# sh /media/…/liberte/setup.sh auto

See build instructions if you want to master a custom Liberté Linux image.

Прошу разъяснить Вашу позицию, если это действительно не правильно и несет явные последствия и сбои – я не буду делать это. Но у меня даже основной ключ – "длинный", вроде нареканий нет.

Главный вопрос: зачем? Ключами мериться, у кого длиннее?

Если вас так мучает паранойя по поводу резкого прогресса во взломе асимметрики

Я исходил из логики (как понял – неверной) – что чем длиннее ключ – тем выше его стойкость

Подскажите, а какие еще способы есть повышения стойкости GPG?

Вы, как сказали – являетесь пользователем Gentoo, не могли бы мне помочь с моим изначальным вопросом, касательно компилляции Liberte дистрибутива.

Стойкость против кого? Какая у Вас модель угрозы? ©

Рекорд факторизации датируется 22-м августа 1999г.: число размером 155 десятичных цифр (512 бит) было факторизовано за шесть месяцев вычислений на парке приблизительно из 600 машин, некоторые из которых могут быть квалифицированны как "быки" (в частности, Cray с 2 Гб памяти).

На странице пишут, что процесс сборки дистронезависимый, знать Portage не обязательно. Копаться в ненужном мне дистрибутиве желания никакого нет, а Вы не пишите, с какой конкретно сталкиваетесь проблемой.

число размером 155 десятичных цифр (512 бит) было факторизовано за шесть месяцев

А для экстраполяции на 4096-битовые ключи Вы, простите, что сделали? умножили 512 на 8?

Есть статья чуть поновее

1988: Первая факторизация сложного целого числа из ста цифр.
1999: Первая факторизация 512-битного модуля RSA.
2010: Ожидаемая первая факторизация 768-битного модуля RSA.
20??: Ожидаемая первая факторизация 1024-битного модуля RSA.

При этом нет причин для беспокойства в использовании 1024-битного RSA до 2014 года

Ну да, и просто предположил, что на сегодняшний день, это вполне себе решаемая задача. Могу быть не прав, т.к. фактов нет, просто предположение.

Сейчас придут математики и съедят Вас за такие предположения с потрохами. :) Сложность взлома криптоключей экспоненциальна — каждый дополнительный бит увеличивает её в 2 раза (т.е. 128-битовый ключ и 256-битовый отличаются по сложности не в 2 раза, а в 2¹²⁸). С асимметричными алгоритмами ситуация в деталях отличается, но общая картина примерно такая же.

Теперь экстраполируйте сложность от 512 бит до 4096 по операциям и памяти правильно и подумайте, действительно ли Вам нужно что-то большее.

Вот и ошибка. Все файлы загружены и проверены на целостность, а потом внезапно:
Mounting system directories Environment: LVERSION=2012.4-RC LOGNAME=root USER=root HOME=/root HOSTNAME=liberte LANG=ru_RU.UTF-8 TERM=xterm PHASE=src Launching chrooted shell in /tmp/livecd/src >>> Regenerating /etc/ld.so.cache... Setting a hardened profile Applying temporary portage patches Successfully applied patch: /root/patches/portage/virtualbox-guest-additions.patch >>> Creating Manifest for /usr/portage/app-emulation/virtualbox-guest-additions Successfully applied patch: /root/patches/portage/xf86-video-virtualbox.patch >>> Creating Manifest for /usr/portage/x11-drivers/xf86-video-virtualbox Successfully applied patch: /root/patches/portage/nip2.patch >>> Creating Manifest for /usr/portage/media-gfx/nip2 >>> Downloading 'http://distfiles.gentoo.org/distfiles/hardened-patches-3.4.7-1.extras.tar.bz2' --2013-02-08 11:53:48-- http://distfiles.gentoo.org/distfiles/hardened-patches-3.4.7-1.extras.tar.bz2 Распознаётся distfiles.gentoo.org... 216.165.129.135, 64.50.233.100, 64.50.236.52, ... Подключение к distfiles.gentoo.org|216.165.129.135|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 404 Not Found 2013-02-08 11:53:49 ОШИБКА 404: Not Found. >>> Downloading 'http://mirrors.kernel.org/gentoo/distfiles/hardened-patches-3.4.7-1.extras.tar.bz2' --2013-02-08 11:53:49-- http://mirrors.kernel.org/gentoo/distfiles/hardened-patches-3.4.7-1.extras.tar.bz2 Распознаётся mirrors.kernel.org... 149.20.20.135, 149.20.4.71 Подключение к mirrors.kernel.org|149.20.20.135|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 404 Not Found 2013-02-08 11:53:50 ОШИБКА 404: Not Found. >>> Downloading 'http://dev.gentoo.org/~blueness/hardened-sources/hardened-patches/hardened-patches-3.4.7-1.extras.tar.bz2' --2013-02-08 11:53:50-- http://dev.gentoo.org/~blueness/hardened-sources/hardened-patches/hardened-patches-3.4.7-1.extras.tar.bz2 Распознаётся dev.gentoo.org... 140.211.166.183, 2001:470:ea4a:1:214:c2ff:fe64:b2d2 Подключение к dev.gentoo.org|140.211.166.183|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 200 OK Длина: 557863 (545K) [application/x-bzip2] Сохранение в: «/usr/portage/distfiles/hardened-patches-3.4.7-1.extras.tar.bz2» 100%[======================================>] 557 863 92,1KB/s за 7,0s 2013-02-08 11:53:58 (78,1 KB/s) - «/usr/portage/distfiles/hardened-patches-3.4.7-1.extras.tar.bz2» сохранён [557863/557863] >>> Downloading 'http://distfiles.gentoo.org/distfiles/genpatches-3.4-8.base.tar.bz2' --2013-02-08 11:53:58-- http://distfiles.gentoo.org/distfiles/genpatches-3.4-8.base.tar.bz2 Распознаётся distfiles.gentoo.org... 156.56.247.195, 216.165.129.135, 64.50.233.100, ... Подключение к distfiles.gentoo.org|156.56.247.195|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 404 Not Found 2013-02-08 11:53:58 ОШИБКА 404: Not Found. >>> Downloading 'http://mirrors.kernel.org/gentoo/distfiles/genpatches-3.4-8.base.tar.bz2' --2013-02-08 11:53:58-- http://mirrors.kernel.org/gentoo/distfiles/genpatches-3.4-8.base.tar.bz2 Распознаётся mirrors.kernel.org... 149.20.20.135, 149.20.4.71 Подключение к mirrors.kernel.org|149.20.20.135|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 404 Not Found 2013-02-08 11:53:59 ОШИБКА 404: Not Found. >>> Downloading 'http://gentoo.ussg.indiana.edu/distfiles/genpatches-3.4-8.base.tar.bz2' --2013-02-08 11:53:59-- http://gentoo.ussg.indiana.edu/distfiles/genpatches-3.4-8.base.tar.bz2 Распознаётся gentoo.ussg.indiana.edu... 156.56.247.195 Подключение к gentoo.ussg.indiana.edu|156.56.247.195|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 404 Not Found 2013-02-08 11:54:00 ОШИБКА 404: Not Found. >>> Downloading 'http://ftp.halifax.rwth-aachen.de/gentoo/distfiles/genpatches-3.4-8.base.tar.bz2' --2013-02-08 11:54:00-- http://ftp.halifax.rwth-aachen.de/gentoo/distfiles/genpatches-3.4-8.base.tar.bz2 Распознаётся ftp.halifax.rwth-aachen.de... 137.226.34.42 Подключение к ftp.halifax.rwth-aachen.de|137.226.34.42|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 404 Not Found 2013-02-08 11:54:01 ОШИБКА 404: Not Found. >>> Downloading 'http://gentoo.osuosl.org/distfiles/genpatches-3.4-8.base.tar.bz2' --2013-02-08 11:54:01-- http://gentoo.osuosl.org/distfiles/genpatches-3.4-8.base.tar.bz2 Распознаётся gentoo.osuosl.org... 140.211.166.134 Подключение к gentoo.osuosl.org|140.211.166.134|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 404 Not Found 2013-02-08 11:54:02 ОШИБКА 404: Not Found. >>> Downloading 'http://gentoo-distfiles.mirrors.tds.net/distfiles/genpatches-3.4-8.base.tar.bz2' --2013-02-08 11:54:02-- http://gentoo-distfiles.mirrors.tds.net/distfiles/genpatches-3.4-8.base.tar.bz2 Распознаётся gentoo-distfiles.mirrors.tds.net... 216.165.129.135 Подключение к gentoo-distfiles.mirrors.tds.net|216.165.129.135|:80... соединение установлено. HTTP-запрос отправлен. Ожидание ответа... 404 Not Found 2013-02-08 11:54:04 ОШИБКА 404: Not Found. !!! Couldn't download 'genpatches-3.4-8.base.tar.bz2'. Aborting. !!! Fetch failed for genpatches-3.4-8.base.tar.bz2, can't update Manifest Failed. Unmounting system directories

И так всегда, то пакетов нет на сервере (отзозваны) то еще что-то, то вообще с первого раза ошибку выдает... А до автора вообще не достучаться..

