Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[RISOLTO]installazione root e home criptata
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian)
View previous topic :: View next topic  
Author Message
xveilsidex
Guru
Guru


Joined: 27 Dec 2005
Posts: 370
Location: Bari

PostPosted: Sat Dec 24, 2011 7:08 pm    Post subject: [RISOLTO]installazione root e home criptata Reply with quote

Salve ragazzi vorrei un vostro parere, dato che l'installer di ubuntu offre anche un modo per installare tutta la root in maniera criptata è possibile utilizzare tale meccanismo per installare gentoo ? Oppure dovrei per forza usare la guida del wiki : http://en.gentoo-wiki.com/wiki/DM-Crypt_with_LUKS esiste una versione in italiano di tale documento? grazie dell'attenzione!

Last edited by xveilsidex on Mon Feb 27, 2012 6:52 pm; edited 1 time in total
Back to top
View user's profile Send private message
bi-andrea
Apprentice
Apprentice


Joined: 09 Mar 2010
Posts: 167
Location: cesenatico

PostPosted: Sun Dec 25, 2011 12:21 pm    Post subject: Reply with quote

Adesso non chiedere troppo, da quello che so un OS deve avere la sua partizione e GRUB deve gestire le partizioni, dove si trovano più sistemi operativi...
_________________
Quando arrivi a Linux è un trauma, abituati a Windows, quando arrivi a Gentoo è uno spavento col brivido , però quando lo capisci sei uscito dall'università "GNU/Linux" ;)
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4688
Location: not so far from an evil, world famous volcano. Under dictatorship, idiocracy, property of banks...

PostPosted: Tue Dec 27, 2011 12:45 pm    Post subject: Re: installazione gentoo criptata Reply with quote

xveilsidex wrote:
...
La risposta è un secco no per tutta la linea.
In generale (e sarei il folle che si è cimentato con RSBAC, quindi non è che non mi faccia venire strani grilli per la testa, oltre al fatto che le partizioni criptate le uso da una vita ma sono costretto a truecrypt, multipiattaforma, causa governo imbecille e ladro che mi obbliga ad usare quell'altro) non mi è molto chiara l'utilità di una root criptata e la vedo solo come un modo per perdere in prestazioni, diminuire la sicurezza (affidabilità) intrinseca del sistema e complicarsi la vita.
Ci sono molti altri modi più validi che non criptare l'intero sistema per tenere al sicuro i propri dati e prevenire modifiche maliziose, non è un security by obscurity ma quasi.
Per esempio usare un sistema hardened e fam/gamin per evitare che possano essere alterati i file eseguibili e di configurazione.
E la partizione unica al di fuori dell'embedded e delle installazioni di test resta una somma idiozia ai miei occhi.

Ma "de gustibus non sputazzellam" quindi liberissimo di farlo, la mia è solo un'opinione ed un consiglio che puoi non seguire. Anche se ... uomo avvisato .. mezzo ammazzato.

Tieni conto che la guida del wiki è un tantino datata (per esempio adesso puoi personalizzare l'immagine di genkernel ed i moduli di crypt funzionano benissimo builtin) ma dovrebbe andare.

Dato che gentoo è pensata per fare quel che ti pare (non esiste un installer che costringe ai suoi schemi) basta solo usare una partizione criptata e configurare il sistema di conseguenza.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
.:deadhead:.
Advocate
Advocate


Joined: 25 Nov 2003
Posts: 2956
Location: Milano, Italy

PostPosted: Wed Dec 28, 2011 1:38 pm    Post subject: Reply with quote

Bentornato!

Puoi raccontarci un po' cosa vorresti ottenere e per quali scopi?

Magari criptare la root non è la soluzione migliore ;)


ciauz
_________________
Proudly member of the Gentoo Documentation Project: the Italian Conspiracy ! ;)
Back to top
View user's profile Send private message
xveilsidex
Guru
Guru


Joined: 27 Dec 2005
Posts: 370
Location: Bari

PostPosted: Thu Jan 05, 2012 5:35 pm    Post subject: Reply with quote

.:deadhead:. wrote:
Bentornato!

