Правдободное отрицание, такое правдободное… Это прокатит при честном судебном расследовании. При въезде в страну вас могут просто не пустить, сбэкапить весь ваш диск на всякий случай и попросить спецслужбы повнимательнее приглядеть за вашим трафиком (времена и места выхода в сеть, объём скачанного), поставить на слежку все ваши перемещения, контакты и пр.

Именно так и советуют делать в EFF:
Defending Privacy at the U.S. Border: A Guide for Travelers Carrying Digital Devices^[link1].

(правда, unknown где-то кидал ссылку на то, что можно так покрасить его блёстками, что вскрыть, не оставляя следов, будет невозможно).

«взять и за сутки скачать»

/comment81977^[link7]

Доведите до ума по максимуму сначала сами, чтобы исключить упование на obscurity, затем публикуйте, если считаете, что это стоит того. Может удасться толково перевести на английский и протолкнуть идею в мэйнстрим Debian.

1. Ставим Debian штатно как есть с криптами и т.д. на посторонний диск.
2. Грузимся с постороннего диска, создаём нужный initrd, пишем его на CD-диск или ещё куда там надо (флэшка, например, — зависит от того, с чего планируете грузиться).
3. Затираем^[link12] целевой диск, после чего он превращается в тыкву диск без разделов и без сигнатур.
4. Устанавливаем Debian на бессигнатурный диск: после загрузки инсталляционного диска дропаемся в шелл, создаём plain mode раздел размером на весь диск, внутри него можем создать ещё один LUKS-раздел на весь диск, который, в свою очередь, разбить на LVM-тома (которые также могут быть шифрованными или нет); после создания нужных устройств, они будут распознаны и подцеплены инсталлятором автоматически.
5. Грузимся с CD с записанного initrd, в загрузчике указываем опции типа cryptopts="cipher=... hash=... size=... source=... target=...".

Бессигнатурка-лайт

Оглавление

1. Факты о загрузчиках
2. Эксперимент
   A. Инсталляция
   B. Вариант с однопроходным решением
   C. Вариант с двупроходным решением
   D. Загрузка с флэшки как есть
   E. Загрузка с флэшки с указанием опций загрузчику на лету
   
3. Мысли и вопросы общего характера

Факты о загрузчиках

1. grub (deprecated) и grub2 (трахотень) — это без комментариев.

2. lilo — классика, но всё ещё живая и поддерживаемая. Прост в настройке, но требуется реинсталляция на каждое изменение конфигурации. Дружит с любой ФС, в принципе, но с FAT его вроде не используют особо...

3. Семейство syslinux: isolinux ставится на CD, syslinux — на FAT, extlinux — на ext*. Загрузчики просты настройке, не требуется реинсталляция при смене конфига [если из текстового редактора на другой системе поменять конфиг, то lilo работать не будет, а syslinux (и все его разновидности) будут].

Эксперимент

Инсталляция

1. Грузим инсталлер в expert mode.

2. Когда инсталлер предлагает свои компоненты, обязательно выбрать rescue shell и криптомодули.

3. Перед детектом дисков (в меню есть такой пункт) переключаемся в rescue shell, создаем привязку без LUKS — что-то типа:

   # cryptsetup --use-random -c aes-xts-plain64 -s 512 -h sha512 \
   create PRIVYAZKA /dev/sda

   LVM делать руками в rescue shell не надо — интерфейс инсталлятора Debian'а прекрасно сам с этим справится.

4. Дальше Debian увидит криптораздел (/dev/mapper/PRIVYAZKA) и исходный (/dev/sda). На исходный лезть не надо, а на крипторазделе создаём таблицу разделов вида loop (этот вариант соответствует случаю «нет никакой таблицы, т.е. таблица разделов на устройстве не нужна»; ничего не выбирать в инсталляторе нельзя — он требует какой-то вариант).

5. Через инсталлятор на крипторазделе создаём физ. тома для LVM и идём далее по стандартной схеме конфигурации. Короче, всё это делается юзер-френдли, кроме самого первого вызова cryptsetup.

6. Если делать таким макаром, то Debian не догадывается, что нужно поставить cryptsetup. Следовательно, в initrd его не будет. Чтобы такого не вышло, надо перед finish install зайти в консоль и сделать следующее:

   # chroot /target

   (это переключение в поставленную FS)

   # apt-get install cryptsetup

   Т.е. того, что мы выбрали crypto tools на самой первой стадии, ему недостаточно. Итак, после этого initrd само перегенерится и запишется куда надо (поэтому boot во время инсталляции тоже должен быть подмонтирован куда надо — на ту самую подмонтированную флэшку, см. выше).

7. initrd генерится с использованием хуков cryptsetup. Логика у него, видимо, такая: проверяется /etc/crypttab на предмет наличия криптораздела (ему хочется записать дефолтные опции cryptsetup'а для раздела в initrd). Однако, в нашей схеме в crypttab'е ничего нету, поэтому он просто выдает варнинги. Соответственно, initrd у нас теперь вообще ничего не знает про наш криптораздел, хотя инструменты для его подключения есть. Опции из crypttab нужны только для разделов с plain dm-crypt, а если у нас LUKS, никаких опций в initrd не будет, т.к. они сидят в самом хидере LUKS-раздела (при генерации initrd хук cryptsetup'а прописывает туда опции cryptsetup'а для всех разделов, где не LUKS, а берёт он эти опции из crypttab). 100%-гарантию дать трудно (для этого надо все скрипты просмотреть), но вроде все конфиги пишутся в conf.d внутри initrd. Содержимое можно посмотреть, распаковав initrd:

   # mkdir some_dir; cd some_dir; zcat /boot/initrd_... | cpio -ivd

   (смотрим в файл conf/conf.d и в resume в conf.d). Чтобы ничего лишнего не утекало в initrd (могут утечь, в том числе, UUID'ы), нужно: не включать своп (в обсуждавшемся варианте в resume может утекать имя логического тома со свопом, хоть и без UUID'а, типа RESUME=/dev/mapper/vg-swap). Итог: если делать вариант plain mode → LVM, и без свопа, то initrd будет чистым. В общем, включается ли cryptsetup+скрипты в initrd, определяется только одним — стоит ли пакет cryptsetup, а стоит ли пакет — зависит от того, включили ли мы криптотома в Debian'овском инсталляторе. Поскольку мы всё делали вручную, то по дефолту он не стоит.

8. В результате экспериментов initrd выходит совершенно штатный, но вот сам набор файлов на диске — нет [будет видно, что его изменяли спецом(?)]. Может быть вариант, что по отсутствию опций можно будет догадаться, что использовалась нестандартная схема шифрования (по отсутствию опций и наличию cryptsetup'а). Впрочем, не сказать, что это уж так нестандартно: достаточно иметь нешифрованный корень и cryptsetup в какой-то обычной системе при обычной инсталляции (к примеру, он может быть нужен для где-то имеющегося шифрованного /home/ — возможно, даже на ином диске) — для такой конфигурации initrd получился бы ровно таким, как у нас сейчас.

9. Диск с загрузчиком без параметра root тоже очень подозрительный — лучше указывать обманку «root=...». Это касается собственных загрузчиков. Что же касается штатных, то в типичных Live CD и в Rescue CD используются другие initrd (в них просто тупо написано root=root-fs, и всё). Короче, статикой можно зашить root=/dev/sda1 — достаточно того, чтобы при загрузке можно было стереть/переписать эту опцию. Кстати, параметр root надо указывать (не обязательно статически) при загрузке в любом случае — параметра lvm недостаточно. Если грузимся с сидюка, то там, как правило, будет isolinux, и его можно легко редактировать.

10. Тут есть ещё один нюанс: lilo передает ядру параметр root=путь_к_lvm_тому_с_рутом, что тоже утечка), но никто не мешает поправить lilo.conf и перезаписать lilo так, чтобы root руками указывался при загрузке. Впрочем, в перспективе весь этот носитель с lilo не нужен, а в новом загрузчике можно в конфиге прописывать всё, что угодно (или ничего). Вообще, lilo хорош тем, что там все проблемы правятся в одну строчку и с предсказуемыми результатами (это так во всех олдовых загрузчиках и даже, кажиесь, в grub1).

11. lilo очень умный — параметры дописывать умеет при загрузке, а отрезать — нет. Впрочем, если в командной строке загрузчика указать несколько опций root=..., то будет использована последняя. Таким образом, схема с «root=обманка» будет работать и с lilo — просто надо будет еще один root=... указать, который перекроет исходный.

12. isolinux плотно не тестировался.

13. Загрузка со штатного Debian rescue CD ещё не тестировалась, но поидее (в силу озвученных в тексте аргументов) должна работать.

Вариант с однопроходным решением

Вариант с двупроходным решением

Загрузка с флэшки как есть

1. Если загрузчику не указываем никаких опций, он ругается на то, что root fs не найдена, и вываливается шелл (запуск шелла, если root fs не обнаружена — абсолютно штатное поведение).

2. В шелле руками подключаем криптораздел, запускаем LVM и активируем тома (из всех LVM-тулзов в initrd присутствует только сам lvm, поэтому запускаем команду lvm и оттуда подаем команды типа vgscan и lvchange).

3. Выходим из шелла, после чего загрузка идёт штатным образом. Простейший квест пройден.

Загрузка с флэшки с указанием опций загрузчику на лету

cryptopts=source=/dev/sda,cipher=...,hash=..,size=...,lvm=1

Мысли и вопросы общего характера

1. Надо ли делать plain mode → LUKS → LVM, или достаточно plain mode → LVM? Пароль на plain mode будет несменяемый, зато пароль для LUKS можно всегда сменить, поэтому, если первый в неудачный момент утекёт атакующему, максимум, что потеряем — отрицаемость (атакующий доберётся до внутреннего LUKS-раздела на весь диск, но не сможет его открыть). С другой стороны, LUKS-хидер критичен к bad block'ам, поэтому желательно сделать его бэкап и где-то хранить, но где, если весь диск им зашифрован? Только на ином диске с аналогичной системой шифрования. Возможно, такие трудности того не стоят? В любом случае, внутри всё равно будет LVM, и каждый LVM-раздел при надобности можно дополнительно пошифровать LUKS'ом.

2. Диск, на котором кроме загрузчика ничего нет (даже если он штатный), выглядит подозрительно.

3. Минимальные требования к загрузочному носителю: нам даже iso'шка не нужна, достаточно иметь копию boot-раздела на ФС и любой вменяемый загрузчик (в смысле поставленного пакета) [lilo, extlinux/syslinux/isolinux (если болванку не жалко) и даже grub (если не лень)] на Live CD/USB. Заметим, что в Debian rescue Live CD есть и lilo и syslinux, и даже grub1. В Debian'е стабле ядра меняются редко, и может быть такое счастье, что версия ядра+initrd на Debian rescue livecd (штатная штука, предоставляется на сайте официально) подойдет для нашей системы.
   
   Впрочем, как оно будет дружить с обновлениями, и не рассинхронизируется ли однажды (после обновлений) совместимость — это вопрос. Самому apt-get'у на всю эту внутреннюю кухню пофиг, но на это реагируют всякие postinst-триггеры от определенных пакетов, так что при реконфигурации загрузчика могут начаться нюансы. В частности, хуком на kernel-postinst стоит переустановка lilo (в нашем тестовом случае там указано, что mbr надо пихать на реальную подмонтированную флэшку, но если её не будет, lilo просто поругается [впрочем, это можно проверить]). Можно играться с фиктивным boot'ом, но он должен будет очень сильно смахивать на натуральный: т.е. должно быть псевдоустройство, куда lilo сможет лезть (например, файл, подключенный через loop), а просто /boot как часть корневой ФС ничего не даст (подмонтированного /boot для хранения конфигов будет недостаточно). Грубо говоря, в lilo.conf прописано битым текстом «mbr писать на такое-то устройство».

4. Использование lilo в XXI-ом веке уже само по себе подозрительно — isolinux на CD смотрится куда естественнее.