Проблема, собственно, в том, что те версии пакетов (патчи ядра), которые он пытается скачать, давно выпилены из дерева Портежа и, соответственно, со всех зеркал пакетов. В этом особенность генты: если автор не поддерживает подобную кастомную сборку в актуальном состоянии, через полгода-год собрать её из исходников будет весьма и весьма затруднительно (если вообще возможно). Единственное, что могу предложить в данном случае: ищите требуемые версии файлов по интернету и самостоятельно складируйте их в /usr/portage/distfiles/. Но я бы на Вашем месте забил на такой идиотизм — свободное время можно провести с гораздо большим проком.

Но я бы на Вашем месте забил на такой идиотизм — свободное время можно провести с гораздо большим проком.

Я с Вами согласен на 200%. Просто мне нужен свой дистрибутив, который дальше меня не уйдет, который я буду использовать с флешки. Я не программист, а с линуксом знаком дай Бог – порядка месяца. Я научился делать проксификацию. Но я понятия не имею как мне сделать самому небольшой дистрибутив,размер функционал которого хотябы близок к Liberte. Можно пойти простым путем – и в два клика сделать на Убунте или Дебиане, но здесь, как я подчеркнул выше – играет роль размер. С Гентой я сразу не поладил из за сложностей при попытки компиляции. Я пробовал SliTaz, все здорово и удобно – НО, старая версия ядра, старые версии пакетов, и я не знаю, как сделать такое шифрование раздела (криптоконтейнера), как в Liberte. Если можете дать краткий совет или направить в нужное направление – буду очень Вам признателен.

Просто мне нужен свой дистрибутив

с линуксом знаком дай Бог – порядка месяца

В этом особенность генты: если автор не поддерживает подобную кастомную сборку в актуальном состоянии, через полгода-год собрать её из исходников будет весьма и весьма затруднительно (если вообще возможно).

Либо делайте, как я в своё время

Из Дебьяна я когда-то давно делал рабочие live-самосборки

Но за такой срок мне такие мысли даже в голову не приходили

У них что, места под архивы не хватает, в отличие от других дистров? Или там не бывает стабильных релизов?

Это ж rolling-version-дистрибутив, там нет понятия релиза вообще. Все пакеты индивидуальны, в Портеже лежит по несколько версий каждого, но держать все версии каждого пакета нет смысла ни с практической, ни с логистической точек зрения — старые, уязвимые и несовместимые отбрасываются.

Обновить (вместо просто пересборки) старую систему можно, но если она не обновлялась больше полугода, даже это превращается в грязный секс большую и чистую любовь из-за практически ручного разбора зависимостей.

Подскажите пожалуйста – как Вы это делали? В плане того, что Вы написали "размер минимальнейший" – это как?

1. Положить список нужных пакетов в один файл.
2. Положить список пакетов, даже если их по зависимостям вытягивает, но которые не при каких условиях не нужны, в другой файл. Вы же знаете все нужные вам пакеты в системе — иначе зачем вам это всё?
3. Пройтись по первому списку, добавить к нему пакеты по зависимостям, вычесть пакеты из второго списка. Разумеется, если вы хорошо знаете apt и легко можете его заскриптовать.
4. При условии, что всё нужное стоит на рабочей системе, просто переносите tar'ом установленное содержимое этих пакетов. Apt опять же это всё показывает.
5. Остаток скрипта распаковывает апдейты, правит конфиги, удаляет ненужные доки, локали и пр.
6. Затем скрипт подготавливает носитель, переносит это всё туда, прописывает GRUB, isolinux или что там вам нужно.

Как-то так. Да и ещё делается проверка — если в рабочей системе есть обновления пакетов, то стоит и пересобрать live-версию.

А можно как-нибудь в сорцах Liberte прописать имеющиеся новые пакеты на сервере? Или тогда всплывет еще больше подводных камней?

Задачи у меня простые – минимальный размер, прозрачная торификация, i2p, и хранение все в криптоконтейнера

Вот правда, чего Вы так привязались к Liberte и так одержимы идеей кастомизации? Разве Tails не подходит под описание? И к чему требование размера? Флешки стоят копейки, даже самый толстый дистр войдёт без проблем.

Одержим идеей кастомизации потому, что нужно добавить необходимые пакеты.
Tails если честно – не смотрел даже, т.к. бросился в глаза Liberte именно из за размера, постоянной смены мас и шифрованием. Размер принципиален потому, что работать будет с определенных флешек, где фиксированный размер 2Гб, почти полтора из которых заняты "обязательным мусором", а Либерти как раз невидима по-умолчанию. Это не моя прихоть, в данной ситуации я не могу ничего сделать и просто подстраиваюсь под нее. Изначально вообще пытался попробовать с нашей отечественной КолибриОС, которая весит пару мегабайт, но там вообще дела плохи, если рассматривать ее под эти нужды.
На счет "скучные обои", я вообще не требователен к оформлению, но я подозреваю, к чему Вы клоните – нет, я не очередной Попов, про которого как раз недавно читал. Я сразу упомянул, что дальше меня дистр не уйдет.
Ладно, всем спасибо за советы, буду думать дальше.
Если бы мне нужно было это дома – конечно вообще не принципиально, к тому же я разобрался с торификацией трафика – на десктопном дистрибутиве бы сделал, и еще я для себя открыл очень хорошую штуку – EncFS, т.ч. десктопная ось чувствует себя нормально, но дома мне эта вся паранойя ни к чему.

число размером 155 десятичных цифр (512 бит) было факторизовано за шесть месяцев

А для экстраполяции на 4096-битовые ключи Вы, простите, что сделали? умножили 512 на 8?

Ну да, и просто предположил, что на сегодняшний день, это вполне себе решаемая задача.

Сейчас придут математики и съедят Вас

Можно конечно юзать и готовые дистры, но увы – надо разобраться и скомпилить под себя – это обязательно, мне нужно иметь понимание о том, чем приходится пользоваться.

Обновить (вместо просто пересборки) старую систему можно, но если она не обновлялась больше полугода, даже это превращается в

Чтобы разобраться, нет необходимости компилить, если только вы не собираетесь вникать в исходный код или править его — достаточно вдумчиво прочитать документацию и мануалы (что тоже не просто).

Для сборки LiveCD есть такая штука, вот даже чьи-то конфиги. Я под себя писал что-то такое:

видимо идиоты в Tails и JonDO, что используют debian. нужно лезть в gentoo. там "слаще". " у вас есть свободное время? тогда мы убьем его вам!"

" у вас есть свободное время? тогда мы убьем его вам!"

С кодом более-менее разобрался, точнее не именно с матаном, а с расположением файлов, конфигов системы и встраемого софта и тд.

мне кажется, что это для более опытных пользователей.

Лично я пользуюсь Linux/Unix уже 8 лет, чай не новичок, и не только LiveCD собирал, но я ещё пока ни разу, ни разу не правил самостоятельно исходный код прикладных или системных программ.

Но собрать ее – я соберу!Сам себе слово дал!

Всем, спасибо за советы. Все получается.

LiveCD уже готов? :)

Нет еще:
>>> Emerging (52 of 127) sys-devel/make-3.82-r4 >>> Installing (52 of 127) sys-devel/make-3.82-r4 >>> Emerging (53 of 127) sys-apps/findutils-4.4.2-r1

For more information, see the MASKED PACKAGES section in the emerge

SATva
Вот все, что осталось:
All selected packages: sys-apps/tcp-wrappers-7.6-r8 sys-libs/db-4.8.30 sys-libs/cracklib-2.8.19 sys-libs/gdbm-1.8.3-r4 >>> Unmerging (1 of 4) sys-libs/cracklib-2.8.19... >>> Unmerging (2 of 4) sys-apps/tcp-wrappers-7.6-r8... >>> Unmerging (3 of 4) sys-libs/gdbm-1.8.3-r4... >>> Unmerging (4 of 4) sys-libs/db-4.8.30... Packages installed: 128 Packages in world: 1 Packages in system: 43 Required packages: 128 Number removed: 4 Checking for non-rebuilt packages Preparing kernel Marking tree as ready for incremental builds Listing updates !!! All ebuilds that could satisfy "net-wireless/i2400m-fw" have been masked. !!! One of the following masked packages is required to complete your request: - net-wireless/i2400m-fw-1.5.0::gentoo (masked by: package.mask) /usr/portage/profiles/package.mask: # Samuli Suominen <ssuominen@gentoo.org> (10 Feb 2013) # The firmware cleanup, part #1. Can be unmasked after # cleaning up the package if it's still needed. # Some of these install to wrong directory, /lib64/firmware # as opposed to correct /lib/firmware # Some of these don't have maintainer # Some of these are replaced by the firmware from the # linux-firmware package: # emerge -av linux-firmware # If you still have a reason to keep the package, please # let us know by filing a bug report. # Removal at 01 Apr 2013 (dependency required by "@firmware" [set]) (dependency required by "@all" [set]) (dependency required by "@selected" [set]) (dependency required by "@world" [argument]) For more information, see the MASKED PACKAGES section in the emerge man page or refer to the Gentoo Handbook. Failed. Unmounting system directories

Надо что-то размаскировать?

