателен в данном случае.
Я в терминологии путаюсь. Проще так: есть sid (жутко нестабильный, он же unstable), jessie (просто нестабильный, он же testing) и stable (есть имена релизов).Вот я лох-то, только сейчас понял, что jessie — это не синоним для testing подобно sid'у, как я думал, а имя конкретного релиза 8.0. :) Да, было везде всегда написано jessie, при инсталле так прописалось автоматически, когда jessie был ещё testing'ом.комментариев: 271 документов: 0 редакций: 0
Задам вопрос здесь, раз тут о полнодисковом шифровании.
Обновил cryptsetup с 1.4 до 1.6. Перестала грузится система (debian). Диск зашифрован полностью.
Как исправить?
комментариев: 271 документов: 0 редакций: 0
Щадящего решения не нашел. Чувствую, что проблема для знающих не проблема.
Открыл раздел в другой системе без вопросов. Можно установить новую систему и перенести содержимое раздела, но это в крайнем случае и правда нет опыта переноса с зашифрованного раздела.
Нужно же будет править fstab и crypttab и врядли этим обойдется.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 271 документов: 0 редакций: 0
комментариев: 11558 документов: 1036 редакций: 4118
В сущности, Вам нужно сделать следующее:
Если помимо корневого раздела в зашифрованной системе есть другие (например, /var или /usr находятся на самостоятельных разделах), Вам придётся повторить пункты 3-4, смонтировав их внутрь корневого (например, в случае /usr — в /mnt/crypt/usr).
Затем выполните следующее:
С этого момента Вы залогинены в подключенную зашифрованную систему. Можете сделать даунгрейд cryptsetup и выйти (Ctrl+D), после чего выполните размонтирование в обратном порядке:
комментариев: 511 документов: 2 редакций: 70
Советуют для полного чрута делать ещё проброс /dev/pts и /sys [1], [2].
Удивляюсь, что такого могло произойти в самом cryptsetup, что система перестала грузиться, там же обратная совместимость довольно сильная. Спрашивающий уверен, что дело именно в версии cryptsetup, а не в чём-то ещё? Как он это определил? Система может не грузиться по множеству причин, и, честно говоря, обновление cryptsetup явно не ТОП типичных случаев.
комментариев: 271 документов: 0 редакций: 0
Здесь произошел затык.
$ umount: /dev: target is busy
use the device is found by lsof(8) or fuser(1).)
Сделал:
$ sudo lsof | grep $MNT/dev
lsof: WARNING: can't stat() fuse.vmware-vmblock file system /run/vmblock-fuse
lsof: WARNING: can't stat() fuse.gvfsd-fuse file system /run/user/1000/gvfs
systemd 1 root 0u CHR 1,3 0t0 1028 /dev/null
...
...
Получил бесконечный список процессов :((
Как отмонтировать ума не приложу. Тупо сбрасывать страшно (
Могло произойти неправильное обновление. процесс мог быть не завершен. Что то некорректно произошло.
А в чем еще может быть проблема? Система до обновления грузилась. Ничего больше не устанавливалось и не менялось.
Зашифрованный раздел монтируется и открывается в другой системе.
комментариев: 511 документов: 2 редакций: 70
Ничего страшного произойти не должно. Можно просто ребутнуться, выполнить команду reboot или shutdown.
Объяснение гениальное. С чего вы взяли, что обновился только cryptsetup? И правда ли это? Для вас система — чёрный ящик, а информацию, которую вы озвучиваете, более-менее достоверно может выяснить только специалист (причину проблемы).