Кощеева смерть

|-----------------------------------------------------------------|
| Plain cryptsetup (для бессигнатурности всего диска)             |
| |-------------------------------------------------------------| |
| |* LUKS (для возможности 1) менять пароль на весь диск и *****| |
| |* 2) быстро его весь затерирать) ****************************| |
| |*|---------------------------------------------------------|*| |
| |*|                                                         |*| |
| |*|  LVM Volume Group (чтобы уметь стирать системные        |*| |
| |*|  разделы при их загрязнении: всех их и только их)       |*| |
| |*|                                                         |*| |
| |*|  |---------------------------------------------------|  |*| |
| |*|  | Logical Volume root                     | Other   |  |*| |
| |*|  | --------------------------------------| | Logical |  |*| |
| |*|  | |*LUKS (он шифрует всё системное) ****| | Volumes |  |*| |
| |*|  | |*|---------------------------------|*| |         |  |*| |
| |*|  | |*|  LVM Volume Group "root"        |*| |         |  |*| |
| |*|  | |*| |-----------------------------| |*| |         |  |*| |
| |*|  | |*| | Logical | Logical |(etc) ...| |*| |         |  |*| |
| |*|  | |*| | Volume  | Volume  |...      | |*| |         |  |*| |
| |*|  | |*| | for     | for     |         | |*| |         |  |*| |
| |*|  | |*| | /root   | /       |         | |*| |         |  |*| |
| |*|  | |*| |-----------------------------| |*| |         |  |*| |
| |*|  | |*|---------------------------------|*| |         |  |*| |
| |*|  | |*************************************| |         |  |*| |
| |*|  | --------------------------------------- |         |  |*| |
| |*|  |-----------------------------------------|---------|  |*| |
| |*|                                                         |*| |
| |*|---------------------------------------------------------|*| |
| |*************************************************************| |
| |-------------------------------------------------------------| |
|-----------------------------------------------------------------|

# cryptsetup -c aes-xts-plain64 -s 512 -h sha512 plainOpen DEVICE NAME

# cryptsetup -c aes-xts-plain64 -s 512 -h sha512 create NAME DEVICE

Разбиение на диски и крипторазделы там всегда было отвратным. Там есть возможность выйти в консоль и сделать всё вручную, но раз в несколько лет плевался и как-то методом тыка добивался нужного от обычного инсталлятора.

Кстати, LILO может плохо понимать навороты с томами, он для минимализма в духе старых систем, безо всяких (крипто)томов. Конечно, всё решает рамдиск, но в него из grub.conf передаются какие-то UID'ы.

I^[link17] have therefore modified cryptsetup initramfs hooks to only include cryptsetup in the initramfs when necessary. I have tested multiple combinations (конечно же, такие вещи не стоит документировать — пусть все выясняют правду методом проб и ошибок) and here is a small summary:

No cryptsetup in initramfs, when:

• no encrypted devices present
• non-rootfs filesystems are encrypted (e.g. /var/lib is encrypted)
• swap is encrypted with random key file (i.e. non-persistent encrypted swap)

cryptsetup is in initramfs, when:

• rootfs is encrypted ( '/' )
• swap is encrypted with a passphrase / key-file (i.e. can unlock & resume from hibernate)
• CRYPTSETUP='y' option is specified in /etc/initramfs-tools/initramfs.conf

The last provision is for the case where one wants to generate an initrd on this machine, which will then be transferred to boot something else.

cryptsetup (2:1.4.3-4ubuntu4) saucy; urgency=low
 
  * debian/initramfs/cryptroot-hook:
    - Do not unconditionally include cryptsetup utils in the initramfs.
    - Do not include any modules or utils in the initramfs, unless
      rootfs/resume devices are encrypted or CRYPTSETUP is set to 'y' in
      the initramfs.conf configuration file.
 -- Dmitrijs Ledkovs Mon, 10 Jun 2013 16:25:46 +0100

1. Gentoo Rescue CD оказалось негибридным и поэтому с флешки не грузится, надо колодовать с isohybrid. XXI-ый век на дворе, ага. Кого сейчас заинтересушь гибридными CD? Флешки появятся только через 10 лет у людей. Про то, что большинство современных ноутов уже поставляются без CD-приводов, авторы не подозревают.
2. Официальный Debian LiveCD меня умилил и я опять вспоминал /comment53852^[link18]. Линукс как был петушьём на фоне BSD, так и им и остался. Что курят пидорасы, у которых в 200 MB iso (lxd) влазит графика, десктоп, фреймбуфер с наворотами и масса прочей дичи, но при этом в системе нет LVM. Если это не ахуй, то что такое ахуй? cryptsetup-таки есть да. На самом деле, это не предел, я видел жёстче: это когда на хостинг устаналивают Gentoo с ядром, в котором не работает iptables, потому то сборщики-дистростроители решили, что conntrack в ядре нахуй не нужен.
   
3. Инсталляционный LiveCD примерно такой же, как Live — сексуальная ориентация от смены CD не меняется. Номинально можно выбрать, какие tools подгрузить с CD в инсталляторе и попасть потом в rescue-шелл, где всё должно работать. cryptsetup там есть, номинально запускается и даже запрашивает пароль. Казалось бы, уже нет места для подставы, что ещё можно придумать? А вот шах вам и мат: можно. После ввода пароля он говорит, что модуля device mapper'а я в ядре нет! Не знаю уж, как там с LVM обстоят дела, но факт остаётся фактом: оффлайновый инсталляционный Debian CD бесполезен и не содержит возможностей cryptsetup. Как же тогда работает, спросите вы? А очень просто: перед этим можно опционально выйти в детекцию сетевых настроек, а потом настроить саму сеть. Никаких предупреждений на счёт того, что после этого что-то подгружается из сети нет! Но нужные модули у ядра откуда-то появляются. Короче, инсталлятор с «содержимым тулзов на CD» — просто наибалово. Эти тулзы реально не грузятся с CD. В лоб файерволлом не тестил, но уверен в этом на 90%, т.к. не вижу никаких иных объяснений.

1. В загрузчике (конфиг grub) указываем rootdelay=0
2. В initramfs выполняем штук 5 команад.
3. Делаем exit и система грузится, как ни в чём ни бывало.

При любых обновлениях ядра вам на флэшку надо будет скопировать только system.map, initrd, vmlinuz и config. Сам grub обновляется редко. При его обновлении надо будет пересоздать флэшку заново по этому черновику, так что править там конфиг всё-равно придёться заново, благо одна строчка, а если иметь его бэкап, то всё ещё проще — часто после обновления grub diff'ом можно сравнить бэкапы, выдернутые в разное время из /boot и убедиться, что там ничего не поменялось.

Там всё ещё хуже. Обратитесь по дорогой платной корпоративной техподдержке к кому-нибудь типа Оракла, MS, Intel, IBM и пр. с вопросом чуть сложнее, чем «не туда ткнул мышкой». А если ещё с какой-то нестандартной штукой, которую 99.99% пользователей не настраивает, то будет вообще цирк.

А вот этого в коммерции категорически нельзя, специально обученные люди будут говорить по всем каналам связи с пользователями «всё хорошо, прекрасная маркиза». Там надо лицемерно врать, да. Но насчёт ответственности даже с крупными денежными контрактами — вы преувеличиваете, все риски у крупных компаний учтены и покрыты заранее. На мнение особо упрямых клиентов им пофиг («ваше мнение очень ценно для нас, спасибо, что сообщили»), порушить их репутацию почти ничем нельзя.

Специалисты тоже могут нихрена не решить проблемы с дорогущим оборудованием, можно собачиться с компанией, а можно плюнуть и найти решение почти как в опенсорсе, а не ждать пока там компания включит это в свою официальную документацию.

Там масса примеров такого же абсурда, внутренней бюрократии, плохой организации, наказания невиновных и награждения непричастных. И такие вещи некорректно сравнивать. Вы с поставщиками дистра — не одна компания, вы же пользователь, а не разработчик.

Я кстати упоминал ранее, что когда-то шифрования в ядре и утилитах для работы с диском не было (не говоря уже о возможности это завести прямо из инсталлятора, как сейчас). Всё это пропатчить, пересобрать рамдиск, переделывать при обновлениях — был тот ещё геморой. Аналогично не было штатной поддержки подписей пакетов, но можно было самому написать скрипт, который их выкачивает без установки, сверяет все суммы с подписью и не ставит, если что-то не так. Сейчас часто не хватает сил и времени поддерживать что-то из нестандартных настроек, иногда проще склониться к выбору в пользу изкоробочности, пока это не поддерживается штатно. Т.е., если возможность доработки напильником есть, но она слишком сложна для пользователя, то дистростроитель в большинстве случаев в этом не виноват.

П^[link21]о теме есть устаревший материал: Uwe Hermann: Towards a moderately paranoid Debian laptop setup^[link22].

Disconnect your laptop from any kinds of networks. Pull all ethernet cables. Disable WLAN (via hardware killswitch). Disable Bluetooth. Disable/remove Firewire, USB, serial, whatever.

Get the most recent Debian-installer ISO image (currently etch-beta3), as well as the MD5SUMS and MD5SUMS.sign files:
wget http://cdimage.debian.org/cdim.....ng-i386-binary-1.iso^[link23]

Здесь был гипероффтоп^[link24]. Пусть он будет там^[link25].

Патчи к пунктам^[link4] про общую (неупрощённую) схему бессигнатурки

Раз загрузочный носитель всё равно затирается:

Снова подсоединяем MicroSD-карточку. Затираем её.

можно на него помещать как скрипты для автоматического монтирования дисков, так и LUKS-заголовки к ним:

... П^[link30]роще хранить заголовок LUKS'а в каком-то третьем устройстве в файле, тогда бессигнатурность будет иметься изначально и штатно, а подключаться такие тома будут одной простой командой.

Т.е. аутентичный режим plain mode нужен только при шифровании образа загрузчика. Этот образ нужно будет при каждой загрузке расшифровывать вручную из-под того или иного LiveUSB и записывать на флэшку/карточку.

Но:

З^[link16]агручику lilo плохеет, он вываливается в командную строку, но если там всё пдключить, то через некоторое время он-таки добирается до нужных разделов и ОС запускается(!).

Установка проходит штатно, но поддержка графики так и недостестировалась: после apt-get update и apt-get upgrade ядро так обновилось, что больше ОС не загрузилась. При старте системы на ранних стадиях загрузки ядро стабильно падает в панику, и ничего не помогает.

Т.е., похоже, всё было не так. С lilo загрузчик установился сразу, всё работало, но система не пережила upgrade. С grub2 загрузчик штатно нормально не поставился, понадобились ручные фиксы, но зато после этого система стала нормально штатно апгрейдиться/апдейтиться.

Можно было бы тщательней поковырять вариант с lilo, но непонятно, насколько он считается штатным и поддерживаемым в Debian. К примеру, правильно ли он фиксится/апдейтится (как grub2) при установке гипервизора Xen и dom0-ядер Linux?

Каждый городит пример в меру своей испорченности...

Это как один из вариантов.

В таком случае нужной отрицаемости не получится, потому что сложно сделать универсальный grub для загрузки всего.

С Live-OS грузится только Live-OS. После её загрузки надо вытянуть загрузочный boot-образ (с настоящим grub2 для скрытой ОС) с бессигнатурно шифрованного носителя и записать его на какой-то третий носитель. После этого Live-OS выключается, вы грузитесь в скрытую ОС с этого третьего носителя. Затем вы этот третий носитель отмонтируете и затираете (из-под той же скрытой ОС). Примерно так это выглядит.

Справедливо ещё более сильное утверждение: на VG тоже ничего не заязано. Можно взять корневую ФС, как-то иначе переразбить на отдельные ФС, каждую ФС зацепить на своё LUKS-устройство с иным именем, потом перегенерировать initrd, и всё будет работать.

update-initramfs -u (или ещё с -t, если нужно) с последующим update-grub достаточно умно, чтобы понять, каков стал новый root=/path/to и прописать его в настройках. Однако, ожидаемо, при этом cryptsetup в initramfs не попадёт, требуются хаки.