Если честно – я сам не понимаю, надеюсь, что здешние профи и более подкованные юзеры прояснят ситуацию.

Блин, ну как так можно?((( Все сделал, запустил снова и снова пол-дня прождал..
Вот полный лог:
полный лог не влез, в общем также самая ошибка..
Я не знаю, что еще можно сделать... Кто-нибудь, кроме автора ее вообще смог собрать??

полный лог не влез

в общем также самая ошибка..

Теперь еще и анмаск не хочет делать

Да все-равно он теперь еще и net-wireless/zd1211-firmware попросил.
Так что я полагаю – проблем тут еще будет ой как много..
Буду разбираться.
SATva, подскажите пожалуйста, а что теперь не так – я добавил вторую прошивку так, как Вы сказали сделать с первой, но все-равно ошибка:
Launching chrooted shell in /home/livecd/src >>> sudo liberte/build /home/livecd Downloading and extracting stage3 and portage snapshots Skipping overwrite of /home/livecd/src (use "fresh") Installing packages and configuring system Copying configuration files: Mounting system directories Environment: LVERSION=2012.4-RC LOGNAME=root USER=root HOME=/root HOSTNAME=liberte LANG=ru_RU.UTF-8 TERM=xterm PHASE=src Launching chrooted shell in /home/livecd/src >>> Regenerating /etc/ld.so.cache... Setting a hardened profile Applying temporary portage patches Patch already applied: /root/patches/portage/virtualbox-guest-additions.patch >>> Creating Manifest for /usr/portage/app-emulation/virtualbox-guest-additions Patch already applied: /root/patches/portage/xf86-video-virtualbox.patch >>> Creating Manifest for /usr/portage/x11-drivers/xf86-video-virtualbox Patch already applied: /root/patches/portage/nip2.patch >>> Creating Manifest for /usr/portage/media-gfx/nip2 Patch already applied: /root/patches/portage/amd-ucode.patch >>> Creating Manifest for /usr/portage/sys-firmware/amd-ucode Skipping full rebuild (use "fresh") Listing updates emerge: there are no ebuilds to satisfy "net-wireless/zd1211-firmware". (dependency required by "@firmware" [set]) (dependency required by "@all" [set]) (dependency required by "@selected" [set]) (dependency required by "@world" [argument]) Compiling world emerge: there are no ebuilds to satisfy "net-wireless/zd1211-firmware". (dependency required by "@firmware" [set]) (dependency required by "@all" [set]) (dependency required by "@selected" [set]) (dependency required by "@world" [argument]) Failed. Unmounting system directories
Сейчас буду пробовать вносить изминения и в создаваемый etc/portage/package.accept_keywords

Сейчас буду пробовать вносить изминения и в создаваемый etc/portage/package.accept_keywords

А нет больше такого пакета в портеже. Совсем нет — выпилен несколько дней назад, о чём Вам с холодной беспощадностью сообщает emerge: "there are no ebuilds". То есть теперь Вам придётся ещё осваивать создание и настройку оверлеев. Из разряда "не было у бабы забот — купила баба порося". Если сильно надо это счастье, могу поделиться ебыдлом из некоторое время несинхронизировавшейся системы. Только Вы хорошенько подумайте, действительно ли этого хотите — Вы правы в том, что таких подарочков скорее всего ещё будет.

Только Вы хорошенько подумайте, действительно ли этого хотите — Вы правы в том, что таких подарочков скорее всего ещё будет.

Вот и я думаю.. Спасибо Вам за совет. Я постараюсь еще что-нить придумать и покопаться, просто понял, что даром теряю время. Я все-таки не то что не админ и не кодер – а вообще к ИТ имею посредственное отношение. Подумаю еще. Мне просто другое интересно – зачем автор тогда выкладывает то, что впринципе не собирается.. Вот я потратил два дня втыкая в консоль, и толку нет. Ну хотябы оживился и рассказал что да как, а то все так просто – загружайте с гита и компильте. Да, прям так взяли и скомпиллили.
Эх, жаль, очень жаль..
Зато практика какая-никакая, вот уже и Линукс немного освоил для себя, узнал что такое консоль, попутно понял, что не совсем обязательно иметь GUI для работы с GPG, просто наверное привычнее и удобнее. В общем да – утешаю себя, пытаясь хоть какие-то плюсы извлечь)))

/comment60616^[link16]: Обновить (вместо просто пересборки) старую систему можно, но если она не обновлялась больше полугода, даже это превращается в грязный секс большую и чистую любовь из-за практически ручного разбора зависимостей.

Хочется, ой как хочется связываться)) Поэтому и связался. И не отступаю:
Press Enter to continue... Compiling world >>> Verifying ebuild manifests >>> Running pre-merge checks for sys-firmware/iwl5000-ucode-8.83.5.1-r1 * Determining the location of the kernel source code * Found kernel source directory: * /usr/src/linux * Found kernel object directory: * /usr/src/linux-main * Found sources for kernel version: * 3.4.7-hardened >>> Running pre-merge checks for sys-firmware/iwl1000-ucode-39.31.5.1 * Determining the location of the kernel source code * Found kernel source directory: * /usr/src/linux * Found kernel object directory: * /usr/src/linux-main * Found sources for kernel version: * 3.4.7-hardened >>> Running pre-merge checks for x11-base/xorg-server-1.13.1 >>> Running pre-merge checks for x11-drivers/xf86-input-synaptics-1.6.2-r1 * Determining the location of the kernel source code * Found kernel source directory: * /usr/src/linux * Found kernel object directory: * /usr/src/linux-main * Found sources for kernel version: * 3.4.7-hardened >>> Running pre-merge checks for app-emulation/qemu-1.1.2-r2 * Determining the location of the kernel source code * Found kernel source directory: * /usr/src/linux * Found kernel object directory: * /usr/src/linux-main * Found sources for kernel version: * 3.4.7-hardened * Checking for suitable kernel configuration options... * You must enable KVM in your kernel to continue * You will also need support for 802.1d Ethernet Bridging for some network configurations. * If you have an AMD CPU, you must enable KVM_AMD in your kernel configuration. * If you have an Intel CPU, you must enable KVM_INTEL in your kernel configuration. * Please check to make sure these options are set correctly. * Failure to do so may cause unexpected problems. >>> Running pre-merge checks for sys-boot/grub-2.00-r2 >>> Running pre-merge checks for net-libs/webkit-gtk-1.8.3-r300 >>> Running pre-merge checks for net-misc/networkmanager-0.9.6.4 * Determining the location of the kernel source code * Found kernel source directory: * /usr/src/linux * Found kernel object directory: * /usr/src/linux-main * Found sources for kernel version: * 3.4.7-hardened * Checking for SYSFS_DEPRECATED support ... [ ok ] >>> Starting parallel fetch >>> Emerging (1 of 669) media-libs/jbigkit-2.0-r1 >>> Installing (1 of 669) media-libs/jbigkit-2.0-r1 >>> Emerging (2 of 669) media-libs/libogg-1.3.0
Вы кстати по почерку очень автора напоминаете, а не представляетесь потому, что у себя на форуме недавно оскорбили данный ресурс)) Да ладно, лирика все это. Автору конечно респект за такой труд, просто обратной связи хотелось бы, а то он находит время, чтобы отвечать на тупые вопросы на всяких имиджбордах, а по поводу своей системы комментов не дает.
З.Ы. Господа-линуксоиды, подскажите пожалуйста, правильно ли я понимаю – для того, чтобы мне отслеживать весь процесс компиляции – нужно вести лог файл, т.к. консоль выводит ограниченное число строк – мне нужно ее вывод записывать в свой лог-файл. Могу ли я это сделать следующим образом:

liberte/build /tmp/livecd >>\home\build_log.txt

liberte/build /tmp/livecd >>\home\build_log.txt

Зато практика какая-никакая, вот уже и Линукс немного освоил для себя, узнал что такое консоль, попутно понял, что не совсем обязательно иметь GUI для работы с GPG, просто наверное привычнее и удобнее.

Это действительно плюсы.

мне нужно ее вывод записывать в свой лог-файл ... Неа, не получается так.

(У Вас в строке бэк-слэши. Не забывайте, что Вы не в винде.) Можете попробовать так:

liberte/build /tmp/livecd 2>&1>build_log.txt

liberte/build /tmp/livecd 2>&1>build_log.txt

Вы кстати по почерку очень автора напоминаете, а не представляетесь потому, что у себя на форуме недавно оскорбили данный ресурс

О, Максим, да Вы же это)))

тут даже достойно ответили на эту тему, в духе "А сам то не онлайн-эксперт?"

