Частный случай установки Ubuntu/Debian с полнодисковым шифрованием
Требуется решить конкретную задачу. Однако на этом сайте очень много инфы и не всегда, чаще всего, свести все воедино не хватает практических знаний.
1. Модель угрозы. Домашний комп может попасть в чужие руки. В таком случае, на дисках должно быть только бессигнатурное шифрование, чтобы противник не мог ни напрямую получить с дисков какую-либо информацию, ни доказать, что она там вообще есть. Все остальные угрозы опускаются.
2. Легенда. Затер диски рандомом, т.к. они мне не нужны и хочу отнести их в базар. Пользуюсь только live-CD.
3. Необходимое условие. Директории / и /home должны быть на разных физических дисках.
4. Грубый набросок решения.
- Бессигнатурно шифруем два физических диска – один для /, второй для /home.
- Поверх бессигнатурного шифрования создаем слой LUKS на обоих дисках.
- Boot выносим на флешку так, чтобы ее можно было после старта ОС вынуть.
Прошу любых замечаний/советов/мыслей по поводу бредовости и сложности реализации такой задачи в связи с полнодисковым шифрованием двух дисков и выносом boot на флешку. В первую очередь, интересует техническая сторона вопроса. Заранее благодарю.
комментариев: 271 документов: 0 редакций: 0
Разве я спорю с вами? Вычитал здесь что версия 1.6 поддерживает работу с контейнерами TC и побыстрому обновил, но вот забыл что у меня полнодисковое шифрование. Выключил комп в конце рабочего дня. Тут же вспомнил и решил загрузится. Все. Завис.
Не трогай пока система работает? Да. Но уже дело сделано. Увы.
комментариев: 511 документов: 2 редакций: 70
Не знаю, какие изменения в системе повлекло за собой обновление cryptsetup. Если вы это делали в командной строке, там всё это пишется.
Какой тип Debian? Stable? Unstable? Testing?
Сомневаюсь, что 1.6 не имеет обратной совместимости с 1.4. Может быть, там просто были изменены дефолты какие-то. Я бы для начала попытался подключить шифрованный диск вручную из загрузчика (initramfs-шелл), чтобы понять, что именно не работает, но опять же, как всегда, всё это упирается в знание и понимание, без этого проблемы такого сорта крайне трудно фиксить.
Вам удалось сдаунгрейдить версию cryptsetup? Теперь всё заработало?
комментариев: 271 документов: 0 редакций: 0
Перезагружался.
В репозитории 1.4. Скачал с debian.org пакет *.deb 1.6 и установил через установщик пакетов (не через dpkg -i).
Система wheezy с последними штатными обновлениями.
Начало загрузки:
— type:unknown option
мерцающий курсор
Система не запустилась.
Сейчас попробую посмотреть применился ли даунгрейдинг.
комментариев: 271 документов: 0 редакций: 0
# cryptsetup --version
cryptsetup 1.4.3
Да версия изменилась. Даунгрейд делал через удаление 1.6 и установки *.deb пакета 1.4.
Правильно? Ибо, synaptic не пашет, как и apt.
Почему же не грузится ((
Это очень сложно?
Я доходил до initramfs, но дальше не хватает знаний.
Может в таком случае проще установить систему с ноля и перебросить туда систему с зашифрованного диска?
Попробовал переустановить cryptsetup еще раз. Получил такую строку:
Обрабатываются триггеры для initramfs-tools …
/boot/initrd.img-3.2.0-4-686-pae does not exist. Cannot update.
Чую не нормально.
комментариев: 11558 документов: 1036 редакций: 4118
Но не полная. Когда в Генте обновлялся с 1.2.x (или 1.1.x?) до 1.6.x с кастомным initrd, тоже получил незагружабельную систему. Не помню точно, в чём оказался затык, но что-то пришлось править в стартовом скрипте.
комментариев: 271 документов: 0 редакций: 0
В другой системе был открыт зашифрованный раздел. Система скопирована. На носитель была накатана новая установка идентичная прошлой. Системный раздел был опять таки открыт в другой ОС и затерт с последующим копированием на него ранее сохраненную систему. Fstab и crypttab взяты с новой установки. Все запустилось и работает.
Cryptsetup оказался таки сданугрединым. Вывод – проблема была видимо с initrd.
комментариев: 511 документов: 2 редакций: 70
Если это не штатное обновление, предусмотренное системой, то не представляю, что вы могли сделать, чтобы установить пакет. Такие операции в Debian stable не предусмотрены. Насильственная установка пакета рушит зависимости/линковку с библиотеками, в итоге получится не просто новый cryptsetup, а нерабочий. Т.е. у вас дело, скорей всего, не в том, что 1.6 несовместим с 1.4, а в том, что 1.6 не был установлен нужным образом.
Узнать зависимости можно тут (для jessie). Каждый из пакетов, от которых зависит cryptsetup, тоже зависит от чего-то. Цепочка зависимостей должна раскручиваться полностью, и все, требующие обновления пакеты, обновлены. Однако, это приведёт к тому, что будут обновлены пакеты, от которых зависят какие-то посторонние третьи, и тогда те третьи тоже придётся обновить. В итоге вам придётся обновлять половину системы, если не вообще всю, с риском всё угробить.
Если вам так позарез нужен 1.6, нужно было читать инструкции, а потом целиком обновлять wheezy до jessie (или до squeeze, а потом до jessie).
комментариев: 271 документов: 0 редакций: 0
Вот 1.4 – https://packages.debian.org/wheezy/cryptsetup
Я взял отсюда (бэкпортов)1.6 – https://packages.debian.org/ru.....backports/cryptsetup
Установился, надо сказать, ни чивхнув ни кашлянув.
Вот это то и была моя самая первая версия. А так как в системе полнодисковое шифрование, то это связано с initrd.
Вот что меня и смутило: "/boot/initrd.img-3.2.0-4-686-pae does not exist. Cannot update"
После операции по внешнему даунгрейдингу cryptsetup, система обрела прежнюю работоспособность (не в прямом смысле, но через копирование). Из чего можно сделать вывод, что изменения не были уж такими глубокими.
Да вот в том то и дело, что не позарез. Так добавить функционалу). В системе и так есть TC. А мне вот понадобилось и такое..
Правильно говорят: работает не трожь!
комментариев: 511 документов: 2 редакций: 70
Первый раз слышу про бэкпорты, поэтому не буду комментировать их стабильность/надёжность.
Похоже, что он не обновил initramfs (initrd) причитающимся образом. В него входит ядро Linux, а также тулзы по подключению всего нужного (в том числе, cryptsetup).
Там было «не сломано — не чини». Во всяком случае при играх со всей такой нестандартщиной хорошо бы делать бэкапы образа системы, чтобы в случае проблем не чесать долго репу, что там могло отвалиться, а легко откатить систему обратно.