Похоже, он полностью игнорирует эту опцию из-за каких-то ошибок в скриптах. Вместо того, чтобы разбираться с сотнями строк скриптов, можно применить следующий хак: в /usr/share/initramfs-tools/hooks/cryptroot закомментить проверку условия (строки с if и fi) в

if [ -n "$CRYPTSETUP" ] && [ "$CRYPTSETUP" != "n" ]; then
    setup="yes"
fi

Очевидно, из /etc/initramfs-tools/conf.d/resume. Этот файл можно отредактировать или оставить вообще пустым. Вообще, resume («восстановление») — файл с настройками для свопа, откуда система будет «просыпаться». Если hibernate/suspend не используются, про него можно забыть.

Если без initramfs, то первые две строки не работают. Последняя и другие ей подобные работают, если соответствующий раздел также указан в /etc/fstab.

Не уверен в правильности понимания логики работы этих скриптов, но, по всей видимости, оно работает как-то так: то, что без initamfs, не будет автоматически запрошено на стадии загрузчика. После подмонтирования корневой ФС он смотрит в /etc/fstab и пытается смонтировать ФС'ы оттуда. Если непосредственно это сделать нельзя, он заглядывает в /etc/crypttab на предмет того, можно ли найти нужный раздел, открыв какой-нибудь LUKS-том. Т.е. fstab первичен по отношению к crypttab. Если нечто указано только во втором, запрос на открытие LUKS-тома не поступит. Это ещё видно из того, что он запрашивает пароли по мере загрузки и необходимости (не все сразу).

Точнее, там так: берём /etc/crypttab наподобие такого:

cryptroot /dev/sdX none cipher=aes-xts-plain64,size=512,hash=sha512,initramfs
cryptroot_crypt /dev/mapper/cryptroot none luks,initramfs
rootfs_crypt /dev/VolumeGroup/rootfs none luks,initramfs
var_crypt /dev/VolumeGroup/var none luks,initramfs
NAME1_crypt /dev/VolumeGroup/NAME1 none luks
NAME2_crypt /dev/VolumeGroup/NAME2 none luks

Если в командной строке initramfs подсоединить самый верхний бессигнатурный слой вручную:

cryptsetup -c aes-xts-plain64 -s 512 -h sha512 plainOpen /dev/sdX cryptroot

cryptopts=source=/dev/sdX,cipher=aes-xts-plain64,size=512,hash=sha512,lvm=1

Правда, легко это сделать удаётся не всегда, тут много факторов.

Сделал бэкап системных разделов в tar-файл, потом решил проверить загружаемость, склонировав систему. Создал внешний бессигнатурный слой, внутри LUKS, в нём VG, в её LV, прикрыв LUKS'ом, положил всю корневую ФС. Воссоздавать структуру всех LV не стал, всё кинул в корень; вместо этого отредактировал /etc/{fstab,crypttab}. Первая загрузка шла, естественно, со старым загрузчиком.

Результаты: видимо, всё надёжно встроилось в initramfs, поэтому системе стало пофиг на параметр root=/path/to, передаваемый ядру. Теперь загрузка требует, чтобы имя (target) для внешенего бессигнатурного раздела было тем же (cryptroot¹), имя внутреннего LUKS тоже тем же (cryptroot_crypt), это же справедливо и для названия VG (VolumeGroup). В общем, требует, чтобы всё было по-максимуму таким же.

В initramfs-шелле, к счастью, можно переименовать VG. С недостающими, но так нужными initramfs'у иными LV прокатывает такой трюк: их можно прямо в initramfs-шелле создать, отформатировать под LUKS, но ничего туда не класть. Загрузчику достаточно галочки, что устройство найдено и пароль на него запрошен.² Дальше он передаёт загрузку init'у, где эти фейковые LV всё равно не используются. После успешной загрузки можно сделать update-initramfs -u, update-grub, и всё начинает работать автоматически для новой конфигурации.³

По-видимому, указание опции initramfs в /etc/crypttab — это такой сильный enforcement. С одной стороны, удобно, когда все пароли запрашиваются сразу пачкой, а не размазаны по всему процессу загрузки ОС, но, с другой стороны, подключение initramfs-маунтов будет, что случись, не обойти. Даже если они ему не нужны фактически, он всё равно будет требовать видеть те устройства и пароли на них (к счастью, разруливается фейками).

P.S. Общая динамика процесса положительная: бессигнатурку можно менять, переразбивать, переименовывать, переносить между системами, клонировать, бэкапить, и всё это не так сложно, если приноровиться к ряду глюков и заранее учитывать особенности процесса.

¹ cryptroot — это вроде имя по умолчанию, которое присваивается загрузчиком самому внешнему подключаемому криптоустройству, если его параметр не указан дополнительной опцией (т.е. это не мои предпочтения, а умолчания initramfs). Название шифрованного устройства name после расшифрования обычно в руководствах называют name_crypt, хотя это не обязательно. Непонятно, насколько это конвенционально, но мне встречалось много где.
² Уже не помню, нужно ли нарезать на них ФС. Если нужно, то это в дефолтном initramfs не сделаешь, нужных тулзов там нет, понадобится вторая рабочая система.
³ Вручную в initramfs достаточно будет вводить только одну команду на открытие внешнего бессигнатурного слоя, остальное будет запршено автоматически после exit.

Дело же не только в grub2 самом по себе. Кстати, какую-то часть grub'а можно даже пошифровать, но сути это не меняет. Grub должен загрузить ядро Linux и initramfs-шелл, и ядро и initramfs лежат как файлы в /boot. Эти файлы часто обновляются при обновлении системы, т.к. в ядре то и дело находят какие-то ошибки и проблемы с безопасностью. Ядро нельзя загрузить постфактум после загрузки ОС (хотя что-то такое разрабатывали, пытались сделать, но не знаю в каком статусе эти работы), т.е. система работает на том ядре, которое взято из /boot. Если загрузочный носитель статический и никогда не меняется (а каталог /boot находится именно на нём), значит, придётся работать на системе со старым ядром. Это чревато проблемами. Т.е. даже если бы на постороннем LiveCD или ещё где был подходящий загрузчик с подходящим ядром, это всё равно не решало бы всех проблем.

Загрузка происходит как: grub находит ядро и initramfs с /boot, которые лежат на том же носителе, грузит их в память, загружается ядро и потом шелл с утлитами (initramfs). В этом шелле уже можно подмонтировать любой раздел/том с любого носителя, где лежат корневая файловая система и остальные нужные ФС.

На самом деле всё, что обсуждается в этом треде — безумно сложно. Штатно ничего из перечисленного не поддерживается. Со сменой релиза или ОС любая часть инструкции, как это делать, может внезапно перестать работать. Многое определяется экспериментально, потому что если отбросить пафос, очень мало людей настолько хорошо знают загрузку ОС, чтобы вручную её исправить под нужный случай с максимальными гарантиями, что ничто внезапно не отвалится. Linux вообще слишком сложный, слишком overengineered^[link34], и каждая часть, которая участвует в загрузке, такая же (grub2, к примеру). По каждой такой части есть мануалы на сотни страниц, отдельные сайты, этому посвящённые, это сотни, а то и тысячи опций, и если в это глубоко влезать, вы моментально попадаете в режимы, которые существуют номинально, но реально их никто не тестировал, т.е. много функций из явно заявленных попросту не будут работать. Вы погрязенете в разбирательстве, в поиске причин, в написании баг-репортов, в вычитывании рассылки... Короче, эта волынка надолго.

Много лет назад был шум по поводу m-o-o-t [1]^[link35], [2]^[link36], там хотели нечто подобное сделать. Разработчики пошумели, но так ничего и не сделали (видимо, потому, что это действительно непросто).

Пожалуйста. Если кто-то решает похожую задачу, и вышеописываемые наблюдения ему в этом помогают, могу только порадоваться.

Шифрование /boot на уровне grub2 здесь когда-то обсуждали [1]^[link37], [2]^[link38]. В сети есть мануалы на этот счёт, которые можно поосмыслять [3]^[link39], [4]^[link40], [5]^[link41]. В принципе, эта фича полезная, т.к. ни в какой момент не возникает носителя с незашифрованным ядром и конфигом загрузки, такой штукой стоило бы пользоваться.

Это так называемый Kexec^[link42], в новых ядрах он уже должен работать.

Смысл ответа всё же сохраняется: вряд ли есть какой-то более-менее стандартный/распространённый Live-образ, поддерживающий как шифрованние в grub'е, так и последующее выполнение kexec,^* чтобы использовать сторонний носитель для загрузки скрытой ОС напрямую.^** Тем не менее, в будущем всё может поменяться. Возможно, я чего-то просто не знаю / не понимаю, поэтому сильно зарекаться не буду.

^* Хотя я не знаю, что именно нужно для kexec.
^** А не готовить загрузочный носитель каждый раз самому, записывая туда образ, а потом затирая его.

Пока-что, пройден базовый левел – отработан алгоритм установки системы на неразмеченный хард с бессигнатурным шифрованием с GRUB2 на флешке. Это запускается нормально.

Теперь переходим на второй левел – LUKS внутри бессигнатурного шифрования. Здесь возникла проблема с запуском.

Возьмем crypttab без опций initramfs

cryptname /dev/sda none cipher=aes-xts-plain64,size=512,hash=sha512 cryptname_crypt /dev/mapper/cryptname none luks,cipher=aes-xts-plain64,size=512,hash=sha512

Указываем загрузчику опции на лету

rootdelay=0 cryptopts=target=cryptname,source=/dev/sda,cipher=aes-xts-plain64,size=512,hash=sha512

Система запрашивает пароль на внешний слой, после чего загрузка останавливается.

Если в crcrypttab указать опции initramfs, то не работают опции, заданные загрузчику на лету. Initramfs долго жует и вываливается в шелл с объяснением, что не может найти /dev/mapper/cryptname. Указание в этом месте каких-либо опций в шелл не помогает.

Использование умолчательного имени cryptroot (с/без опции target=) тоже не решает вопроса.

Будьте добры, где искать затык что делаю не так?

Я такой способ не тестировал, но по отзывам от других, всё так и есть. Если внутри бессигнатурного слоя сразу идёт LVM, то запрос пароля можно сделать полностью автоматическим.

Мне не удалось добиться автоматическго запуска для этого случая, т.е. в initramfs вам всё равно придётся вводить какие-то команды каждый раз, чтоб система загрузилась.

Раз это LUKS, шифр и режим уже указаны в заголовке LUKS-тома (в отличие от бессигнатурки), поэтому напишите cryptname_crypt /dev/mapper/cryptname none luks. Дописывать там опции шифра просто бессмысленно.

Так и должно быть. Вы оказываетесь в initramfs-шелле. В нём вы можете сначала проверить, правильно ли вы указали пароль:

cryptsetup luksDump /dev/mapper/cryptname

cryptsetup luksOpen /dev/mapper/cryptname cryptname_crypt

lvchange -ay NAME_OF_YOUR_VOLUME_GROUP

crypsetup luksOpen /dev/NAME_OF_YOUR_VOLUME_GROUP/NAME_OF_ROOT_LV LUKS_ROOT_NAME

Я бы посоветовал вам написать так в crypttab:

cryptname /dev/sda none cipher=aes-xts-plain64,size=512,hash=sha512,initramfs
cryptname_crypt /dev/mapper/cryptname none luks,initramfs

GRUB_CMDLINE_LINUX_DEFAULT="rootdelay=0 quiet ipv6.disable=1"

# update-initramfs -u
# update-grub

В initramfs-шелле загрузчика вы выполняете вручную (если у вас последний Debian):

cryptsetup -c aes-xts-plain64 -s 512 -h sha512 plainOpen /dev/sda cryptname

cryptsetup luksOpen /dev/mapper/cryptname cryptname_crypt

Когда вы дописываете cryptopts=target=... на лету, вы, во-первых, пишете больше букв, чем в команде

cryptsetup -c aes-xts-plain64 -s 512 -h sha512 plainOpen /dev/sda cryptname

Странно, что оно связано. В принципе, можете опустить initramfs в crypttab для первой строчки, где бессигнатурное шифрование, благо оно всё равно автоматически не подключается, но для последующего LUKS (и других LUKS'ов), если хотите добиться автоматики, указывать опцию initramfs нужно. Если готовы всё и всегда подключать вручную, можете initramfs не писать нигде, но я не вижу смысла так делать.