Кеша, прекрати)))

Аллилуйа, братия и сестры, я сделал это:
Checking linking consistency Faking Python removal Unmerging orphaned packages app-admin/python-updater: 0.10 none none app-portage/gentoolkit: 0.3.0.7 none none app-admin/eselect-python: 20100321 none none virtual/python-argparse: 0 none none All selected packages: app-portage/gentoolkit-0.3.0.7 virtual/python-argparse-0 app-admin/eselect-python-20100321 app-admin/python-updater-0.10 >>> Unmerging (1 of 4) app-admin/python-updater-0.10... >>> Unmerging (2 of 4) app-portage/gentoolkit-0.3.0.7... >>> Unmerging (3 of 4) app-admin/eselect-python-20100321... >>> Unmerging (4 of 4) virtual/python-argparse-0... Packages installed: 662 Packages in world: 241 Packages in system: 33 Required packages: 662 Number removed: 4 Unmerging portage sandbox sys-apps/sandbox: 2.5 none none All selected packages: sys-apps/sandbox-2.5 >>> Unmerging (1 of 1) sys-apps/sandbox-2.5... Removing development files Updating environment >>> Regenerating /etc/ld.so.cache... Unmerging portage Actually removing Python Trimming icons directories and cache Regenerating fonts cache Regenerating MIME and desktop DBs Modifying MIME actions ordering preferences Generating GIO modules cache Generating GStreamer cache Uncompressing selected files Creating specialized Xorg driver directories Symlinking /var/tmp and disabling /dev/shm mount Setting cables-related and /root permissions Removing invalid symlinks Updating ld cache Regenerating /etc/ld.so.cache... Saving current packages list in /tmp/transient/pkg Done. Unmounting system directories Mastering deployment directory Copying configuration files: Mounting system directories Environment: LVERSION=2012.4-RC LOGNAME=root USER=root HOME=/root HOSTNAME=liberte LANG=ru_RU.UTF-8 TERM=xterm PHASE=src Launching chrooted shell in /home/livecd/src >>> Regenerating /etc/ld.so.cache... Pruning the temporary copy *deleting boot/.keep *deleting boot/memtest86plus/memtest.netbsd *deleting boot/memtest86plus/memtest.bin *deleting dev/pts/ *deleting dev/urandom *deleting dev/tty *deleting dev/random *deleting dev/ptmx *deleting dev/null *deleting dev/fd Checking /mnt/live Invalid files and symlinks: ./var/log/ConsoleKit/history ./var/log/lastlog ./etc/mtab Archives: Sources: ./usr/share/florence/styles/bright/florence.defs ./usr/share/florence/styles/default/florence.defs ./usr/share/florence/styles/hard/florence.defs ./usr/share/smartmontools/drivedb.h ./usr/share/ca-certificates/signet.pl ./usr/share/keymaps/i386/qwerty/hypermap.m4 ./usr/lib/tcl8.5/tclAppInit.c ./etc/login.defs Objects: ./usr/lib/mpg123/output_alsa.la ./usr/lib/mpg123/output_dummy.la Duplicate libraries: Docs: ./home/anon/info/browser.html ./home/anon/info/browser-noanon.html ./home/nofw/info/warning.html ./usr/share/webkitgtk-3.0/webinspector/inspector.html ./usr/share/webkitgtk-3.0/resources/error.html ./usr/share/epiphany/pages/error.html ./usr/share/epiphany/pages/recovery.html Hidden: ./home/nofw/.asoundrc ./usr/share/claws-mail/themes/Gnome/.claws_themeinfo ./etc/.pwd.lock Cache, backup, and temp: ./usr/share/icons/hicolor/icon-theme.cache ./usr/share/icons/gnome/icon-theme.cache ./usr/share/gconf-editor/icons/hicolor/icon-theme.cache ./usr/share/evince/icons/hicolor/icon-theme.cache ./usr/share/mime/mime.cache ./usr/share/file-roller/icons/hicolor/icon-theme.cache ./usr/share/pixmaps/pidgin/tray/hicolor/icon-theme.cache ./usr/share/applications/mimeinfo.cache ./usr/share/epiphany/icons/hicolor/icon-theme.cache ./usr/lib/gconv/gconv-modules.cache ./usr/lib/gio/modules/giomodule.cache ./usr/lib/gtk-3.0/3.0.0/immodules.cache ./usr/lib/gdk-pixbuf-2.0/2.10.0/loaders.cache ./etc/ld.so.cache ./etc/gtk-2.0/i686-pc-linux-gnu/gtk.immodules ./tmp/transient Logs: SUID / SGID / capabilities / xattrs / ACLs: -rws--x--x root root /bin/su -rws--x--x root root /usr/bin/Xorg -rws--x--x root root /usr/bin/pkexec -rws--x--x root root /usr/bin/sudo -rws--x--- root messagebus /usr/libexec/dbus-daemon-launch-helper -rws--x--x root root /usr/lib/polkit-1/polkit-agent-helper-1 -rwxr-s--x root utmp /usr/libexec/gnome-pty-helper drwxrwxrwt root root /tmp drwxrwx--T anon legion /home/anon/persist/mail/inbox drwxrwx--T anon legion /home/anon/persist/cables/queue drwxrwx--T anon legion /home/anon/persist/cables/rqueue /bin/ping = cap_net_raw+ep /sbin/unix_chkpwd = cap_dac_read_search+ep STACK / TEXTRELs / PaX markings: Build environment: checkregexp file not found, skipping Unsupported scripts: Preparing packages list and SquashFS ordering Creating pruned packages list Creating unregistered files list Creating SquashFS ordering Copying image add-ons Copying image /boot Converting text files to DOS line endings Creating SquashFS image Parallel mksquashfs: Using 2 processors Creating 4.0 filesystem on /mnt/boot/cdroot/liberte/boot/root-x86.sfs, block size 131072. Squashfs 4.0 filesystem, xz compressed, data block size 131072 compressed data, compressed metadata, compressed fragments, compressed xattrs duplicates are removed Filesystem size 214775.79 Kbytes (209.74 Mbytes) 25.32% of uncompressed filesystem size (848279.05 Kbytes) Inode table size 240618 bytes (234.98 Kbytes) 22.88% of uncompressed inode table size (1051855 bytes) Directory table size 312892 bytes (305.56 Kbytes) 39.31% of uncompressed directory table size (795863 bytes) Xattr table size 78 bytes (0.08 Kbytes) 97.50% of uncompressed xattr table size (80 bytes) Number of duplicate files found 1030 Number of inodes 29768 Number of files 22265 Number of fragments 3302 Number of symbolic links 5391 Number of device nodes 0 Number of fifo nodes 0 Number of socket nodes 0 Number of directories 2112 Number of ids (unique uids + gids) 17 Number of uids 7 root (0) anon (2101) nofw (2102) tss (103) polkitd (109) tor (102) privoxy (104) Number of gids 11 root (0) games (35) legion (9000) messagebus (120) tty (5) utmp (406) nofw (9001) tss (247) polkitd (116) uucp (14) privoxy (246) Adapting Syslinux and GRUB configuration Signing EFI GRUB images Signature verification OK Signature verification OK Building binary distribution liberte-2012.4-RC.zip No errors detected in compressed data of /mnt/boot/liberte-2012.4-RC.zip. Creating EFI boot image for El-Torito mkdosfs 3.0.13 (30 Jun 2012) Creating ISO image liberte-2012.4-RC.iso Warning: creating filesystem that does not conform to ISO-9660. Root at extent 18, 2048 bytes [0 0] 18: 122 1e 2048 * Flags=(3) RRlen=84 [RR,NM,PX,TF] 18: 128 19 2048 * Flags=(3) RRlen=88 [RR,NM,PX,TF] 19: 122 1a 2048 * Flags=(3) RRlen=84 [RR,NM,PX,TF] Creating ISO image liberte-2012.4-RC-bootstrap.iso Warning: creating filesystem that does not conform to ISO-9660. Root at extent 18, 2048 bytes [0 0] 18: 122 1e 2048 * Flags=(3) RRlen=84 [RR,NM,PX,TF] 18: 128 19 2048 * Flags=(3) RRlen=88 [RR,NM,PX,TF] 19: 122 1a 2048 * Flags=(3) RRlen=84 [RR,NM,PX,TF] Disk usage: 216 MiB ZIP size: 213 MiB ISO size: 214 MiB Done. Unmounting system directories Done: ZIP archive in /home/livecd/dist
На все про все ушла почти неделя. Возможно вскоре моих знаний будет достаточно, чтобы оптимизировать процесс сборки и уменьшить количество возникаемых косяков. Потому, что копания мои не закончены, т.к. собрал "как есть", дабы понять процесс сборки, а сейчас буду добавлять необходимые мне пакеты и стараться разобраться с кодом. Всем спасибо за помощь, огромное спасибо SATva и unknown за доходчивое разъяснение по линуксу и gpg в целом.
Максимка и тебе спасибо(знаю, что ты мониторишь это, т.к. увидел на гите твои правки как раз в день здешнего обсуждения), тоже не в последнюю очередь, за твои труды и старания. За твой тотальный игнор, да он отнял у меня время, но помог более менее разобраться самому. Очень тебя прошу, прислушивайся к советам юзеров, там много дельного. Вот лично я, кроме всего прочего о процессе сборки – предложил бы вести лог по-умолчанию, с построчным указанием времени, т.к. втыкать постоянно в консоль – излишне. Сделать это, я уверен – не сложно, но увы, сам я пока не осилю. На сайте у тебя было бы здорово вести какой-то ченджлог версий и планов на будущее. Я, например, так и не понял – зачем ты удалил i2p и тд.
Не прощаемся)))

