View previous topic :: View next topic |
Author |
Message |
xveilsidex Guru
Joined: 27 Dec 2005 Posts: 370 Location: Bari
|
Posted: Sat Dec 24, 2011 7:08 pm Post subject: [RISOLTO]installazione root e home criptata |
|
|
Salve ragazzi vorrei un vostro parere, dato che l'installer di ubuntu offre anche un modo per installare tutta la root in maniera criptata è possibile utilizzare tale meccanismo per installare gentoo ? Oppure dovrei per forza usare la guida del wiki : http://en.gentoo-wiki.com/wiki/DM-Crypt_with_LUKS esiste una versione in italiano di tale documento? grazie dell'attenzione!
Last edited by xveilsidex on Mon Feb 27, 2012 6:52 pm; edited 1 time in total |
|
Back to top |
|
|
bi-andrea Apprentice
Joined: 09 Mar 2010 Posts: 171 Location: cesenatico
|
Posted: Sun Dec 25, 2011 12:21 pm Post subject: |
|
|
Adesso non chiedere troppo, da quello che so un OS deve avere la sua partizione e GRUB deve gestire le partizioni, dove si trovano più sistemi operativi... _________________ Quando arrivi a Linux è un trauma, abituati a Windows, quando arrivi a Gentoo è uno spavento col brivido , però quando lo capisci sei uscito dall'università "GNU/Linux" |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Tue Dec 27, 2011 12:45 pm Post subject: Re: installazione gentoo criptata |
|
|
La risposta è un secco no per tutta la linea.
In generale (e sarei il folle che si è cimentato con RSBAC, quindi non è che non mi faccia venire strani grilli per la testa, oltre al fatto che le partizioni criptate le uso da una vita ma sono costretto a truecrypt, multipiattaforma, causa governo imbecille e ladro che mi obbliga ad usare quell'altro) non mi è molto chiara l'utilità di una root criptata e la vedo solo come un modo per perdere in prestazioni, diminuire la sicurezza (affidabilità) intrinseca del sistema e complicarsi la vita.
Ci sono molti altri modi più validi che non criptare l'intero sistema per tenere al sicuro i propri dati e prevenire modifiche maliziose, non è un security by obscurity ma quasi.
Per esempio usare un sistema hardened e fam/gamin per evitare che possano essere alterati i file eseguibili e di configurazione.
E la partizione unica al di fuori dell'embedded e delle installazioni di test resta una somma idiozia ai miei occhi.
Ma "de gustibus non sputazzellam" quindi liberissimo di farlo, la mia è solo un'opinione ed un consiglio che puoi non seguire. Anche se ... uomo avvisato .. mezzo ammazzato.
Tieni conto che la guida del wiki è un tantino datata (per esempio adesso puoi personalizzare l'immagine di genkernel ed i moduli di crypt funzionano benissimo builtin) ma dovrebbe andare.
Dato che gentoo è pensata per fare quel che ti pare (non esiste un installer che costringe ai suoi schemi) basta solo usare una partizione criptata e configurare il sistema di conseguenza. _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
.:deadhead:. Advocate
Joined: 25 Nov 2003 Posts: 2963 Location: Milano, Italy
|
|
Back to top |
|
|
xveilsidex Guru
Joined: 27 Dec 2005 Posts: 370 Location: Bari
|
Posted: Thu Jan 05, 2012 5:35 pm Post subject: |
|
|
.:deadhead:. wrote: | Bentornato!
Puoi raccontarci un po' cosa vorresti ottenere e per quali scopi?
Magari criptare la root non è la soluzione migliore
ciauz |
Grazie del bentornato, sono stato parecchio lontano dal forum comunque l'idea che mi balza da molto in mente è quella di seguire la guida che vi ho postato , cioè root e home criptata con boot da chiavetta usb.
Come già detto da djinnZ ( grazie dei consigli ), ho già letto parecchi commenti sul fatto che il sistema perde in prestazioni e affidabilità e che la soluzione migliore sarebbe avere solo la home criptata.
Purtroppo quella guida è tale e quale da diversi anni e credo che sia obsoleta quindi volevo un parere su come operare per mettere al sicuro la mia gentoo dal resto del mondo.
Sono graditi suggerimenti ! |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Fri Jan 06, 2012 1:40 pm Post subject: |
|
|
Ti ripeto che le guide non sono obsolete, solo hanno dei riferimenti un tantino datati ma quel che c'è scritto funziona benissimo. In quella per truecrypt è scritto di usare local invece che lo script rc dedicato ed in quella per dmcrypt è scritto di modificare a mano l'immagine di boot ma nulla di insormontabile e se pure segui alla lettera dovrebbe funzionare tutto senza problemi.