Как вы его назовёте — это ни на что не влияет. Главное — чтоб было консистентно: одни и те же имена в fstab, в crypttab, в конфиге grub'а и в командной строке initramfs'а.

⁴ В принципе, это действие избыточно: если внутри не LUKS, т.е. пароль задан неверно, то последующая команда luksOpen вернёт ошибку. В этом случае можете сделать cryptsetup remove cryptname и повторить команду подключения бессигнатурного слоя.

Спасибо Вам, разобрался. Теперь работает схема: бессигнатурное шифрование->LUKS->LVM. Параметры внешнего слоя задаются руками в шелле, пароль на LUKS запрашивается автоматом.

А на какой способ Вы указывали^[link33]? Моя испорченность толкает меня в плохом направлении?

Какая может быть наиболее эфективная логическая форма для такого затираемого носителя с учетом проделываемых манипуляций?

Поздравляю! У меня к вам тоже вопрос: при инсталляции вы создавали загрузочный носитель с /boot на нём, так? Т.е. указывали в инсталляторе, что сделать загрузочным /dev/sdb какой-нибудь. Система начала сразу с него грузиться? Или вам понадобилось сначала каким-то образом искуственно загрузиться во вновь инсталлированную ОС, чтобы сделать update-grub, реинсталлировать mbr и т.д., что требует полноценного chroot'а с пробросом всех девайсов и системных ФС?

Я имел в виду, что LUKS внутри бессигнатурного шифрования в моих экспериментах был всегда. Внутри LUKS, понятное дело, всегда был LVM. Более простые схемы, на мой взгляд, не удовлетворяют минимальным необходимым требованиям, поэтому я их даже не тестировал, хотя знакомился с результатами других людей. Точнее говоря, более простые схемы я тестировал, но то был не Linux, и там вообще отдельный разговор.

Вам виднее. Когда человек делает явные ошибки в настройке — например, неосознанно ослабляет безопасность (на своём техническом уровне заморочек и неудобств), на это можно указать. Однако, есть более тонкий случай, когда нечто вносится или выносится в/за рамки модели угрозы. Это можно быть, на мой субъективный взгляд, как обоснованно, так и неоправданно. Обычно по мере повышения осведомлённости о том, как легко получить доступ к системе, человек старается учесть как можно больше моделей угроз, даже если нет иных причин считать себя ставшим более лакомой целью для атакующих.

Мне, например, неинтересно копировать то, что уже сделано другими. Куда более интересно (да и актуально) попытаться сделать защиту от того, от чего ещё никто (во всяком случае, массово) не делал. Я стараюсь внести в модель угрозы cold boot и иные способы получения информации с работающего компьютера. До этой новости^[link45] и последующих улучшений^[link46] атаки об этом мало кто задумывался, но сейчас вопросы типа таких^[link47] — скорее, норма (кстати, Tails это умеет [1]^[link48], [2]^[link49]).

Обычно для защиты от cold boot предлагаются разные красные кнопки, физическая охрана помещений и сейфы с детектором вскрытия. Всё это хорошо, но, во-первых, сильно завязано на человеческий фактор, а, во-вторых, крайне неудобно. Для работы с информацией требуется отдельное помещение с контролем входящих, специально оборудованное рабочее место, бункер, что в современном мобильном мире ноутбуков и планшетов обычно реализовать невозможно.

Главное осознание — то, что полнодисковое шифрование само по себе по сути ни от чего не защищает. Точнее, оно хорошо защищает от конкретной угрозы: расшифрования диска, отключенного от компьютера и лежащего в шкафу. Бессигнатурность такого диска даёт некоторую отрицаемость, если ею правильно пользоваться. А бессигнатурность диска, с которого вы постоянно работаете — совсем другое. Ключи на его расшифрование постоянно загружены в оперативную память, да ещё и в развёрнутом виде, который устойчив к потери памятью напряжения и к частичному искажению данных.

Большинство специалистов скажут, что проблема нерешаема: либо вы смиряетесь со сложившимся положением дел, либо строите бункер создаёте охраняемое помещение со всеми нужными атрибутами физической безопасности (заодно и защиту от TEMPEST'а можно предусмотреть). Тем не менее, кое-что бюджетное сделать можно, если вспомнить, что

1. Мастер-ключи в оперативную память можно как загружать, так и удалять.
2. Для надёжного удаления информации с LUKS-раздела достаточно сделать luksKillSlot [и затереть заголовок (опционально)].

Идея простая: мы все файловые системы (ФС) делим на несколько классов:

1. Те, которые неизбежно должны оставаться подключенными, если компьютер работает.
2. Те, которые нужны почти всегда, но не необходимы для работы компьютера и выполнения административных действий (например, юзерский $HOME).
3. Те, которые нужны только иногда (ФС с теми или иными данными).
4. Те, которые нужны крайне редко или требуют особых мер предосторожности.

Каждая файловая система должна быть привязана к своему LUKS. Типичная работающая система содержит подключенными все ФС класса А, класса B и несколько ФС класса C.

• Класс A — это системные ФС (корень, /var и т.п.).
• Класс B — $HOME юзер(а,ов), под которым(и) вы обычно что-то делаете.
• Класс C — ФС с данными, которые могут быть как нужны, так и не нужны — это файлы по работе, музыка, видео, почта, IM, т.е. всё, что угодно. Например, если в данные часы вам нет необходимости проверять или читать почту, зачем держать LUKS-том с почтой подмонтированным? Вы его отключаете, делая luksClose. В случае атаки на зугруженную систему злоумышленник не сможет получить доступ к вашей почте, если только он не узнал ваш пароль каким-то иным способом (TEMPEST, видеокамеры, утечки по акустическим и др. каналам).
• Класс D — это, например, ФС с бэкапами или с приватными PGP-ключами (речь о главных ключах, а не подключах).

Какие принимаются меры для противодействия утечкам? Первая и очевидная — это, конечно, не подключать больше ФС, чем вам нужно в данный момент. Вторая — не подключать ФС, требующие повышенной безопасности, в тех публичных местах, где всё совсем плохо с физической безопасностью компьютера. Третья — время от времени очищать ФС от старых данных. Четвёртая — систематическая зачистка тех ФС, которые являются буферными, и где постоянно возникают непредвиденные данные. На последних двух мерах стоит остановиться подробнее.

Как очистить ФС от старых данных? Представим, что всё хранится на одной ФС: система, $HOME и всё остальное, размер может идти на сотни гигабайт. Чтобы её очистить, надо удалить ненужные данные, отредактировать требующие того файлы, а потом перенести всё оставшееся куда-то на временный раздел. Потом надо сделать luksKillSlot на исходном LUKS, не нём же сделать luksFormat, снова создать ФС и вернуть все данные обратно на место. Нетрудно догадаться, что процедура будет небыстрой. А если конкретный LUKS к этой ФС вообще не привязан, то вместо luksKillSlot придётся перезаписывать весь логический том LVM случайными данными.

Однако, если разобраться, у вас обычно возникает желание подчистить ФС только в каких-то конкретных директориях. Например, это может быть /var, где много всего сохраняется в /var/log, а не весь корень. Мы выносим /var на отдельную ФС, цепляем её к своему LUKS, которая находится на каком-то логическом томе (LV). Теперь при необходимости почистить /var будет быстро и легко. Аналогично на свой LUKS можно повесить корневую ФС. Вообще все группы данных должны находиться на своих ФС внутри своих LUKS, а эти LUKS'ы — на своих LV. Это даёт гибкость. Легко можно удалять данные какого-то типа или просто частично очищать их. Конечно, есть и минусы: чем больше LUKS'ов, тем больше паролей надо вводить на каждый чих и при загрузке компьютера, а чем чаще вы их вводите, тем, при прочих равных, легче их перехватить.

Что касается системных разделов, я остановился на такой схеме: нужны 4 ФС: под корневую систему, под /var, под системных юзеров (root и служебный) и под служебные скрипты с данными. С первыми двумя ФС всё понятно, с остальными могу пояснить. Первое требование — полный отказ от su, sudo и их удаление из системы. Второе требование — работать под рутом нужно из иксов, т.к. только в этом случае легко сделать блокирование всех дисплеев^[link50], где запущены X-сервера и залогинен какой-то из юзеров, по хоткею. Третье требование — не держать ФС, где лежат некоторые скрипты по монтированию и зачистке ФС, постоянно подключенными, поскольку они нужны не так часто и содержат информацию, которая потенциально может ослабить отрицаемость. Далее:

• Создаём LUKS на LV, делаем ФС на нём и монтируем её, например, в /home/home_extra. Делаем домашней директорией служебного юзера /home/home_extra/service, а домашней директорией рута — /home/home_extra/root. Оба хоума юзеров будут на одном LUKS. Кладём туда те данные и скрипты, которые допустимо раскрыть при cold boot. Для остальных скриптов создаём отдельную директорию /home/home_extra/service/extra, куда будет монтироваться отдельная ФС со своим LUKS [такой метод разделения данных^[link51] не слишком безопасен, но в данном случае приемлем].
• На lo запускаем sshd, даём доступ к root-аккаунту для служебного юзера по SSH-ключу.
• После загрузки системы, запускается необходимое количество X-серверов на разных дисплеях. Логинимся в каких-то иксах под служебным юзером, оттуда получаем рута по SSH — так это работает.

Служебный юзер не имеет непосредственного доступа в сеть и не используется ни для чего, кроме редактирования конфигов, доступных ему для редактирования, и работы под рутом. При должной автоматизации при логине в иксы терминал и SSH в рута в нём запускаются автоматически. Ввели пароль в xdm — получили root-консоль. Можно было бы логиниться непосредственно под рутом, но тогда пришлось бы под ним запускать такую сомнительную и дырявую иксовую программу, как xscreensaver, что явно не хотелось. В данном случае всё осталось чистым: терминал, оконный менеджер и xscreensaver запускаются с правами обычного пользователя.

Последнее пояснение — по четвёртому пункту, зачистке буферных ФС. Допустим, мы сделали отдельного юзера для пользования браузером. Из интернета скачивается какая-то информация, сам этот юзер через браузер легко может быть скомпрометирован, а в его $HOME постоянно попадает множество данных, нежелательных к раскрытию. Мы его цепляем на свой LUKS и логинимся в этого юзера в отдельных иксах. Информацию, которая в данный момент нужна юзеру для работы, можно каждый раз под рутом копировать с других файловых систем (к примеру, пароли к сайтам), а потом тут же удалять. Под самим юзером ничего постоянно не храним кроме того, что ему нужно — конфигов браузера, шелла, оконного менеджера и т.п. минимума. Когда этого юзера настроили (при отключенном доступе к сети), его домашняя директория бэкапится на другой LUKS-раздел. Поработали с какими-то сайтами, что-то сделали — удалили домашнюю директорию Tor Browser'а и восстноавили её с чистого бэкапа. Хочется большей чистоты — разлогинились из-под юзера и выполнили скрипт, который удалил все данные в его $HOME и восстановил его содержимое с чистого бэкапа⁵ (перед этим все нужные данные можно перенести на другие «перманентные» LUKS-разделы). Наконец, захотелось полной чистоты с защитой от cold boot — отмонтировали его $HOME, сделали luksKillSlot, luksFormat и восстановили $HOME# с бэкапа. Чтобы этим было удобно пользоваться, пишутся скрипты. Разлогинился, переключился в рута, выполнил одну команду — и через 5 секунд $HOME абсолютно чист, можно снова логиниться и продолжать работать. Очень удобно. По этому же принципу можно регулярно зачищать разделы, где лежат все данные для IM (конфиги, история сообщений). Выполнил один скрипт с luksKillSlot — и всё, никто не восстановит историю переписки. Другими словами говоря, раз нельзя защитить данные, можно хотя бы минимизировать их утечку — при cold boot атаке на систему злоумышленник получит только то, что попало в те ФС после последней их зачистки (а эта зачистка проводится регулярно).