SATva, подскажите пожалуйста, почему он снова маскирует пакеты, когда хочу добавить TrueCrypt и еще несколько?
>>> Regenerating /etc/ld.so.cache... Setting a hardened profile Updating portage gpg: нет необходимости проверять таблицу доверий при `always' модели доверий gpg: Подпись сделана Чт. 14 февр. 2013 00:53:23 UTC gpg: ключом RSA с ID 0xEC590EEAC9189250 gpg: Действительная подпись от "Gentoo Portage Snapshot Signing Key (Automated Signing Key)" gpg: ВНИМАНИЕ: Использование недоверяемого ключа! q: Updating ebuild cache ... q: Finished 32646 entries in 32.827829 seconds q: chdir to portage cache '/usr/portage/metadata/cache' failed: No such file or directory Applying temporary portage patches Successfully applied patch: /root/patches/portage/virtualbox-guest-additions.patch >>> Creating Manifest for /usr/portage/app-emulation/virtualbox-guest-additions Successfully applied patch: /root/patches/portage/xf86-video-virtualbox.patch >>> Creating Manifest for /usr/portage/x11-drivers/xf86-video-virtualbox Successfully applied patch: /root/patches/portage/nip2.patch >>> Creating Manifest for /usr/portage/media-gfx/nip2 Successfully applied patch: /root/patches/portage/amd-ucode.patch >>> Creating Manifest for /usr/portage/sys-firmware/amd-ucode Skipping full rebuild (use "fresh") Listing updates !!! All ebuilds that could satisfy "app-crypt/truecrypt" have been masked. !!! One of the following masked packages is required to complete your request: - app-crypt/truecrypt-7.1a::gentoo (masked by: truecrypt-3.0 license(s), ~x86 keyword) A copy of the 'truecrypt-3.0' license is located at '/usr/portage/licenses/truecrypt-3.0'. (dependency required by "@apps" [set]) (dependency required by "@all" [set]) (dependency required by "@selected" [set]) (dependency required by "@world" [argument]) For more information, see the MASKED PACKAGES section in the emerge man page or refer to the Gentoo Handbook. Compiling world !!! All ebuilds that could satisfy "app-crypt/truecrypt" have been masked. !!! One of the following masked packages is required to complete your request: - app-crypt/truecrypt-7.1a::gentoo (masked by: truecrypt-3.0 license(s), ~x86 keyword) A copy of the 'truecrypt-3.0' license is located at '/usr/portage/licenses/truecrypt-3.0'. (dependency required by "@apps" [set]) (dependency required by "@all" [set]) (dependency required by "@selected" [set]) (dependency required by "@world" [argument]) For more information, see the MASKED PACKAGES section in the emerge man page or refer to the Gentoo Handbook. Failed. Unmounting system directories

Установка TrueCrypt в генте — редкостный геморрой благодаря чуйдейсной лицензии разработчиков (которая, например, запрещает зеркалирование исходников, что вызывает вопросы в адекватности авторов, учитывая, что исходники заверены их PGP-подписью).

Кеша, совертую Вам почитать про менеджер пакетов Portage. Пакеты блокируются (маскируются) двумя способами в зависимости от того, полностью ли они запрещены (установка таких может привести к неработоспособности или уязвимости системы) или пока не признаны стабильными (очень широкое понятие в генте). TrueCrypt относится ко вторым. Такая блокировка снимается путём прописывания имени пакета в /etc/portage/package.keywords с ключевым словом Вашей платформы. Т.е. Вам нужно добавить в указанный файл следующую строку:

app-crypt/truecrypt ~x86

В приведённом Вами выводе также отмечено, что TrueCrypt замаскирован по лицензии. Это странно, поскольку у меня это не так. Но если после внесённого в package.keywords изменения пакет по-прежнему не будет устанавливаться, откройте /etc/make.conf (в новых системах этот файл может находиться в /etc/portage/make.conf), найдите переменную ACCEPT_LICENSE и добавьте к ней truecrypt-3.0. Если такой переменной нет, допишите в файл

ACCEPT_LICENSE="truecrypt-3.0"

Как я уже сказал, даже этого недостаточно для автоматической установки TC: Вам потребуется вручную скачать исходники программы и положить их в директорию distfiles. Emerge подробно напишет, что нужно сделать, когда Вы выполните всё, что приведено выше.

Хотел уточнить на счет TrueCrypt – неоднократно слышал, чтро тру-параноики и просто подкованные в ИТ-безопасности люди не уважают сабж и не особо ему доверяют. Не могу понять причины

Подскажите, может быть вообще не стоит его использовать тогда. И вопрос более личного характера – Вы на Gentoo используете подобие EncFS? Ну что-то такое, для шифрования внутри самой системы

Общепринятый стандарт дискового шифрования в линуксах

неоднозначной пользой для тушки пользователя.

Сам факт наличия всего остального (альтернативного) ничем не лучше с т.з. попыток сокрытия. Ну да, в Linux значительная часть криптософта встроена в систему и по-умолчанию есть у всех. Но это бесполезно без его использования, в т.ч. для полнодискового шифрования системы. А скрыть факт использования принципиально невозможно.

Удачи вам в этом бесплодном деле^[link17]. Особенно без изучения теории построения вечных двигателей.

Особенно без изучения теории

Если можете посоветовать что-нибудь кратное, но смыслоемкое и на Русском языке – я с радостью уделю этому внимание.

Удачи вам в этом бесплодном деле. Особенно без изучения теории

А скрыть факт использования принципиально невозможно.

Но это бесполезно без его использования, в т.ч. для полнодискового шифрования системы.

truecrypt на Win – да, а в Линукс?

Это которое "Шифровать домашний каталог"?

Это которое "Шифровать домашний каталог"?

где встроенные возможности полнодискового шифрования? truecrypt на Win – да,

опция в интерфейсе при установке Debian

truecrypt – это как бы сторонняя штука, которая есть и под win, и под Lin

Нет. В убунту, чтобы форензики не остались без зарплаты, поддержки полнодискового шифрования в умолчальном инсталляционном CD нет, нет там и возможности выбора всяких опций, разве что язык, страну да время можно указать. Однако, есть продвинутый инсталляционный диск с убунтой, называется alternate cd. Вот там есть.

Можно при установке на флэшку потренироваться, затем загрузиться и посмотреть, как это всё работает.

можно взгляд специалиста? ))
wwwВот этот вариант нормальный?

представляю пользователя, которому нужно вставить флешку для загрузки Linux, потом она остается вставленной в течение раб дня

блокируется при бездействии и требует ввода пароля по умолчанию

а задать в TrueCrypt горячие клавиши на опцию "Размонтировать все тома и устройства"

можно взгляд специалиста? ))
Вот этот вариант нормальный?

А это что?

в Truecrypt для Win лучше реализовано шифрование системного раздела (диска)
в Win вводится пароль и, при засыпании, выход осуществляется через ввод пароля TC.

в ТС для Линукса нет шифрования системного раздела/диска как опции, с вытекающими из этого обстоятельствами и невозможностью защиты как в Винде. вот о чем хотелось сказать.

Комментировать статьи с хабра

unknown прописал рецепт

ну скопипастил бы я статью на суд unknown, лучше бы было? или палиткорректнее? важна истина и проф взгляд на суть предложенного решения.

Надёжнее и проще всего сбэкапить её на шифрованный внешний винт, а затем развернуть из бэкапа поверх заново установленной шифрованной системы. Да, вручную перепаковать рамдиск, поправить grub.cfg (или menu?), /etc/fstab и /etc/cryptab при этом тоже придёться.

При гибернейте в шифрованный своп есть ещё один интересный вариант: когда он перестаёт быть нужен, можно стереть ключ свопа перед выключением, не тратя время на отмонтирование свопа (которое может исчисляться минутами). Система поработает на старом ключе из памяти, а после ребута все данные, накопившиеся в свопе на старом ключе, исчезнут.

Только в дополнение к полному шифрованию. Благо, двойное шифрование (логических томов внутри физического) практически не отнимает никаких ресурсов ни в плане скорости, ни в плане надёжности. За много лет использования ничего такого замечено не было.

А ещё можно вынести /home на рейд и его тоже пошифровать на уровне как физических, так и логических томов. Причём рекомендуется и то и другое одновременно (двойное шифрование).

Упрёки принимаются в плане того, что это только комментарии, заметки на полях с реализуемыми идеями, а не готовые пошаговые руководства.

данная конкретная задача описана. а от "А" до "Я" нет. ситуации разные:

А я могу придумать ещё десятки сценариев и ситуаций прикручивания шифрования. Уверен, что многие можно корректно настроить и кому-то это, возможно будет полезно и интересно, но времени проверять и подробно излагать всё это нет.