Non mi ci sono mai applicato più di tanto perché uso truecrypt su partizioni che monto manualmente. A me serve così ed è sufficiente. Devo proteggere le password e le chiavi di criptazione (che non uso sempre).
Ma non sono te e non so quali sono le ragioni per cui vuoi criptare e cosa vuoi criptare.
Se vuoi pararti da rootkit e manipolazioni: allora sistema hardened, policy restrittive sulla scrittura nelle dir dei binari e verifica di integrità degli stessi. Avevo letto su come farlo usando fam (che è vecchiotto ed ormai quasi deprecato) ed selinux ma non dovrebbe essere difficile pensare di usare portage e grsec in alternativa (a questo punto archivi su un volume criptato delle informazionni ma verificare il sistema potrebbe richiedere tempi biblici se ne parlò ai tempi del caso autistici/aruba per proteggersi da manipoiazioni del provider). Ovviamente i dati per la verifica vanno criptati.
Se solo vuoi evitare che possano accedere ai dati nel tuo pc devi criptare solo quei dati, la soluzione con la penna mi pare un tantino laboriosa e poco affidabile (e se te la fregano o la pardi?). Basta che il sistema ti chieda la password all'avvio o, nel mio caso, quando monti la home dell'utente che vuoi proteggere.
E questo è facile ed ampiamente documentato, sia con truecrypet che con dmcrypt.
A conti fatti devi regolarti come per un normale cambio di filesystem per la home. Le guide non sono cambiate perché i comandi non sono cambiati. _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
xveilsidex Guru
Joined: 27 Dec 2005 Posts: 370 Location: Bari
|
Posted: Mon Feb 27, 2012 6:49 pm Post subject: |
|
|
Ho risolto utilizzando questa guida :
http://preney.ca/paul/2011/09/30/installing-gentoo-on-an-encrypted-root-partition/
1)root & home cifrata con cryptsetup
2) boot in chiaro
3) usb-key in cui è contenuta la chiave per decifrare le partizioni
La guida funziona ma bisogna modificarla in due punti :
1) tra il passo 6 e 7 bisogna fare prima l'estrazione dello stage e di portage e successivamente continuare con lo step 7
2) quando vi trovate ad editare il grub.conf
Code: |
kernel /boot/kernel-genkernel-x86_64-2.6.39-gentoo-r3 root=/dev/ram0 crypt_root=UUID=ROOT_DEV_UUID ecc..
initrd /boot/initramfs-genkernel-x86_64-2.6.39-gentoo-r3
|
(almeno nel mio caso) la UUID non la riconosce e quindi bisogna mettere semplicemente la partizione corretta della root cifrata. nel mio caso /dev/sda4
EDIT : il boot con la UUID funziona, per metterla occorre ricompilare il kernel con :
Code: |
genkernel ---disklabel all
|
Last edited by xveilsidex on Sat Mar 03, 2012 12:25 pm; edited 1 time in total |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Thu Mar 01, 2012 1:20 pm Post subject: |
|
|
xveilsidex wrote: | la UUID non la riconosce | Non so se hai aggiunto o meno blkid e busybox all'immagine (fallo), nel caso configura opportunamente genkernel e prova a vedere, avviando la shell "di emergenza" dell'immagine se è comunque in grado di rilevare l'uuid dei volumi.
Il problema è che l'uuid non è altro che un paio di byte all'inizio della partizione ma l'intero volume è stato criptato quindi, in ogni caso, non corrisponderà.
Se viene rilevata in base alla posizione dovresti vederla comunque ma non corrisponderà a quella che hai impostato formattando.
Spero sia chiaro. _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
xveilsidex Guru
Joined: 27 Dec 2005 Posts: 370 Location: Bari
|
Posted: Fri Mar 02, 2012 4:14 pm Post subject: |
|
|
fbcyborg wrote: | Io comunque avevo postato delle indicazioni su come ottenere una home criptata...