Примерно так это всё может работать. Если потратить время на автоматизацию процесса, работать будет ещё и комфортно и безопасно. Полезно иметь скрипты для проверки статуса системы, которые показывают, какие ФС из не необходимых подмонтированы, какие LUKS из ненеобходимых подключены, какие процессы запущены, что интересного пишется в системных логах. Одна команда, выполняемая время от времени, даёт информацию о статусе системы и происходящем: можно вовремя отключить лишние LUKS'ы и/или вовремя среагировать на инцидент.

Кстати, если хотите поменять что-то в своей конфигурации на то, что здесь выше описано, скорей всего, можно обойтись без реинсталляции: грузитесь в какую-то третью систему, создаёте бэкап корневой файловой системы с помощью rdiff-backup, потом создаёте в своём LVM нужного размера логические тома, форматируете их под LUKS, создаёте файловые системы на них и восстанавливаете туда системные файлы с rdiff-backup. Потом при загрузке можете поменять значение опции root=/path/to на правильное, загрузиться (с проблемами, но обычно можно найти способ, см. выше), отредактировать fstab и crypttab, сделать update-initramfs -u и update-grub (старый образ загрузочного носителя куда-то сохраните на всякий случай). Можно даже добиться того, что у вас будет несколько ОС внутри LVM, и, выбирая нужный образ для загрузочного носителя, вы сможете автоматически грузиться в ту или иную из них.

Общая схема: внутри бессигнатурки на весь диск лежит LUKS, внутри LUKS — LVM (т.е. тоже на весь диск), логические тома которого — тоже LUKS'ы, внутри которых нарезаны ФС. Часть этих LUKS'ов с ФС предназначена для системных директорий, а другая — для прочих юзерских данных.

Я взял cold boot как пример получения доступа к загруженной системе, но всё описанное одинаково хорошо работает и против других атак, приводящих к чтению содержимого оперативной памяти и/или всего диска, начиная с уязвимостей через firewire-порт, через PCI-слоты (чтение ОЗУ) и заканчивая банальным «забыл заблокировать экран, поэтому злоумышленник получил доступ к root-консоли».

Начиналось всё с банальной проблемы типа такой: я иду на работу и хочу, чтобы на работе было доступно/подмонтировано только то, что нужно для работы и её непосредственно касается. Казалось бы, нет ничего проще: устанавливаем вторую ОС, из-под которой будем заниматься только работой. Однако, во-первых, это неудобно (на каждую задачу инсталлировать свою ОС), во-вторых — нет полноценной изоляции (если что-то понадобилось из сервисов/данных с другой ОС, каждый раз перезагружаться?), и, в-третьих, — в рамках самой работы тоже есть данные разного класса, не всё и не всегда стоит держать подключенным/подмонтированным. Т.е., намного удобней иметь единый гибкий своего рода фреймворк, из которого подключением/отключением нужных ФС (LUKS'ов) делать ту конфигурацию, которая нужна в конкретный момент. В идеале в некоторых LUKS'ах стоит держать собственные гостевые ОС, что позволяет убрать доступ к информации об основной (хостовой) ОС и железе, на котором она запущена.

Может быть, физическая, а не логическая? Честно говоря, не понял вопрос.

⁵ Пример скрипта:

#/bin/sh
 
# USER is username of your user. Below replace USER everywhere with
# necessary username: %s/USER/your_username/g
 
our_mount_info=$(mount |grep '/dev/mapper/USER_crypt on /home/USER' \
    |cut -d ' ' -f1-3)
our_mount_target='/dev/mapper/USER_crypt on /home/USER'
 
if [ -h /dev/mapper/USER_crypt ] ; then
    if [ "${our_mount_info:-nonexisting}" = "$our_mount_target" ] ; then 
        if ! ps -UUSER > /dev/null ; then
            if [ -d /tmp/USER ] ; then
                rm -R /tmp/USER && \
                echo /tmp/USER removed
            else
                echo /tmp/USER does not exist, therefore I don\'t remove it
            fi
            set -x
            find /home/USER -mindepth 1 -delete && \
            # EDIT IT:
            rdiff-backup -r now /path/to/backup/USER /home/USER && \
            set +x
            echo ' '
            # Let us see everything together:
            df -h |grep USER && \
            ls -laFh --color /dev/mapper |grep USER_crypt && \
            ls -laFh --color /home/USER |sed '1s/total.*$/ /'
        else
            echo There are processes of USER:
            ps aux -ww |grep -v \"grep\" |grep USER
        fi
    else
        echo USER_crypt is not mounted in proper place
    fi
else
    echo USER_crypt does not exist
fi

Вас читать – как энциклопедию. В очередной раз – спасибо за огромное количество нужной инфы.

В процессе познания пришлось перепробовать разные дистрибутивы. Во-первых, надо было понять их пригодность для моих конкретных целей. Во-вторых, разобраться с логикой работы инсталляторов.

Удалось убидиться, что поняв логику и метод инсталляции конкретного дистра, можно довести установку через инсталлятор до любого желаемого конца в один присест/заход/проход. Зная процесс установки, можно после исполнения инсталляционного скрита, еще до рестарта системы, при необходимости, чрутиться в только-что установленную систему и исправлять нужные конфиги, создавать всякие "инитрамы", итд. (если, например, инсталлятор не умеет дописывать нужное в crypttab/fstab). И система сразу запускается.

Но, честно говоря, сегодня мне уже думается, что самое простое это установить голую систему на отдельный носитель, перенести ее на нужные разделы, полечить нужные моменты через чрут. (О возможных проблемах с безопасностью помним.)

А вообще – да, даже если инсталлятор "сопротивляется", ему все-равно можно "объяснить", что /boot будет на отдельном носителе.

По поводу cold boot, который и меня напрягает. :-) Скажем так, типа proof of concept :-) ?

Ctrl+Alt+F1 $ sudo -s # cd / # service {SomeDesktopManager} stop # sync # umount -av # mount #Смотрим, что отмонтированы /boot, /home и все важное # vgchange -an # cryptsetup luksClose /dev/mapper/{AnyUnusedDevices} # swapoff -av # sdmem -fllv #Wipe свободной памяти # shutdown -h now

sdmem^[link52]

Еще лучше было бы как-то извратиться и позакрывать вообще все устройства и только потом вайпить. Может быть было бы правильно засунуть это в какой-то системный скрипт выключения системы?

Если не ошибаюсь, то на внешнем загрузочном носителе должны быть MBR+GRUB+{содержимое /boot}. Это можно как-то упростить?

Пытаюсь разобраться подробнее с поцессом загрузки. Последовательность загрузки, вроде бы, такая (если с BIOS'ом):

BIOS -> MBR -> GRUB -> итд.

Разве нельзя взять более-менее подходящий Live-CD и воспользоваться опцией из его меню, вроде "Boot from HDD"? Тогда удалось бы избежать необходимости предварительно копировать загрузочные данные на флешку.

По поводу kexec^[link53] есть еще такая инфа^[link54].

Спасибо. Всё описывать с объяснением, что и почему — это надо писать чуть ли ни книгу, но к концу её написания выяснится, что половина надо переделать или улучшить. Безопасность — это никогда не кончающийся процесс, а не состояние. © Практически всё, что здесь описывается, ранее уже озвучивалось разными людьми на форуме, вопрос лишь в сборке этого в нечто связное или в отсылке к обсуждениям, ранее имевшим место.

Возможно:

В^[link55] принципе, если собираете что-то параноидально-кастомное, то поставьте систему с обычным шифрованием, а с неё вручную поставьте на флэшку что нужно. Есть и куча всяких средств для создания своих дистров, клонирования конфигов и пр.

Но если уже разобрались, как лечить бессигнатурку,⁶ это будет немного быстрее.⁷

Могу поэкспериментировать, но я никогда не разбирался с системой завершения работы ОС. Мне казалось, что он не даст отмонтировать системные разделы, либо, если даст, то никакие новые команды выполнены быть не могут, потому что исполнимые файлы были на них. Наверно, это как-то обходится, но не изучал, как. Если системные разделы не отмонтированы и их LUKS'ы не отключены, vgchange -an он тоже не даст сделать. Своп пока что вообще никак не использую.

Эта утилита тут ранее обсуждалась [1]^[link56], [2]^[link57], но у меня она вызывает ряд вопросов.

sdmem is designed to delete data which may lie still in your memory (RAM)

The wipe algorythm is based on the paper "Secure Deletion of Data from Magnetic and Solid-State Memory" presented at the 6th Usenix Security Symposium by Peter Gutmann, one of the leading civilian cryptographers.

Тем временем, вот что^[link58] пишет сам Гутман. Т.е. множественные перезатирания памяти уже давно не имеют смысла даже для HDD,⁸ а для немагнитных технологий записи (SDD, флэшки, RAM) это всё вообще сомнительно. Зачем перезаписывать RAM много раз, да ещё и случайными данными?

Wiping the memory is very slow. You might use sdmem with the -ll option. (tip)

Я так понял, что оно «slow» только потому, что использует /dev/urandom — именно это ограничивает его скорость.⁹ Однако, urandom нужен там, где нужен именно PRNG. Для затирания данных вполне достаточно гаммы шифрованных нулей^[link12]. Вместо того, чтобы играться с числом проходов, автору следовало бы имплементироваать этот способ.

Возможно, я чего-то не понимаю, но всё это очень похоже на то, что автор вообще не удосужился изучить тему, по которой он написал код. А если так, то возникает вопрос доверия и к самому коду.

Да. Штатный скрипт окончания работы, конечно, внешние LUKS'ы не отключает, поэтому есть как шансы, что соответствующие мастер-ключи остаются в RAM, так и шансы, что они не перезатираются при последующей загрузке системы. Если есть возможность, может помочь тотальное обесточивание системы (как вариант, вынуть батарею).

С этим надо разбираться. Если бы у вас получилось это сделать с пониманием, а потом здесь описать, было бы очень неплохо.

LiveCD загрузит grub, а grub должен загрузить ядро, но откуда он его возьмёт? Grub поддерживает LUKS, но не знаю, насколько полноценно. Допустим, grub позволяет подключить бессигнатурно шифрованное пространство на диске и выудить оттуда ядро и initramfs, тогда всё сработает. Для этого нужно:

1. Grub на вашем LiveCD должен содержать cryptsetup. Обычно, как я понимаю, grub устанавливают без поддержки соответствующего модуля.
2. Поддержка cryptsetup должна быть достаточно полноценной, чтобы подключать /boot с того же бессигнатурно шифрованного носителя, где находится и сама операционная система.
3. LiveCD не должен привлекать внимание: он не должен быть самосборным, кастомным, ещё каким-то специфическим.
4. Если всё получится, в нагрузку к тем командам, которые приходится вручную набирать в initramfs-шелле, придётся ещё и набирать что-то в командной строке grub'а.

Мне положительное решение вопросов 1-3 априори кажется маловероятным, поэтому я предложил более реалистичный промежуточный вариант: предварительную запись загрузочных данных на флэшку, но с шифрованным grub'ом.

Этот загрузчик тут не раз обсуждался [3]^[link59], [4]^[link60], [5]^[link61], [6]^[link62], [7]^[link63], [8]^[link64], но я с ним не разбирался, чтоб как-то прокомментировать его полезность для обсуждаемых целей. Во всяком случае, если речь идёт о полноценной замене grub'а, то в пользу последнего говорит то, что он штатный в рамках инсталлятора и системы обновлений (вместе, например, с lilo и syslinux). Если брать что-то совсем постороннее, могут сломаться^[link65] обновления ядра через apt-get upgrade. Конечно, всё можно исправить или научиться делать вручную, но не хотелось бы лишний раз усложнять себе жизнь без реальной на то необходимости.

⁶ Т.е. если устанавливалось сразу на бессигнатурно шифрованный диск.
⁷ Т.е. загрузиться с чего-то, потом выйти в chroot и быстро «полечить» систему.
⁸ Изначально они было нужны из-зза того, что по остаточной намагниченности в лабораторных условиях определялся исходный заряд ячейки.
⁹ Сама скорость записи в RAM очень большая.