Как пример: цепочечные и иерархические расшифрования контейнеров без использования хранимых на них промежуточных ключей; использование шифрованной флэшки для обмена данными между открытыми шифрованными контейнерами на разных компьютерах (курьерский способ передачи), при этом пароля для флэшки не существует: она расшифровывается по факту открытия самих этих контейнеров (используются ключи, висящие в памяти после открытия этих контейнеров), использование промежуточных ключей для доступа к контейнеру (OpenPGP, OpenSSL), с возможностью асимметричного шифрования, разделения доступа и пр. Всё это автоматизируется, скриптуется и прописывается в /etc/cryptab.

Зная технологию и общие принципы можно (осторожно) делать решения под множество разных ситуаций. Не зная технологию и общие принципы, лучше использовать только стандартные, универсальные, проверенные и относительно простые решения и не лезть в экзотику.

Поэтому больше смысла вникать в теорию и общие принципы, а конкретные решения обсуждать, по мере того, как человек созрел и уже может больше половины сам сделать, грамотно сформулировав и задачу, и предполагаемое решение.

представляю пользователя, которому нужно вставить флешку для загрузки Linux, потом она остается вставленной в течение раб дня

Пароль то всё равно над вводить. Другое дело про опасения, что саму флэшку протроянят. Можно иметь копию флэшки на случай сбоя или нарушения правил её использования.

Насчёт поведения сотрудников во время раб. дня. Информационной безопасности в коммерческих и обычных государственных организациях не существует. Они сами существуют не для этого. Там это бесполезно, да. Как говорили какие-то сотрудники АНБ — те, для кого безопасность является конечным, основным и самым важным продуктом деятельности организации (а не получение прибыли, к примеру), те будут мириться с любыми неудобствами и изучать спец. методы работы. Остальным этого подхода не понять.

Для бизнеса — это неприменимо ни коммерчески, ни психологически. Для большинства обычных незаинтересованных индивидуальных пользователей — тоже.

Просто кладете рядом TrueCryp

Ну ведь нужно сделать чтобы с флешки работало

как Truecrypt расшифрует диск или контейнер? и что потом запустит загрузчик системы (grub или ntldr)?

Вот это меня и интересует. Хочу Debian засунуть в контейнер и сделать LiveUSB.
В Гите этого анимешника ничего не нашел:
https://github.com/mkdesu/liberte/
Кто собирал это, может разбирались?
Кеша, напиши в ЛС, поделись опытом.
Я хочу использовать настроенный Debian, находящийся в криптоконтейнере, а в качестве загрузчика – PloP, есть негативный опыт работы с ним?

Умеет ли grub грузить ядро винды непосредственно?

в сети нормальных предложений нет

Посоветуйте, как вообще отключить маскировку пакетов?

А как узнать, где находится он?

Ну и вообще о маскировке и местах расположения пакетов?

Когда вы собираетесь установить пакет, не предназначенный для вашей системы, выдается ошибка маскировки. Нужно попытаться установить другую программу, существующую для вашей системы, или дождаться, пока пакет станет доступным. Всегда есть причина, по которой пакет замаскирован:

ключ arch: пакет недостаточно проверен для помещения в стабильную ветвь. Подождите несколько дней или недель и попробуйте установить его еще раз.
ключ -arch или ключ -*: пакет не работоспособен в вашей архитектуре. Если вы полагаете, что он работает, сообщите об этом в bugzilla.
ключ отсутствует: пакет еще не тестировался в вашей архитектуре. Попросите группу портирования в архитектуру проверить пакет, или протестируйте его за них и сообщите о своих изысканиях в bugzilla.
package.mask: обнаружено повреждение пакета, нестабильность или что-то худшее, и пакет заблокирован специально.
profile: пакет считается не предназначенным для вашего профиля. В случае установки приложение может вызвать сбой системы или просто несовместимо с используемым профилем.
license означает, что лицензия приложения не совместима с вашей настройкой ACCEPT_LISENSE. Вы должны явно разрешить лицензию или группу лицензий приложения, прописав ее в /etc/portage/make.conf, либо в /etc/portage/package.license. Обратитесь к разделу Лицензии для того, чтобы понять, как работают лицензии.

Я же сказал — man portage. Плюс что-то есть здесь^[link28]. Но, в целом, без хотя бы поверхностного понимания английского Вам будет трудно.

EDIT: Похоже, до этого^[link29] раздела Вы решили не дочитывать, tl;dr?

Внутри /etc/portage вы можете создать следующие файлы:
package.mask, в котором перечислены пакеты, которые Portage никогда не следует устанавливать
package.unmask, со списком пакетов, для которых вы хотите иметь возможность установки, даже если разработчики Gentoo отговаривают вас от этого
package.accept_keywords, где перечислены пакеты, которые должны быть доступны для установки, несмотря на то, что они не подходят для вашей системы или архитектуры (пока)
package.use, где перечислены значения USE-флагов, которые необходимо указывать для конкретных пакетов, а не для всей системы

Но опять таки – как понять, где именно мне отключать мой ненужный sys-apps/module-init-tools

Да не нужно Вам его отключать, он уже заблокирован мэйнтейнерами:

!!! The following installed packages are masked:
– sys-apps/module-init-tools-3.16-r2::gentoo (masked by: package.mask)
/usr/portage/profiles/package.mask:
# Samuli Suominen <ssuominen@gentoo.org> (07 Mar 2013)
# Masked in favour of sys-apps/kmod. Now is the time to file
# bugs against sys-apps/kmod if you have issues with it you
# didn't with module-init-tools.
# Later removal at 01-01-2014 by request from eudev maintainers

Неужели здесь что-то непонятно? Пакет замаскирован в /usr/portage/profiles/package.mask по названным далее причинам. Т.е. это маскировка в профиле портежа, непосредственно со стороны мэйнтейнеров. Вы её при желании и необходимости можете, наоборот, снять, внеся имя пакета в /etc/portage/package.unmask. Но делать этого не следует — через год пакет в любом случае будет выпилен из портежа. Ваша задача, напротив, удалить его из системы с помощью emerge -C — обновление udev тянет зависимостью sys-apps/kmod, но последний не может находиться в системе одновременно с уже установленным module-init-tools. Это приводит к блоку, разрешить который необходимо вручную путём удаления module-init-tools: emerge не может удалить его сам, т.к. считается, что только пользователь может принять квалифицированное решение, принимая во вниманию его знание конфигурации системы.

где на будущее смотреть списки пакетов.

Какие списки? Расстрельные Все пакеты, которые можно установить из портежа? Как я уже говорил, смотрите содержимое /usr/portage. Если нужен поиск по описаниям, то emerge -S в помощь (ещё раз: читайте man emerge!).

Я замаскировал пакеты:
virtual/modutils-0
sys-apps/kmod
sys-apps/modutils
По адресу /liberte/src/etc/portage/package.mask и сборка началась, но вылетела уже с другой ошибкой:

>>> Emerging (4 of 4) sys-kernel/hardened-sources-3.4.7 from liberte >>> Failed to emerge sys-kernel/hardened-sources-3.4.7, Log file: >>> '/var/log/portage/sys-kernel:hardened-sources-3.4.7:20130329-204110.log.gz' !!! Fetched file: linux-3.4.tar.xz VERIFY FAILED! !!! Reason: Insufficient data for checksum verification !!! Got: !!! Expected: MD5 RMD160 SHA1 SHA256 SHA512 WHIRLPOOL * Fetch failed for 'sys-kernel/hardened-sources-3.4.7', Log file: * '/var/log/portage/sys-kernel:hardened-sources-3.4.7:20130329-204110.log.gz' * Messages for package sys-kernel/hardened-sources-3.4.7: * Fetch failed for 'sys-kernel/hardened-sources-3.4.7', Log file: * '/var/log/portage/sys-kernel:hardened-sources-3.4.7:20130329-204110.log.gz' * IMPORTANT: 6 news items need reading for repository 'gentoo'. * Use eselect news to read news items. Failed. Unmounting system directories

Я прочитал ХендБук,а так же мне понравилась детальная статья о Portage^[link30] (может кому пригодится)
Но скомпилировать систему пока так и не удалось.

а можно ли мне использовать autounmask, для размаскировки пакетов при компилировании Liberte?

Он и так включен по умолчанию, но это просто инструмент диагностики. Я так понимаю, имелся в виду --autounmask-write? Я бы этого не делал, но Вам виднее.

Есть же гентушный хинт в духе ACCEPT_KEYWORDS="x86"

В генте два основных типа маскировки. Первый — по ключевым словам (keywords), который применяется к "нестабильным" пакетам (широкая категория в генте, означающая, что та или иная версия пакета недостаточно оттестирована и потенциально может не скомпилироваться, не установиться или вызвать какие-то иные незначительные проблемы). Снятие такой маскировки обычно ничем страшным не грозит, но использовать ACCEPT_KEYWORDS глобально я бы не советовал, если не хочется красноглазить после каждого обновления системы. Лучше добавлять нужные пакеты в /etc/portage/package.keywords по ситуации и на индивидуальной основе.