Puoi raccontarci un po' cosa vorresti ottenere e per quali scopi?

Magari criptare la root non è la soluzione migliore ;)


ciauz

Grazie del bentornato, sono stato parecchio lontano dal forum :wink: comunque l'idea che mi balza da molto in mente è quella di seguire la guida che vi ho postato , cioè root e home criptata con boot da chiavetta usb.

Come già detto da djinnZ ( grazie dei consigli ), ho già letto parecchi commenti sul fatto che il sistema perde in prestazioni e affidabilità e che la soluzione migliore sarebbe avere solo la home criptata.

Purtroppo quella guida è tale e quale da diversi anni e credo che sia obsoleta quindi volevo un parere su come operare per mettere al sicuro la mia gentoo dal resto del mondo.
Sono graditi suggerimenti !
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4688
Location: not so far from an evil, world famous volcano. Under dictatorship, idiocracy, property of banks...

PostPosted: Fri Jan 06, 2012 1:40 pm    Post subject: Reply with quote

Ti ripeto che le guide non sono obsolete, solo hanno dei riferimenti un tantino datati ma quel che c'è scritto funziona benissimo. In quella per truecrypt è scritto di usare local invece che lo script rc dedicato ed in quella per dmcrypt è scritto di modificare a mano l'immagine di boot ma nulla di insormontabile e se pure segui alla lettera dovrebbe funzionare tutto senza problemi.

Non mi ci sono mai applicato più di tanto perché uso truecrypt su partizioni che monto manualmente. A me serve così ed è sufficiente. Devo proteggere le password e le chiavi di criptazione (che non uso sempre).
Ma non sono te e non so quali sono le ragioni per cui vuoi criptare e cosa vuoi criptare.

Se vuoi pararti da rootkit e manipolazioni: allora sistema hardened, policy restrittive sulla scrittura nelle dir dei binari e verifica di integrità degli stessi. Avevo letto su come farlo usando fam (che è vecchiotto ed ormai quasi deprecato) ed selinux ma non dovrebbe essere difficile pensare di usare portage e grsec in alternativa (a questo punto archivi su un volume criptato delle informazionni ma verificare il sistema potrebbe richiedere tempi biblici se ne parlò ai tempi del caso autistici/aruba per proteggersi da manipoiazioni del provider). Ovviamente i dati per la verifica vanno criptati.

Se solo vuoi evitare che possano accedere ai dati nel tuo pc devi criptare solo quei dati, la soluzione con la penna mi pare un tantino laboriosa e poco affidabile (e se te la fregano o la pardi?). Basta che il sistema ti chieda la password all'avvio o, nel mio caso, quando monti la home dell'utente che vuoi proteggere.
E questo è facile ed ampiamente documentato, sia con truecrypet che con dmcrypt.

A conti fatti devi regolarti come per un normale cambio di filesystem per la home. Le guide non sono cambiate perché i comandi non sono cambiati.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
xveilsidex
Guru
Guru


Joined: 27 Dec 2005
Posts: 370
Location: Bari

PostPosted: Mon Feb 27, 2012 6:49 pm    Post subject: Reply with quote

Ho risolto utilizzando questa guida :
http://preney.ca/paul/2011/09/30/installing-gentoo-on-an-encrypted-root-partition/
1)root & home cifrata con cryptsetup
2) boot in chiaro
3) usb-key in cui è contenuta la chiave per decifrare le partizioni

La guida funziona ma bisogna modificarla in due punti :
1) tra il passo 6 e 7 bisogna fare prima l'estrazione dello stage e di portage e successivamente continuare con lo step 7
2) quando vi trovate ad editare il grub.conf
Code:


 kernel /boot/kernel-genkernel-x86_64-2.6.39-gentoo-r3 root=/dev/ram0 crypt_root=UUID=ROOT_DEV_UUID ecc..
 initrd /boot/initramfs-genkernel-x86_64-2.6.39-gentoo-r3



(almeno nel mio caso) la UUID non la riconosce e quindi bisogna mettere semplicemente la partizione corretta della root cifrata. nel mio caso /dev/sda4

EDIT : il boot con la UUID funziona, per metterla occorre ricompilare il kernel con :
Code:

genkernel ---disklabel all


Last edited by xveilsidex on Sat Mar 03, 2012 12:25 pm; edited 1 time in total
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4688
Location: not so far from an evil, world famous volcano. Under dictatorship, idiocracy, property of banks...