Если посмотреть на логи, которые пишутся при выключении системы, то сначала убиваются все процессы, а только потом отмонтируются системные разделы. Пока они не убиты, umount не сделать никаким образом, даже принудительно.

Я так понимаю, в процессе завершения работы ядро получает некий сигнал, переходит на иной runlevel, выполняются определённые скрипты останова, а потом ядро уже само должно прибить оставшиеся LUKS'ы и маппинги. В принципе, это всё задокументировано, можно начать с гугления, man shutdown, man inittab и далее по ссылкам.

Как и все наколеночные абстракции, эта тоже протекает. Рут в этой схеме является единственным пользователем, который может спокойно перебрасывать файлы из одного юзера в другого. Следовательно, информация о файлах остаётся в истории комманд шелла. В некоторых случаях можно нечайно создать^[link66] файл логов screen (screenlog.0) или hardcopy^[link67], т.е. всё содержимое терминала при нечайном нажатии внезапно оказывается на не так часто затираемой файловой системе. Если нужные шеллы screen не закрыть, введённые команды и информация о файлах (какие-нибудь cp -iv file1 file2) остаются в его буфере — можно отмотать несколько экранов в терминале назад и посмотреть. У самих терминалов тоже есть история буфера. Всё это легко может привести к тому, что разделы отомонтированы, пассфраза удалена, файлов нет, но информация о них продолжает где-то висеть и оставаться доступной, даже sdmem против таких утечек бессилен.

Конечно, если каждый раз стирать все временные файлы и разлогиниваться из-под рута, проблема кажется решаемой, но это лишнее неудобство и лишняя завязка на operational security — забыл сделать одно действие из множества нужных или поленился, и гарантированной защиты уже нет.

Видимо, да:

F^[link68]irst, the memory erasure process is triggered at the end of a normal shutdown/reboot sequence. This is implemented by slightly modifying the System V initscripts shipped by the kexec-tools Debian package: the kexec-load initscript, that normally only runs at reboot time, is enabled to run at shutdown time as well. A custom tails-kexec initscript replaces the kexec one in order to support the case when the boot medium is not available anymore at the time this script runs; it also provides an improved user interface more suitable for Tails target users needs. Finally, the standard Debian halt and reboot initscripts are taken over by having the tails-kexec initscript run before they have a chance to be run (implemented with Required-Stop in the LSB headers).

Я не уверен, что безопасную очистку памяти нельзя сделать без kexec. Главное — удалить ту информацию в RAM, которая может содержать какие-либо юзерские данные.

Ещё в тему:

М^[link69]не озвучивали мнение о том, что в Linux'е ядро зануляет фоново оперативную память (так ли это?), что уменьшает опасность утечек при доступе к оперативке постфактум, но насколько быстро идёт процесс стирания для реальных данных после реальной работы (поглядел документ, посмотрел фильм, послушал музыку) — не ясно.

Понятно, что перед выделением памяти юзерским процессам она должна зачищаться, иначе это было бы фатальной уязвимостью, а как выглядит картина в целом — не знаю. По логике вещей если раздел с данными отмонтирован, а ключ удалён, система должна понимать, что никто к этим данным уже не может обратиться, поэтому ими занимаемую область памяти нужно вычищать для выделения другим процессам, когда понадобится.

Он ещё и новые утечки добавляет. К слову о скрытии процессов от других пользователей^[link71] и разделении информации между пользователями: после выполнения sdmem ядро ругается на нехватку памяти, записывая в dmesg список текущих выполняющихся процессов и их параметры, а dmesg и т.п. логи^* по умолчанию доступны для чтения всем пользователям системы.

^* /var/log/{debug,dmesg,kern.log,messages,syslog} — содержимое этих файлов во многом дублирует друг друга.

Хотелось бы вернуться к вопросу загрузочного носителя. Выше говорилось

На внешней загрузочной флешке должны быть MBR+GRUB+{содержимое /boot}. Всех данных от силы пол-гига. В crypttab и fstab указаны UUID-ы, в том числе и загрузочного носителя, поскольку это упрощает практическую жизнь.

Пусть размер флешки 1Г. Копирование каждый раз всей флешки с помощью dd и последующее ее затирание – муторное дело.

Будьте добры, как можно повысить эффективность процедур, но так, чтобы при этом у флешки не поменялся UUID?

Слишком много. На самом деле, их около 60 MB.

В crypttab — нет. В fstab UUID указан только для /boot, но и тут можно поменять на /dev/sdb1, например. А можно вообще эту строчку убрать из fstab, и каждый раз, когда нужно, монтировать /boot руками.

Другое дело — что UUID прописан и в initramfs на той самой флешке, с которой грузится система. В момент загрузки система ещё ничего не знает про crypttab и fstab, ей всё равно. Вот там поменять UUID — да, уже тяжелей. Я какой-то раз игрался, но не получилось. Правда, реальной необходимости его менять нет. Если вы делаете dd, UUID устройства не меняется.

Если изначально использовался компактный носитель для /boot, расширить его потом будет легко. Сузить уже существующий — сложнее, я этого никогда не делал, могу дать только теоретические советы. У меня полное затирание носителя занимает несколько десятков секунд, что вполне можно потерпеть.

Если в теории... могу выдать такие советы. UUID есть у устройств (/dev/sdb, /dev/sdb1) и у файловой системы. grub2 слишком умный. Скорей всего, если хоть один из UUID'ов поменяется, он откажется грузить систему.

Соответственно, есть 2 пути: либо назначать UUID'ы всем устройствам вручную, либо взять готовый образ и переделать его так, чтобы UUID'ы не поменялись. Первый способ более правильный, если получится. MBR можно будет перенести с помощью dd, всё остальное — через стандартные инструменты типа rdiff-backup и fdisk.

Второй способ тупее, но может оказаться проще. Я бы попытался как-то так:

1. Снимаем образ с загрузочного носителя в файл посредством dd.
2. Ищем способы сделать shrink (уменьшить размер) для файловой системы FAT, которая на /dev/sdb1 (но работаем сейчас не с носителем, а с образом). Есть утилита fatresize, но не уверен, что она это умеет. Вопрос в сети обсуждался, гуглите, результаты я после беглого чтения не понял.
3. После уменьшения размера ФС уменьшаем размер (DOS'овского) дискового раздела на флешке. (Процедура аналогично ужиманию файловых систем на LVM: уменьшается ФС, потом ужимается LV, потом ФС расширяется до размеров ужатого LV).
4. Когда всё ужали, как надо, таблица дисковых разделов будет исправленой. Осовбодившееся место можно будет просто выкинуть из таблицы разделов (fdisk).
5. Берём dd и читаем нужное число секторов с образа — чтобы захватить только то пространство, которое адресовано новой таблицей разделов.
6. Считанное число секторов в п.5. записываем в файл — это новый «ужатый» загрузочный образ.

Процедура сложная, тут может понадобиться погуглить, поэкспериментировать, поизучать процесс, хотя заранее понятно, что её сделать можно.

Есть ещё один способ, куда более тупой. Поскольку на носитель записывается и затирается меньше 100MB каждый раз, вы можете затирать не всего его, а только его часть. Затирание, таким образом, будет не столь надёжным, но его надёжность можно будет на каком-то уровне проверить экспериментально — выяснить, меняются ли данные при записи dd в конце носителя (точнее, за тем пространством, которое вы затираете).

Спасибо. Вашей развернутой инфой обязательно воспользуюсь, т.к. назрела необходимось переделки всей системы по практическим причинам. В настоящий момент пришлось воспользоваться самым простым и тупым способом из предложенных:

Копировалось, затиралось и восстанавливалось с помощью dd первых 100MiB данных, которые уверенно включают MBR и /boot (и одновременно помнить цифру 100 просто). Затирание производилось как с помощью /dev/zero, так и с помощью /dev/urandom.

При всех указанных операциях, данные после первых 100MiB не изменяются. Проверялось командой

sudo dd if=/dev/sdb bs=1M skip=100 | md5sum

После восстановления данных с помощью dd, UUID не изменяется, как Вы и указывали.

Читая форум, решил попробовать упростить схему бессигнатурки. Сейчас схема такая: бессигнатурно шифрованный хард, внутри которого LUKS, разбитый на LVM-разделы. Какие чисто пользовательские подводные камни возникнут, если сделать по-другому, как в заметке^[link75] – на харде будет прямо LUKS (с LVM или без, без разницы), заголовки которого вынесутся на внешний носитель, где уже есть MBR и /boot?

Хорошо, но лучше, если вы этот способ будете применять не к флэшкам, SSD-дискам или SD-карточкам, а к обычным HDD-дискам (например, подключаемым по USB), поскольку частичное затирание данных достаточно надёжно (для современных используемых носителей) только для последних. Иначе говоря, если есть HDD, который можно использовать только как загрузочный диск, это хорошо, он и затраться будет быстрее флэшек.

То, что ничего за пределами первых 100MiB не меняется, следует, как я понимаю, из особенностей таблицы разделов, располагающейся в начале диска, и файловой системы FAT. Если бы вместо FAT было бы что-то менее примитивное, скорей всего, как минимум, была бы ругань ОС на обрезанную файловую систему. Не знаю, как NTFS, но типичные UNIX'овские ФС пишут так называемые суперблоки в разных местах ФС при её создании, т.е. нет такого, что за пределами какого-то объёма точно нет служебных метаданных.

Если тёрли нулями какой-то раз чисто для тестов, это ещё ладно, но в нормальной рабочей схеме никогда не затирайте ничего нулями — только рандомом, поскольку нули рушат отрицаемость всей схемы.

Сначала комменты по поводу самой заметки:

It is absolutely NOT POSSIBLE to decrypt the LUKS device without the header because of the SALT in it. No known technology could decrypt the device without the SALT. That’s a very strong cryptographically NOT POSSIBLE. It would take something far beyond quantum computing.

Автор путает тёплое с мягким. Соль, хидер, LUKS — это всё инструменты для вывода мастер-ключа. Если КК будет брутфорсить просто AES как алгоритм, т.е. сам мастер-ключ, ему всё равно, откуда он взялся. Если следовать рекомендациям АНБ^[link76], нужно крутить режимы, а хидеры ни на что не влияют. AES-128 на КК превращается в 64-битный шифр, и это плохо. Чтобы было хорошо, нужно брать AES-256 и 256-битный случайный ключ в качестве пароля. С точки зрения опций, это те самые -c aes-xts-plain64 -s 512 -h sha512.

cryptsetup luksFormat /dev/sda --header /dev/sdb --align-payload=0

Во-первых, автор, кажется, не совсем понимает смысл команды luksFormat. Во-вторых, --align-payload=0 должно нормально заработать только в 1.6.7^[link77], а в более ранних версиях эта опция попросту игнорируется.

luksFormat всего лишь записывает LUKS-хидер на какое-то устройство или в файл. Это устройство/файл потом просто будет проверять введённую пассфразу и выдавать мастер-ключ для расшифрования целевого устройства. Каким будет целевое устройство — абсолютно неважно. Иными словами говоря, на стадии luksFormat можно вообще не указывать, к какому устройству будет применяться создаваемый хидер. Кроме того, одним хидером можно расшифровывать разные устройства (так делать не советуется, но технически это возможно, если разные устройства используют один и тот же хидер, а, следовательно, и один и тот же мастер-ключ).