Второй — жёсткая маскировка в .mask, применяемая к пакетам, способным привести к уязвимости или полной неработоспособности системы. Её можно снять в /etc/portage/package.unmask, но будьте готовы к серьёзным проблемам. Ваши действия по маскировке sys-apps/kmod тоже крайне недальновидны — это не решение проблемы (решаемой элементарно), а её заметание под ковёр. Если каждый раз при возникновении взаимоблокировки пакетов Вы будете обходить её таким изощрённым способом, то загоните себя в угол — получите нерабочую или необновляемую систему.

Emerging (4 of 4) sys-kernel/hardened-sources-3.4.7 from liberte
...
Reason: Insufficient data for checksum verification

Вы устанавливаете ядро из оверлея liberte. При этом ебилд не содержит хэшей пакета для проверки аутентичности исходников. Вы таки уверены, что Вам нужна эта Liberte? Слушайте, если так хотите Генту, Вы не думали поставить нормальную Hardened Gentoo? Там хотя бы не будет подобных сюрпризов.

Ваши действия по маскировке sys-apps/kmod тоже крайне недальновидны — это не решение проблемы (решаемой элементарно), а её заметание под ковёр.

Слушайте, если так хотите Генту, Вы не думали поставить нормальную Hardened Gentoo?

Ну так подскажите пожалуйста, как это сделать правильно и просто.

а по Hardened только как уже установленную Gentoo превратить в Hardened

Gentoo понадежнее будет в плане сборки из исходников.

Гость (11/10/2013 13:18)

Downloading and extracting stage3 and portage snapshots
Testing for required utilities
Testing security labels and user xattrs support
liberte/mkroot: 48: liberte/mkroot: setfattr: not found
Filesystem does not support extended attributes.
Try ext4 with EXT4_FS_SECURITY and -o user_xattr
(make sure attr / libpcap are installed)

Подскажите, что делать.

Filesystem does not support extended attributes.

aptitude install attr – должен устранить ошибку "Try ext4 with EXT4_FS_SECURITY and -o user_xattr".
Дистр нормальный, вот только непонятно, как автор его сборку в рабочем состоянии поддерживать собирается?
Я слаб в Gentoo, но было бы интересно посмотреть на простые реализации сборочных скриптов, которые хотя бы при запуске скачивают свежие пакеты с сервера,а не указанные заранее)
SATtva, подскажи, как считаешь – какие мотивы подвигли автора убрать I2P из дистрибутива? У Gentoo есть какие-то проблемы с Java?

У Gentoo есть какие-то проблемы с Java?

А возможно перенести настроенные конфиги из Liberte в Gentoo, собрав ее самостоятельно?

Встраивание готовых хомяков при сборке системы?

I^[link38] would guess that most browser users do not need true anonymity, however, and are fine with pseudonymity.

В^[link39]ообще, там в интервью много ляпов (например, про i2p, про децентрализованность).

квест еще не доконца пройден но я на верном пути

проталкивать изменения в Tails, выставляя их на суд сообщества.

Не понял вопроса.

можно даже луну мат censored заставить
Кстати пока у меня пересобирается эта поделка пилится клон для личного пользования
Если оно тут кому то нужно запилю обе поделки на гитхабе
Нужно?

Если оно тут кому то нужно запилю обе поделки на гитхабе

Приводить косяки Liberte как контраргументы против Gentoo реально смешно, примерно как списывать всеми любимые прелести Убунты на Дебиан.

Да, с этим я согласен, Liberte это не Gentoo, и общего у них мало.

Ни на один вопрос толком здесь не ответили, пусть и о Liberte.

Ну на LXDM или Razor-Qt

На общие вопросы о резолвинге блоков давались общие ответы. Проблема Liberte в том, что ряд компонентов прибит гвоздями с указанием конкретных версий пакетов, и разбираться вот в этой компостной яме у меня не было и нет никакого желания. (О чём вообще говорить, если даже у разработчика не было желания мэйнтейнить свою надстройку, сложив прибитые гвоздями пакеты в собственный оверлей?) Будь это Гента, то всех этих проблем просто бы не возникло, как таковых.

Пруфы wwwhttps://www.linux.org.ru/forum/security/10194838

Выйди из сумрака wwwhttp://www.dyne.org/software/tomb/

https://lurkmore.to/Р’С%.....BEС…СѓР№

Хмм, приятно удивлен такому оживлению. Особенно, тому, что что-то пилится.
m0fx64, приветствую тебя, отдельно. Желаю успехов в задуманном всем. Как сказали выше о доверии, присоединяюсь – почему-то верю, видимо потому, что говоришь меньше, а делаешь больше. Почитал бегло твой блог – http://m0fx64.github.io/ это старый или ты с 13го года не писал ничего? Если есть – дай ссылку, буду рад почитать. И да – регистрируйся)) А то я Гостей вообще не различаю, иногда хочу спросить что-нибудь, а "не у кого")
З.Ы. Спалил ты себя на другом сайте, а не здесь;) Ну, я думаю, что не найдут, да и не факт, что ФИО реальные)

По поводу i2p – тогда уж лучше в сторону i2pd^[link53] смотреть. Бвстро процесс идет и обещали сразу версию под Linux, как только первая рабочая будет.
m0fx64, ты по поводу софта еще не думал? Есть список примерный того, что хочешь встраивать? Как на счет PyBitmessage^[link54], TorChat^[link55]?
Коль по поводу Tahoe заговорили – ты Tahoe-i2p-install^[link56] не пробовал?

https://gist.github.com/m0fx64/1e065edfbf3f66e6ad3f
Всетаки я решил пройти квест с liberte и по ходу компиляции пилить свою сборку
Эти строки удаляли около 200 пакетов среди которых и portage
https://gist.github.com/m0fx64.....e-liberte-patch-L394^[link57]

не планирую ничего просто делаю!

поиск не мой метод дело в том, что очень многие говарили, что это не возможно, однако я считаю что нет ни чего не возможного, и решил пройти данный квест.
emerge есть в сборке нужно скачать свежий портейж и распакавать его в папку /usr/portage
Еще пришлось убрать из сборки obfsproxy были конфликты с питоном но я думаю тот кто проявит желание пофиксит эти мелочи и поставит то что ему надо
Поддерживать я не буду однако я мог допустить какие то косяки яж не робот, если будут проблемы со сборкой пишите поправлю но не более!
В приоритете будет эта сборка https://github.com/m0fx64/amorse
залил сорцы на гит и готовые образы и их сорцы
https://i.imgur.com/WGpJJGO.png
[iso](http://yadi.sk/d/cCdW1SpCPjPQm)
[ova](http://yadi.sk/d/kL_jN-e4Phwkm)
[src](http://yadi.sk/d/tbdssbULPhvci)

Вы уж там набивайте рейтинги популярности, не опираясь только на советы, привязанные к местным персоналиям. А то больше похоже на промоушн и пиар-компанию. Кому интересно — пусть сами присоединяются. Может будет интересно, тогда и я чего-нибудь скажу. А может и не будет, и не скажу :) Но специально зазывать-то зачем?

unknown, я почему-то более, чем уверен, что это не m0fx64 делает. Ну точнее не его рук дело. Он то как раз не спрашивает ни совета, ни помощи не просит. А молча делает свое дело. Да сам он сказал, что для себя из за спортивного интереса. Это просто те, кому небезразлична судьба дистрибутив. Ну так постараюсь для них и ответить: Господа, когда будет более-менее понятно, куда движется и как развивается дистрибутив, заинтересованные сами примкнут, как правильно сказал unknown. И как я писал несколькими постами выше – примкнут скорее анонимно, потому, что никому не нужно выражать открыто свою симпатию или поддержку того или иного проекта. Да и то – не факт, что примкнут. Из моей картины представления m0fx64 как человека – он отдает себе об этом отчет и пилит себе спокойно, ни о чем ни кого не прося. Вон SATtva пилит себе двиг – на общее благо и в ущерб своему же времени, я что-то не вижу, чтобы все рвались ему помочь в этом.
Проект начинает обрастать сообществом тогда, когда образуется группа людей, заинтересованных в нем. А пока этот дистр представляет из себя несколько десятков строк кода, оптимистичное начало и неплохую концепцию и все. Так что поживем – увидем.
З.Ы. Нетерпеливые доброжелатели и краммерероненавистники – не срите автору. Не надо делать эти кросспостинги на форумах. Будут думать, что это автор делает, а я считаю, что это не так. Вон у Краммерера запостили – тот форум закрыл и эту ветку мониторить стал чаще. Зачем это делать. Нужен дистрибутив – помогите делом а не словом.

Вон SATtva пилит себе двиг – на общее благо и в ущерб своему же времени, я что-то не вижу, чтобы все рвались ему помочь в этом.

С начала года своё время и работа снова отодвинули разработку на задний план. :( Но на самом деле это не тот этап, когда я бы вообще просил кого-то о помощи (по причине, озвученной в анекдоте "Почему нельзя заниматься сексом на Красной площади"). Когда будет прототип, соответствующий возможностям имеющегося движка, но с устоявшейся архитектурой и чистым API, тогда можно будет выпускать в паблик.