Sta in Risorse italiane (documentazione e tools). Mgari poteva essere utile, visto che criptare anche / non è pratica consigliata. |
si , ho letto la tua guida e i tuoi suggeimenti via pm! Però alla fine ho optato per quella soluzione! ti ringrazio ugualmente per le dritte mi potranno servire in futuro! |
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
xveilsidex Guru
Joined: 27 Dec 2005 Posts: 370 Location: Bari
|
Posted: Sat Mar 03, 2012 12:27 pm Post subject: |
|
|
djinnZ wrote: | xveilsidex wrote: | la UUID non la riconosce | Non so se hai aggiunto o meno blkid e busybox all'immagine (fallo), nel caso configura opportunamente genkernel e prova a vedere, avviando la shell "di emergenza" dell'immagine se è comunque in grado di rilevare l'uuid dei volumi.
Il problema è che l'uuid non è altro che un paio di byte all'inizio della partizione ma l'intero volume è stato criptato quindi, in ogni caso, non corrisponderà.
Se viene rilevata in base alla posizione dovresti vederla comunque ma non corrisponderà a quella che hai impostato formattando.
Spero sia chiaro. |
Credevo , erroneamente, di aver già incluso il supporto a blkid ! Ora funziona con la uuid ! grazie |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Sat Mar 03, 2012 12:51 pm Post subject: |
|
|
tanto per essere sicuro e chiudere la questione:
blkid, lanciato dal sistema già avviato, riporta lo stesso uuid che viene rilevato dall'immagine di boot (quindi prima della decrittazione)?
per quel che ricordo non dovrebbe essere riportato uguale (c'era un warn per il remount) ma tanto vale verificare.
Bada che con l'ultima versione di genkernel ed un 3.x hai qualche opzione in più. _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
xveilsidex Guru
Joined: 27 Dec 2005 Posts: 370 Location: Bari
|
Posted: Sat Mar 03, 2012 3:12 pm Post subject: |
|
|
djinnZ wrote: | tanto per essere sicuro e chiudere la questione:
blkid, lanciato dal sistema già avviato, riporta lo stesso uuid che viene rilevato dall'immagine di boot (quindi prima della decrittazione)?
per quel che ricordo non dovrebbe essere riportato uguale (c'era un warn per il remount) ma tanto vale verificare.
Bada che con l'ultima versione di genkernel ed un 3.x hai qualche opzione in più. |
Ricordavi benissimo! L'id rilevato dal boot != id sistema avviato
L'unica cosa che non sono riuscito a risolvere quando compilo il kernel con genkernel e l'opzione --menuconfig all è che ho questi errori
Code: |
scripts/kconfig/zconf.tab.c: In function 'header_print_comment':
scripts/kconfig/confdata.c:540:10: warning: ignoring return value of 'fwrite', declared with attribute warn_unused_result
scripts/kconfig/zconf.tab.c: In function 'kconfig_print_comment':
scripts/kconfig/confdata.c:467:10: warning: ignoring return value of 'fwrite', declared with attribute warn_unused_result
|
se invece do direttamente
Non ho alcun problema! |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Sat Mar 03, 2012 3:48 pm Post subject: |
|
|
genkernel stabile od in test?
Con quello in test (puoi definire real_root e dovrebbe finalmente essere in grado di fare un'unica immagine kernel+initrd, puoi provare) non mi capita (mi ricordo che c'era qualcosa).
Sempre che non hai combinato qualche pasticcio in configurazione (controlla le librerie builtin e prova se scompare abilitando solo zip per l'initrd).
openrc non dovrebbe avere i problemi di rc ma fai attenzione ad eventuali warn, capace che non rimonta root in ro prima di riavviare.
Giusto per prudenza.
Il supporto a blkid e busybox lo puoi abilitare agendo su genkernel.conf invece della riga di comando. _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
xveilsidex Guru
Joined: 27 Dec 2005 Posts: 370 Location: Bari
|
Posted: Sat Mar 03, 2012 4:27 pm Post subject: |
|
|
djinnZ wrote: | genkernel stabile od in test?
|
sto usando la versione stabile !
djinnZ wrote: |
Il supporto a blkid e busybox lo puoi abilitare agendo su genkernel.conf invece della riga di comando. |
nel mio genkernel.conf ho già l'opzione attivata
Code: |
# Enable disklabel support (copies blkid to initrd)
DISKLABEL="yes"
|
ma se non la passo con riga di comando non riesco a fare il boot con l'id.
stai usando la versione ~3.4.24 o **9999 di genkernel ? |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Sat Mar 03, 2012 4:45 pm Post subject: |
|
|
~3.4.24 _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
xveilsidex Guru
Joined: 27 Dec 2005 Posts: 370 Location: Bari
|
Posted: Sat Mar 03, 2012 6:08 pm Post subject: |
|
|
anche con la versione instabile continuo ad avere quel messaggio |
|
Back to top |
|
|
|