В принципе, вот это должно бы работать (даже с несуществующим файлом tmpLUKS):

# cryptsetup -q -c aes-xts-plain64 -s 512 -h sha512 --header /tmp/tmpLUKS luksFormat

Рабочий метод есть, и он примитивен:

# dd if=/dev/urandom of=/tmp/tmpLUKS bs=1M count=5
# cryptsetup -q -c aes-xts-plain64 -s 512 -h sha512 luksFormat /tmp/tmpLUKS
# cryptsetup --header /tmp/tmpLUKS luksOpen [устройство] mydevice_crypt

# cryptsetup luksFormat /dev/sdb

# cryptsetup luksFormat /dev/sda --header /dev/sdb --align-payload=0

Я взял 5MB для файла с хидером, что было с запасом, потому что размер хидера может отличаться в зависимости от версии cryptsetup'а. Когда хидер на файле уже создан, его можно ужать до актуального размера с помощью команды luksHeaderBackup:

# cryptsetup luksHeaderBackup /tmp/tmpLUKS --header-backup-file /tmp/pure_header

Идём далее. Следующая команда по ссылке:

# cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 -y --header container.h \
  --align-payload=0 container

С учётом вышеприведённых замечаний она эквивалентна такой:

# cryptsetup -c aes-xts-plain64 -s 512 -h sha512 -y \
  --align-payload=0 luksFormat container.h

Следующие команды:

# losetup /dev/loop0 container
# cryptsetup luksOpen /dev/loop0 --header container.h cont

Это усложнение (первая команда) просто не нужно — cryptsetup сам догадается рассмотреть файл как блочное устройство, поэтому можно писать напрямую:

# cryptsetup --header container.h luksOpen container cont

Теперь вернёмся к самому вопросу. Да, метод правильный и логичный: вместо двойного шифрования просто пользоваться откреплённым хидером. Думаю, его можно было бы класть отдельным файлом в /boot. В крайнем случае, можно было бы создать отдельный дисковый раздел на загрузочном носителе, и класть хидер туда в виде файла (или сам этот дополнительный дисковый раздел использовать как хидер).

Проблемы могут быть только в автоматизации процесса и в установке системы на такую конфигурацию. При установке внешний бессигнатурный слой всё равно создавался вручную (см. пункт 3^[link78]), поэтому отличий не будет — точно так же в командной строке создаём и устройство и хидер. Понятно, что в crypttab инсталлятор вряд ли догадается прописать хидер, поэтому первая загрузка будет в ручном режиме с указанием всех опций cryptsetup'а из командной строки grub'а, но потом можно будет crypttab подправить на нужный — вдруг можно добиться автоматической загрузки и для такой конфигурации? Первая строчка crypttab'а должна быть, думаю, какой-то такой:

cryptroot /dev/sda none header=/dev/sdb2,luks,initramfs

Последнее, на что стоит обратить внимание — опция --align-payload. Если она везде указывалась в версии 1.6.6, оффсет будет всё равно ненулевой (и если не указывалась, то тоже). Потом вы обновляете систему и получаете cryptsetup 1.6.7, где опция трактуется правильно — соответственно, автоматическая загрузка сыпется, всё перестаёт работать. Конечно, указанием правильного значения для --align-payload всё можно будет поправить, чтоб работало, как и раньше, но учтите этот подводный камень — можете в будущем об него споткнуться.

Вижу, что опять задал простой вопрос. :-) Большое спасибо, уже пробую.

Возник легкий практический затык на пользовательском уровне. Если загрузочная файловая система на внешнем носителе всего 100MiB (включая MBR), то в рамках обновления системы не хватает места для обновления /boot. Вижу всего два варианта решения – или перед каждым обновлением ядра увеличивать ФС с /boot на борту и потом умешьшать обратно (проверено с некоторыми диск-менеджерами и разными ФС, работает без ошибок), или размер ФС увеличить перманентно.

Есть еще варианты?

Второй пользовательский затык. Порядок действий: грузимся с Live-CD, записываем загрузочный раздел на флешку с бессигнатурно шифрованного харда, перезагружаемся, делаем плановое обновление системы. Теперь хотим записать обновленный загрузочный раздел с флешки обратно на хард, но не тут то было. В запущенной системе уже имеются подмонтированные разделы с данного харда, поэтому система не позволяет подмонтировать другую область того же самого харда, где хранится загрузочный раздел для флешки. Это означает, что надо опять грузиться с болванки для одной единственной операции.

Как сделать наиболее эфективно, чтобы было поменьше действий?

Если места на самом носителе, используемом как загрузочный, достаточно, никто не запрещает аналогичным образом использовать, например 200MiB вместо ста. Увеличить размер ФС проще, чем уменьшить. Раз вам удалось сжать до 100, почему бы не повторить процедуру для 200? Можно вообще всё пространство носителя использовать как загрузочное, а затирать только начало — вы же сами убедились, что за пределами какого-то числа первых секторов данные всё равно не пишутся.

Не понимаю, зачем вам такие сложности. Какая разница, куда на бессигнатурно шифрованном носителе будет сохранён загрузочный образ? Сохраняйте его просто файлом на какой-либо внутренней файловой системе на нём — именно её вы и должны монтировать с LiveCD, чтобы забрать оттуда образ (снимаете бессигнатурный слой, потом LUKS, потом LVM, потом на какой-то стадии добираетесь до ФС, оттуда выцепляете файл с загрузочным образом и записываете его на временный загрузочный носитель). Можете загрузочный образ хранить хоть в корневой файловой системе: главное — что с LiveCD вы до любой информации на этом носителе можете добраться, где бы и как бы она ни была записана.

После последнего обновления ядра система при загрузке начала подвисать на минуту-две перед тем, как показать меню grub'а (далее загрузка идёт, как и раньше). Пока она подвисает, идёт активное обращение к носителю (что она при этом с ним делает — непонятно). Загрузочный образ без последнего обновления с этого же носителя грузится без задержек. Что они могли сломать при bugfix-обновлении стабильного релиза? Была ошибка в grub'е с обходом пароля, разве что, но в данном случае он не использовался.

Хорошо, что хоть вообще ОС грузится. Эта новость лишний раз подтверждает нестандартность и опасность всей схемы. Например, по этой причине могли отвалиться все обновления ОС: пока проблемы не решишь, пришлось бы работать на необновлённом ядре с дырами.

Ресайз сделал — всё работает, как и описывал. Берём готовый внешний загрузочный носитель, монтируем его в /boot, смотрим размер ФС. Делаем, например, resize2fs /dev/sdb 70M — ужимаем размер файловой системы до 70 MB, этого должно бы хватать. Потом запускаем fdisk -l -u /dev/sdb и смотрим на таблицу секторов. 2048 секторов (1MB) в начале — это MBR + таблица разделов, далее идёт ФС. Возьмём размер раздела с запасом — допустим, 80 MB. Значит, количество первых используемых секторов на флешке будет X=2048+80*1024*1024/512+1 (1 — потому что в fdisk Size раздела почему-то на 1 больше, чем разница между Start и End; возможно, это MBR так учитывается, не знаю). Короче, X-2048 — новый размер раздела в секторах. При редактировании fdisk не меняет ничего в данных, а только редактирует таблицу разделов, хранящуюся в фикисированном месте в начале диска. Запускаем fdisk /dev/sdb, удаляем имеющийся раздел (скорей всего, он один), и добавляем новый с 80 MB места. Первый сектор так же будет 2048, конечный сектор — вводим число X. Потом меняем командой "t" тип раздела на исходный (83 — Linux) и командой "a" делаем разделу bootable-флаг. В общем, это всё. Теперь снова запускаем resize2fs /dev/sdb, и она расширит ФС с 70 MB в точности до нового чуть большего размера — 80MB (там, где просят сделать e2fsck -f, делаем). Флешка готова и урезана, теперь остаётся только снять с неё образ до указанного места: dd if=/dev/sdb of=/path/to/file.img count=X. Получается новый образ, который занимает примерно 81 MB, его можно копировать на загрузочный носитель, когда нужно загрузиться. Правда, если речь о флешках, затирать потом нужно всё равно всё пространство, а не только первые 81 MB.

Были идеи упростить эту процедуру, но они не сработали. Например, можно создать образ, в котором первый мегабайт тот же, что и в /dev/sdb, а на оставшемся месте нарезана та же файловая система. С помощью rdiff-backup туда можно перенести файлы c /boot с сохранением всех атрибутов. Получается вроде бы валидный образ, grub загружается, но потом продолжить загрузку не может, т.к. uuid не совпадает. Попытки на лету убрать UUID'ы в меню тоже не приводят к успеху, т.е. grub'у нужна строго та же ФС, какая была изначально. Кстати, образы дисков можно легко монтировать на лету как mount -o offset=$((2048*512)) boot.img /path/to — loop-устройство создаётся автоматически.

Другая интересная идея — отказаться от использования внешнего носителя при обновлении системы (типа apt-get upgrade), т.к. это, прежде всего, влечёт за собой много лишних действий. Если просто подмонтировать образ носителя в /boot, команды update-grub и update-initramfs -u (иногда ещё надо -t указывать) отрабатывают, но создаваемый образ не грузится — grub слишком умён и прописывает loop-устройство как загрузочное (причём во многих местах) вместо конвенциональных set root='hd1,msdos1' и т.п. Теоретически это можно потом править своим скриптом, но такое решение грязное, а исправлений будет много. Можно ли сделать чище? Оказывается, можно.

Фактически, дело за малым — надо объяснить системе, что некий образ — это реальное устройство /dev/sdb, а не что иное. Может быть, это можно порулить какими-то грязными хаками и симлинками в /dev, но, оказывается, есть простой и изящный трюк — проброс устройств в Xen. Его можно установить, он проапдейтит ядра и таблицу вариантов загрузки в grub, а всё остальное останется, как и раньше — т.е. отличий работы на обычном ядре и на паравиртуальном ядре в dom0 особо никаких нет. Однако, если основная ОС загружена именно как дом 0, появляется возможность использовать утилиту управления домами xl. Xen поддерживает переброс на лету между гостевыми ОС (domU) множества всякого харда — дисков, сетевых и PCI-устройств. Проброс дисков обычно делается из дома 0 в какой-то дом U, однако... в сети есть указание, что никто не запрещает пробрасывать устройства из дома 0 в дом 0. :-) Т.е. мы берём какой-то образ и закидываем его самим себе как новый виртуальный диск.

В VG создаём LV для загрузочной флешки, размер выбираем равным размеру готового образа (ужатого, как описано выше, например) + 2 MB на LUKS-хидер — получается примерно 83 MB (если делать, как выше). Нарезаем на новом LV хидер LUKS, открываем устройство, внутрь через dd записываем наш образ загрузчной флешки. Когда всё готово, перекидываем его самим себе:

# xl block-attach 0 phy:/dev/mapper/DEVNAME_crypt sdb w

# xl block-detach 0 sdb

Это работает. Странно, что хотя 'hd1,msdos1' более не пишется, grub это не смущает. Если подключение (монтирование) /boot и отмонтирование скриптовать, после/перед xl-командами следует сделать паузы хотя бы в 1 сек через "sleep 1", потому что виртуальное устройство появляется/исчезает не моментально.

Кстати, Xen умеет очищать RAM от старых данных перед загрузкой: добавляем опцию

GRUB_CMDLINE_XEN_DEFAULT="bootscrub=1"

# xl dmesg |grep scrub
(XEN) Scrubbing Free RAM: .done.

В рамках работы над совершенствованием системы решил пошагово проверить затирание части флешки^[link80]. Оказалось, что может быть сюрприз. Действия:

1. Затираем флешку

haveged -n 0 | pv -s 4g > /dev/sdX

2. Снимаем с нее хеш, отступив от начала на 100MiB, на которых потом будет партиция

dd if=/dev/sdX bs=1M skip=100 | md5sum

3. С помощью gparted создаем MBR.

4. Повторяем шаг 2...

...и обнаруживаем, что хеши НЕ соответствуют. Оказывается, при создании MBR gparted пишет в конец носителя нули. Проверялось созданием дампа конца флешки

dd if=/dev/sdX bs=1M skip=3919 | hexdump -Cv > check.file

Больше сюрпризов не было. Идем дальше.

5. Затираем флешку, отступив все тех же 100MiB

dd if=/dev/urandom bs=1M seek=100 of=/dev/sdX

6. Снимаем хеш, как во втором шаге.

7. С помощью gparted создаем партицию FAT32 размером 99MiB (gparted резервирует первый 1MiB, наверное в связи с MBR). Проверяем, чтО мы создали (выхлоп команды опускается)

fdisk -lu /dev/sdX

8. Снимаем хеш, как во втором шаге, и убеждаемся, что он не изменился.