Есть вот этот кусок кода https://github.com/m0fx64/amorse/blob/master/chroot которого скоро не будет
И зачем новую тему, когда еще по сути то ни чего нету. Будет первая альфа еще можно.

Gnupg себя не зарекомендовал? Бдут оба убедили :)

А во вражеской среде воткнул юсб и микросд как токен и юзай на здоровье. Хомяк также шифруется и расшифровывается через токен. Заметил врага? выключаем, ломает микросд, ломается за 1-5 секунд
bleachbit сотрет логи SecureDelete ram
Если паяльник в жопу и пальцы в обратную сторону, то ключ вы даже невидели а если и видели то запомнить его нереально
Нет сдкарты пользуютесь паролями? есть патч^[link60] который все стриает но тут нужна выдержка так как opsec утверждают что допроса с пристратием не выдержит ни кто и я с ними солидарен.
Если выдержки нет, то можете расказать, что у вас там еще и специальный пароль есть, который все удаляет, ну дальше уже психология бла бла бла
И в чем разница? Если имеете привязанные профили и используете их на вражеской територии то тут и livecd/USB не спасет так как на допросе с пристратием все врагу ракажите
Если дело касается улик то с предустановленной ситемой в криптокантейнерах без ключей улики добыть не возможно а ключи уничтожены т.е паяльник уже не вариант

1. А враги поверят на слово, что у бэкапов у пользователя нет?
2. Возможно, имелось ввиду, что пользователь не успеет ввести пароль, например при внезапном захвате и/или досмотре при перечесении границ: противник сам снимет бэкапы с носителя и только после этого будет требовать выдачу паролей.

А зачем тут вера на слово если их нет на самом деле?

ctrl + x биндим на скрипт который выполняет cryptsetup -d /dev/sdb2/key luksRemoveKey /dev/sdb1 && halt
Пароль в таком случае вводить не надо (если через токен)

Копии чего? Ключа key.gpg
Зашифрованного контейнера?

У либерти хомяк в контейнере зашифрован в таком случае мама снимает дамп с флехи потом пальцы наружу пароль сказали и все

Проблема у нас обсуждалась неоднократно. Из сравнительно недавнего раз^[link17], два^[link61].

Моё личное мнение на основе анализа теоретических работ: отрицаемость и скрываемость шифрования плохо формализуется. А на практике — это просто набор уловок.

Защиты от модели сильного противника с принуждением к выдаче не существует: или противнику доступен носитель, но недоступен пользователь (сбежал, умер) — тогда криптография работает; если умному и способному к неограниченому принуждению противнику доступен и пользователь, и носитель — тогда противник узнает доступ ко всей информации пользователя.

Есть третий вариант — пользователь уничтожил ключи/пароли к данным, но никакой протокол доказательства этого факта для противника убедительным не будет. Пользователь защитит информацию от попадания в руки врага, но не защитит себя от процедуры насильственного принуждения к её выдаче.

Касаемо tails
https://git-tails.immerda.ch/t.....sdmem?id=1.0-rc1#n32^[link62]
sdmemopts="v" /usr/bin/sdmem "-${sdmemopts}"
скомпильте и проверьте https://www.thc.org/download.p.....re_delete-3.1.tar.gz^[link63]
sdmem -v
Сколько у вас по времени будет вычищаться память? Часок?
https://github.com/m0fx64/amorse/issues/5
Получается они поправили исходники и сделали поумолчанию через urandom?
Где исходник secure_delete который стоит в tails?

s^[link64]dmem is designed to delete data which may lie still in your memory (RAM) in a secure manner which can not be recovered by thiefs, law enforcement or other threats

LUKS....twofish......................... xts-plain64.....................sha512..
dd if=/dev/zero of=/mnt/luks_header bs=1M count=4 cryptsetup luksFormat /dev/sdb --header /mnt/luks_header --align-payload 0 cryptsetup luksOpen /dev/sdb --header /mnt/luks_header test_disk
В таком виде получаем мусор
cryptsetup detached header^[link66]

т.е если я нажимаю ребут или выключение то поумолчанию sdmem не запускается и не чистит память?

до чего додумались другие

/comment78727^[link65]

Как прогресс кодинга?

Уже некоторое время терзает идея по созданию закрытого сообщества для создания документации по анонимности и безопасности.

Разработка на данный момент не продвигается так как есть более важные перспективы на данный момент.
Касаемо закладок предложений не было.

https://github.com/m0fx64/amorse/issues/milestones

Да, да мафия. И я до сих пор склоняюсь к закрытому сообществу, так как потребитель и разработчик совершенно разные вещи, и если потребитель будет писать ахинею, то разработчик и руководитель проекта будут тратить время на чтение бесполезных предложений и коментариев а не разработкой. Код должен быть отрытым. Разработчик должен заниматься своим делом а потребитель своим.
Что бы противостоять предположим компьютерным вирусам нужно наверно уметь самому писать эти вирусы?

Т.е все бросить и пилить сборку, а кормить меня вы будите?
Как только появится время сборка будет пилиться. Пока его нет.

"Лили на землю воду -
Нету колосьев – чудо!
Мне вчера дали свободу.
Что я с ней делать буду?"

"Свобода — это состязание, непрестанная борьба, мать всякого прогресса; в ней могут торжествовать только самые способные, сильные люди; слабые же, как вообще в природе, осуждены на гибель. Только сильные могут переносить одиночество и рассчитывать лишь на самих себя. Слабые к этому не способны. Они скорее предпочтут самое тяжелое рабство, чем одиночество и отсутствие поддержки. "

"Когда вожаки революции, руководимые мечтаниями философов, достигли торжества своих гуманитарных идей и начертали на фронтонах зданий слова "свобода, равенство и братство", служившие выражением этих мечтаний, современная наука еще не существовала. И потому эти вожаки без всякого риска встретить противоречие могли ссылаться на первобытное состояние человека, его природную доброту и развращение его обществом; могли поступать так, как будто бы общество — это что-то искусственное, и законодатели могут перестраивать его по своему усмотрению."

Да нет же, уважаемый. Я не сектант, и единомышленники мне не нужны. Я исхожу из того, что все люди – разные. По поводу "остального быдла" – в принципе глупо считать себя выше остальных. По поводу "решать за других" – за детей своих – да, до определенного возраста. За своих сотрудников – да, на уровне "не воруй", "не прогуливай", "не отлынивай от дел" – да. А за других в широком смысле этого слова – никто не в праве. Но тем не менее – равенства не будет никогда при нынешнем строе, а "свободы" во всех ее смыслах и так достаточно много: соц.сети, публичные дома, дыры в законодательстве, и тд. Плохо в РФ – гоу в европы, в штаты – может там лучше. Это не призыв, это к тому – что никто никому и ничего не запрещает. Да, если человек решил выйти на другой уровень жизни – то там и правила другие, и порог вхождения и тд. Не знаю – затроллить ли ты хотел или действительно изложил свою мысль, но скажу так – все, выше тобой описанное является проявлением отсутствия мозга(повторюсь, не про тебя, а про описанные действия). А свои доводы касательно свободы информации я привел. Просто нужно учитывать массовость проявления. А секты – это не массовость, это сброд ущербных и обиженных людей. К ним относятся и некоторые субкультуры, и оппозиция и представители власти, правительство местами и тд.

По поводу "остального быдла" – в принципе глупо считать себя выше остальных.

/comment80522^[link73]

Да, зачётный троллинг с разводом пользователя ressa или ещё кого на обобщённо-бытовые темы без этого никак не получится.

Ну толсто же.

В связи с тем что на днях пришли угрозы на публичную почту, чтобы прекратить активность было решено совместными усилиями востановить дело данного товарища m0fx64 и постить свои идеи и их реализации.

В связи с тем что на днях пришли угрозы на публичную почту чтобы прекратить активность, было решено совместными усилиями востановить дело данного товарища m0fx64 и постить свои идеи и их реализации.

Собирай сам отсюда^[link77], и для обсуждений Liberte – есть^[link78] соответствующая тема.

Попробуйте добавить флаг modemmanager^[link79]

Когдато оно было за TAILS потом за Liberté_Linux потом за Whonix и т.д?

raspberry pi wwwamorsePi wwwPORTALofPi ===> 3g модем ===> [tor,cjdns,vpn,dnscrypt] ===> [amorse,replicant,android]

Но тут так же есть право выбора использовать их по отдельности.

использовать tomb.
Если найду сорцы 7.1а

Очень надеюсь что к концу сентября, очень мало свободного времени.

raspberry pi wwwamorsePi wwwPORTALofPi ===> 3g модем ===> [tor,cjdns,vpn,dnscrypt] ===> [amorse,replicant,android]

Чтобы быть лучше, нужно хотя бы иметь виртуалки, на которых настаивает Whonix. Без виртуалок это будет принципиально проигрышная идея.

Или автор предлагает распространять также бинарные сборки?

то домхозяйка знать не будет