PostPosted: Thu Mar 01, 2012 1:20 pm    Post subject: Reply with quote

xveilsidex wrote:
la UUID non la riconosce
Non so se hai aggiunto o meno blkid e busybox all'immagine (fallo), nel caso configura opportunamente genkernel e prova a vedere, avviando la shell "di emergenza" dell'immagine se è comunque in grado di rilevare l'uuid dei volumi.
Il problema è che l'uuid non è altro che un paio di byte all'inizio della partizione ma l'intero volume è stato criptato quindi, in ogni caso, non corrisponderà.
Se viene rilevata in base alla posizione dovresti vederla comunque ma non corrisponderà a quella che hai impostato formattando.

Spero sia chiaro.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
fbcyborg
Advocate
Advocate


Joined: 16 Oct 2005
Posts: 3020
Location: ROMA

PostPosted: Fri Mar 02, 2012 3:44 pm    Post subject: Reply with quote

Io comunque avevo postato delle indicazioni su come ottenere una home criptata...
Sta in Risorse italiane (documentazione e tools). Mgari poteva essere utile, visto che criptare anche / non è pratica consigliata.
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered
Back to top
View user's profile Send private message
xveilsidex
Guru
Guru


Joined: 27 Dec 2005
Posts: 370
Location: Bari

PostPosted: Fri Mar 02, 2012 4:14 pm    Post subject: Reply with quote

fbcyborg wrote:
Io comunque avevo postato delle indicazioni su come ottenere una home criptata...
Sta in Risorse italiane (documentazione e tools). Mgari poteva essere utile, visto che criptare anche / non è pratica consigliata.

si , ho letto la tua guida e i tuoi suggeimenti via pm! Però alla fine ho optato per quella soluzione! ti ringrazio ugualmente per le dritte mi potranno servire in futuro! :)
Back to top
View user's profile Send private message
fbcyborg
Advocate
Advocate


Joined: 16 Oct 2005
Posts: 3020
Location: ROMA

PostPosted: Fri Mar 02, 2012 4:20 pm    Post subject: Reply with quote

Ah già, avevo dimenticato che l'avevi già letta! ;)
_________________
[HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered
Back to top
View user's profile Send private message
xveilsidex
Guru
Guru


Joined: 27 Dec 2005
Posts: 370
Location: Bari

PostPosted: Sat Mar 03, 2012 12:27 pm    Post subject: Reply with quote

djinnZ wrote:
xveilsidex wrote:
la UUID non la riconosce
Non so se hai aggiunto o meno blkid e busybox all'immagine (fallo), nel caso configura opportunamente genkernel e prova a vedere, avviando la shell "di emergenza" dell'immagine se è comunque in grado di rilevare l'uuid dei volumi.
Il problema è che l'uuid non è altro che un paio di byte all'inizio della partizione ma l'intero volume è stato criptato quindi, in ogni caso, non corrisponderà.
Se viene rilevata in base alla posizione dovresti vederla comunque ma non corrisponderà a quella che hai impostato formattando.

Spero sia chiaro.

Credevo , erroneamente, di aver già incluso il supporto a blkid ! Ora funziona con la uuid ! grazie
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4688
Location: not so far from an evil, world famous volcano. Under dictatorship, idiocracy, property of banks...