9. Экспериментируем с затиранием первых 100MiB и созданием в их рамках разных файловых систем. Этим убеждаемся, что это ни в коем случае не затрагивает остальную часть флешки. Прверялось на

FAT32
ext4
reiserfs
ntfs

Есть умные программы со сложной логикой, предназначение которых — продумывать детали за вас, пользователя. Когда вы используете такие программы, не удивляйтесь, что эти интеллектуальные исполнители ваших желаний продумают детали за вас, опираясь на свою логику и широко экстраполируя ваши намерения на те тонкости действия, которые вы явно не оговорили (явно оговорить не всегда бывает возможно).

Gparted — GUI-шная приблуда к parted, который сам по себе не так прост как кондовый fdisk. Каждый следующий уровень усложняет логику и контроль простых действий. Делайте всё простыми предсказуемыми инструментами — и не будет никаких сюрпризов.

Возможно, там использовалось какое-то выравнивание геометрии, из-за чего конец оказался неразмечен, а потом завайплен нулями. Возможно, конец как-то предполагается использовать в качестве резервного места хранения для таблицы разделов. По вашему описанию ничего похожего в сети не ищется, а своего опыта с parted у меня нет — остаётся только гадать.

Говоря простым языком, ваш комментарий сводится к следующему: при первичном форматировании диска и установке MBR parted зачем-то пишет нули в конце диска, но при последующей работе с дисковыми разделами этого не наблюдается — конец не трогается.

Прекрасно сказано! :-)

Совершенно точно.

А вообще, меня здесь пугают две собственные ошибки:

1. не была сделана пошаговая проверка
2. действие, обеспечивающее безопасность (окончательная рандомизация неразмеченной поверхности флешки, т.е. не подготовительная – перед разметкой, а окончательная – перед началом использования флешки по назначению) должно было быть сделано как последнее

Эти ошибки безопасность не затронули, поскольку, ввиду понятных причин, флешка после бута всегда затиралась полностью и дважды. Т.е. безопасность была обеспечена прямой мерой. Но сам факт, что в таких простых действиях можно жутко проколоться из-за собственной тупости, просто пугает. :-)

Можно было короче:

П^[link81]рограмма перед пользователем должна иметь вид лихой и придурковатый, дабы разумением своим не смущать его

Тупыми легче управлять. Выбирайте тупые программы.

Нет, вы всё правильно сделали. Не должен разметчик диска писать непонятно что непонятно куда. Возможно, это даже баг, но проверять ваши действия у меня нет ни времени, ни мотивации. Ваша ошибка только в том, что взяли вместо предсказуемого fdisk непредсказуемый Gparted.

Эти продвинутые вещи (parted) нужны для GPT-разметки. Если у вас не GPT, а стандартная MsDOS-разбивка, зачем переусложнять вещи? То, что вы проверили неизменность неразмеченного пространства — сделали правильно. Ничему на 100% доверять нельзя.

По правде сказать, я бы на вашем месте, если б использовал fdisk, даже не делал бы таких проверок, потому что сама идея, что fdisk будет писать не пойми чего в конец диска, противоречит всем моим представлениям, да и проверка неизменности неразмеченного дискового пространства для больших дисков может занять много часов.

В будущем их у вас будет ещё много, целый кладезь. Не расстраивайтесь, все через это проходили. Лучше поздно, чем никогда.

Была небольшая проблема^[link83].

Решение простое до безобразия. Сделать второй маппинг на том же устройстве позволяет опция --shared утилиты cryptsetup.

Да. Помимо прочего, есть много глюков, которые решаются созданием дополнительного маппинга устройства через dmsetup (с обычным устройством что-то сделать нельзя, а с его идентичным маппингом – уже можно). Иногда эти сложности обходятся (когда нужно только считать некоторую область, а не записать) банальным чтением нужных шифрованных секторов в файл в /tmp – тогда не понадобится делать лишние маппинги на самом диске.

Лучше не мучиться, а сделать с Xen, как выше описано^[link84], тогда записывать инфу на флэшку придётся только в том случае, когда будете перезагружаться. Самый красивый способ – это обновлять ядро вообще без перезагрузки, что теоретически можно, но не в случае Xen. Xen грузится на "голом металле", а потом грузит хостовую ОС, поэтому эта ОС никак не может обновить код, который запущен приоритетом выше неё. В случае KVM это могло бы сработать, потому что там гипервизор – по сути, просто модуль ядра, а модули, кажется, можно обновлять, не перезагружая ядро. В целом KVM более популярен на Linux и лучше доведён до ума, но у него нет кроссплатформенности в отношении хостовой системы, как у Xen, т.е. поставить вместо неё не Linux или невозможно или крайне проблематично (текущий статус вопроса не гуглил). Гипотетически с KVM можно загрузить любое "начальное" ядро, а потом перейти на любое иное, не перезагружая систему. Допустим, вы загрузились с LiveCD, а потом перешли на ядро с шифрованного диска, а LiveCD вытащили – и всё это без перезагрузки. На 100% не уверен, но, кажется, такое делается.

Я поковырялся немного в скриптах initramfs и приблизительно понял, почему автоматическая загрузка у многих людей не работает. Сами стартовые скрипты в /boot просты для понимания – их при желании можно написать самому под конкретную систему или пропатчить существующие, там не много строк и не сложная логика. Они создаются shell-скриптом update-initramfs, который сложнее, но ещё осязаем. Последний запускает shell-скрипты из initramfs-tools, которые слишком сложны, полны костылей и подпорок. Если включить отладкy set -x во всех используемых системных скриптах, лог займёт около 6000 строк. Разобрать их трудно. В initramfs-tools-скриптах то и дело ссылаются на разные багрепорты и затычки, у них тяжёлая миссия – сделать так, чтобы всё правильно создавалось на бесчисленном множестве конфигураций, плохо совместимых друг с другом. Короче говоря, почему так происходит, и в чём логика – я не понял, но факт налицо: если вы посмотрите crypttab и сравните его с создаваемым на initramfs файлом cryptroot (который фактически есть переписанный crypttab с чуть другим синтаксисом), то увидите, что системный раздел (соответствующий ему маппинг) всегда идёт дополнительно первой строкой, т.е. указывается дважды.

Парсинг cryptroot (можно включить в grub отладку – опцию debug для ядра – и тогда в /run/initramfs/initramfs.debug появится лог, котрый в initramfs-шелле можно прочитать) прост до безобразия: он проверяет каждую строку последовательно, с первой по последнюю. Если предыдущий маппинг создать не удалось, дальнейшие строки cryptroot-файла не проверяются вообще. В бессигнатурном LVM-диске или более сложных конфигурациях первый маппинг – это никогда не маппинг раздела с корневой файловой системой, но подключать маппинги он начинает именно с него. Естественно, ничего не выходит, и по таймауту (который отключаем через rootdelay) он вываливается в initramfs-шелл.

Фикс элементарен – нужно, чтобы маппинг корневого раздела, зацепляемого через fstab на /, не указывался дважды, первый раз из которых – первой строкой. Достаточно удалить первую строку. Можно попробовать вручную^[link85]: распаковываете initramfs (cd dir; gunzip -c /boot/IMAGE | cpio -id), убираете первую строку в cryptroot, запаковываете снова и пишете на флешку (find . | cpio -H newc -o | gzip -9 > /boot/IMAGE). При загрузке rootdelay стоит указать секунд 7-10, потому что диски он детектит не моментально, и если не успеет, вывалится в initramfs-шелл. Если успевает продетектить, пароль на вшешний слой и на все последующие запрашиваются автоматически, и если он введён неправильно, то будет перезапрошен (можете поиграться с параметрами crypttab, опция check).

Есть вопрос, можно ли сделать проще. Как я понял логику скриптов, crypptab переписывается в cryptroot, но ещё дополнительно проверяется fstab, и нужный для него маппинг для корневой файловой системы дополнительно записывается в cryptroot первой строкой.

Если закомментировать строку /etc/crypttab для rootfs, загрузка виснет, пароль не запрашивается. Если закомментировать rootfs-строку в /etc/fstab, лишней строки в cryptroot не будет, система загрузится, но корневая система не будет проверена fsck во время старта системы. Если закомментировать rootfs в /etc/fstab только временно (на момент апдейта системы и выполнения initramfs-update), roots будет проверена fsck, но не сразу и не в том месте, где ожидают этого загрузочные скрипты, т.е. будут писаться предупреждения типа "no such device". Короче, патчить руками initramfs – самый надёжный и простой способ. Стоило бы написать баг-репорт.

Что касается темы топика "Маскировка ввода пароля в cryptsetup", в initramfs-tools-скриптах не трудно найти строки, ответственные за вывод и запрос пароля, их можно поменять на любые свои, но большого смысла в этом не вижу^[link86].

Такой способ тоже работает. Чтобы закидывать файл в initramfs, нужно написать отдельный хук как здесь^[link87] или выполнять свой кастомный скрипт, который перепакует initramfs вручную с нужным хидер-файлом и путём к нему в cryptroot. Системный crypttab в этом случае можно не трогать. Отрицаемость загрузочного носителя с хидерами будет хуже, чем без них – если никакие специфические параметры дисков не указываются в скриптах принудительно, пароль будет запрошен на любой диск, который опознан как, например, /dev/sda, но правильный пароль от неправильного всегда будет отличим: ошибки "неверный пароль на LUKS" и "не обнаружена файловая система или иные сигнатуры на диске, открытом с помощью такого хидера" – разные. Плюсом является то, что все пароли, включая самый внешний пароль на диск, в такой конфигурации сменяемые. Казалось бы, проблему потери отрицамеости можно решить шифрованием самого grub, но это только кажется.

Действительно, есть широко распиаренное мнение (но очень мало хауту под такой случай), что /boot теперь тоже можно шифровать. Однако, это означает не то, что раздел /boot на загрузочном носителе теперь будет дополнительно шифроваться cryptsetup-ом, а то, что /boot можно вернуть на шифрованную корневую файловую систему, и grub сам запросит пароль на эту ФС. Но как он запросит этот пароль, если нужные хидеры тоже находятся там внутри? А если не внутри, то в чём смысл? Юзеру всё равно, кто запросит пароль на диски и корневые ФС: grub или initramfs. Наверно, гипотетически, можно сделать трёхступенчатую систему загрузки: сначала grub запрашивает пароль для plain mode, чтобы подцепить бессигнатурный /boot откуда-то, а потом из /boot грузится initramfs и цепляет всё остальное, как раньше. Количество вводимых паролей увеличится, сложность конфигурации сильно увеличится, а преимущества не так велики по сравнению со случаем, когда хидеров нет вообще. Вероятно, я ошибаюсь, но пока не вижу простых выходов, как улучшить схему за счёт шифрования в grub.

Нет. Можно и так и так. Нешифрованным будет каталог grub. Шифрованным – весь остальной boot с initramfs и ядрами. Меню граба будет выведено без пароля. Пароль будет запршен позже при попытке открыть раздел, указанный в конфигурации выбранной строки в граб-меню. На уровне хауту это описано в хакере^[link88] (Способ там формально рабочий, но кривой, потому что нужно руками вносить опции в конфиг граба. update-grub нужные опции перезапишет при первом же обновлении. Правильно – писать свои хуки с кодогенератором конфига, которые будут читаться при каждом update-grub).

Стандартный grub поддерживает часть функционала cryptsetup (LUKS) через собственные модули. Там нет полной совместимости. Нельзя указать хидер для LUKS и нельзя использовать plain mode – только обычное LUKS-устройство с встроенным хидером. Некоторые предлагают ступенчатую загрузку, когда один grub грузит другой grub с шифрованного раздела, но смысл затеи непонятен.

Есть проект grub-DeLUKS^[link89], который устраняет эти недостатки, но в апстрим его не приняли. Если его установить, выйдет, что загрузчик использует специальный софт для отрицаемости, и эта отрицаемость потеряется. Аналогичная история с обычным cryptsetup – cryptsetup-DeLUKS^[link90].