cim sifrovat blokova zarizeni na linuxu
Jan Hrach
jenda na yakumo.hrach.eu
Sobota Květen 22 21:33:28 CEST 2010
Ahoj,
co jsem si všiml, tak debianí initramfs neumí paranoidní mód xts-plain, ale jenom nějaké slabší. Nejsem šifrolog, takže si přečti kapitolu 4.2 v cizí práci: http://www.shadow.cz/wiki/seminarky/otfe
Mód xts-plain se tam nicméně dá doprasit. Určitě to jde i nějak čistěji, ale nezkoumal jsem to; mám to jenom na svém počítači :-). Doprasení spočívá v přidání
--
aes
sha
lrw
xts
dm-crypt
--
do /usr/share/initramfs-tools/modules, a pozor, teď to přijde, v editaci distribučního skriptu /usr/share/initramfs-tools/scripts/local-top/cryptroot, konkrétně v přidání
--
modprobe aes
modprobe dm-crypt
modprobe xrs
modprobe lrw
modprobe sha
echo "Device /dev/sda3->swap is encrypted"
cryptsetup luksOpen /dev/sda3 swap
echo "Trying to resume"
resume /dev/mapper/swap
echo "Device /dev/sda2->root is encrypted"
cryptsetup luksOpen /dev/sda2 root
echo debug shell 1
/bin/sh
--
hned za komentář "Begin real processing". Ten shell si nech, pomůže to, když se to rozbije (pokud to bude fungovat, pak to můžeš zakomentovat). Po změně musíš spustit update-initramfs -u.
Kdyby někdo věděl, jak to udělat "čistě", rád se nechám poučit :-).
J
On 22.5.2010 16:11, Martin Kraus wrote:
> Zdravim.
> Napadlo me rozbit si notebook a zkusit sifrovani kompletne celeho disku.
> Pouzivam debian/testing a celkem bych to rad udelal pres debian bez nutnosti
> kompilace nejakych silenosti. Zatim jsem koukal ze delat to pres dm a pouzivat
> cryptsetup/cryptmount by bylo asi to nejjednodussi.
>
> Ma s tim nekdo zkusenosti? Urcite budu potrebovat neencryptovanou partitionu
> pro /boot, napadlo mne, ze kdyz uz pouzivam lvm tak si udelam jeden logical
> volume na /boot a pak dalsi na sifrovany block device, nad kterym si udelam
> volume group a logical volumes pro system ( root/home/swap/qemu atd. ).
> Zajimalo by mne, zda to debiani initramfs zkousne.
>
> diky za pointery
> mk
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux
>
--
Jan Hrach
Mail: jenda {} hrach.eu
Jabber: hrachj {} abclinuxu.cz
GPG: http://ftp.hrach.eu/jenda/public.key
1D9D AC4B E964 0D1E 7F5D 6E03 B72F 6430 9FA4 F536
Další informace o konferenci Linux