PostPosted: Sat Mar 03, 2012 12:51 pm    Post subject: Reply with quote

tanto per essere sicuro e chiudere la questione:
blkid, lanciato dal sistema già avviato, riporta lo stesso uuid che viene rilevato dall'immagine di boot (quindi prima della decrittazione)?

per quel che ricordo non dovrebbe essere riportato uguale (c'era un warn per il remount) ma tanto vale verificare.

Bada che con l'ultima versione di genkernel ed un 3.x hai qualche opzione in più.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
xveilsidex
Guru
Guru


Joined: 27 Dec 2005
Posts: 370
Location: Bari

PostPosted: Sat Mar 03, 2012 3:12 pm    Post subject: Reply with quote

djinnZ wrote:
tanto per essere sicuro e chiudere la questione:
blkid, lanciato dal sistema già avviato, riporta lo stesso uuid che viene rilevato dall'immagine di boot (quindi prima della decrittazione)?

per quel che ricordo non dovrebbe essere riportato uguale (c'era un warn per il remount) ma tanto vale verificare.

Bada che con l'ultima versione di genkernel ed un 3.x hai qualche opzione in più.

Ricordavi benissimo! L'id rilevato dal boot != id sistema avviato

L'unica cosa che non sono riuscito a risolvere quando compilo il kernel con genkernel e l'opzione --menuconfig all è che ho questi errori
Code:

scripts/kconfig/zconf.tab.c: In function 'header_print_comment':
scripts/kconfig/confdata.c:540:10: warning: ignoring return value of 'fwrite', declared with attribute warn_unused_result
scripts/kconfig/zconf.tab.c: In function 'kconfig_print_comment':
scripts/kconfig/confdata.c:467:10: warning: ignoring return value of 'fwrite', declared with attribute warn_unused_result

se invece do direttamente
Code:

genkernel all

Non ho alcun problema!
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4688
Location: not so far from an evil, world famous volcano. Under dictatorship, idiocracy, property of banks...

PostPosted: Sat Mar 03, 2012 3:48 pm    Post subject: Reply with quote

genkernel stabile od in test?

Con quello in test (puoi definire real_root e dovrebbe finalmente essere in grado di fare un'unica immagine kernel+initrd, puoi provare) non mi capita (mi ricordo che c'era qualcosa).
Sempre che non hai combinato qualche pasticcio in configurazione (controlla le librerie builtin e prova se scompare abilitando solo zip per l'initrd).

openrc non dovrebbe avere i problemi di rc ma fai attenzione ad eventuali warn, capace che non rimonta root in ro prima di riavviare.
Giusto per prudenza.

Il supporto a blkid e busybox lo puoi abilitare agendo su genkernel.conf invece della riga di comando.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
xveilsidex
Guru
Guru


Joined: 27 Dec 2005
Posts: 370
Location: Bari

PostPosted: Sat Mar 03, 2012 4:27 pm    Post subject: Reply with quote

djinnZ wrote:
genkernel stabile od in test?

sto usando la versione stabile !

djinnZ wrote:

Il supporto a blkid e busybox lo puoi abilitare agendo su genkernel.conf invece della riga di comando.


nel mio genkernel.conf ho già l'opzione attivata
Code:

# Enable disklabel support (copies blkid to initrd)
DISKLABEL="yes"

ma se non la passo con riga di comando non riesco a fare il boot con l'id.

stai usando la versione ~3.4.24 o **9999 di genkernel ?
Back to top
View user's profile Send private message
djinnZ
Advocate
Advocate


Joined: 02 Nov 2006
Posts: 4688
Location: not so far from an evil, world famous volcano. Under dictatorship, idiocracy, property of banks...

PostPosted: Sat Mar 03, 2012 4:45 pm    Post subject: Reply with quote

~3.4.24
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt:wink:
mala tempora currunt...mater stultorum semper pregna est :evil:
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist :wink:
Back to top
View user's profile Send private message
xveilsidex
Guru
Guru


Joined: 27 Dec 2005
Posts: 370
Location: Bari

PostPosted: Sat Mar 03, 2012 6:08 pm    Post subject: Reply with quote

anche con la versione instabile continuo ad avere quel messaggio :twisted:
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum