Ocena wątku:
  • 0 głosów - średnia: 0
  • 1
  • 2
  • 3
  • 4
  • 5
Mint, TC+Luks, problem ze SWAP
#1
0
Witam.

Mam mały problem przy instalacji Minta obok systemu z TC. O ile na wirtualnej poradziłem sobie, o tyle już w realu nie bardzo.
Mam system z TC. Dysk SSD 250 GB. Przed  systemem z TC mam 250 MB wolnego na partycje /boot z Minta, za systemem z TC mam około 30GB wolnego. Odpalam instalacje z pendrive z mintem, wybieram inne rozwiązanie (aby mi nie czyścił całego dysku), dalej wolne miejsce przydzielam , moje 250 MB jako ext4 i podpinam /boot i tam instaluje GRUB. Dalej wolne 30GB robię jako szyfrowany wolumin luks (jakoś tak to się chyba nazywa Wink ) wpisuje hasło. Tworzy.
Kolejno na drugim dysku HDD chce mieć partycje SWAP i home obie też szyfrowane. Problem się zaczyna, robię tak samo jak przy pierwszym wyborze, czyli wybieram np 4GB, biorę wolumin do szyfrowania, niby tworzy go, łącznie z hasłem, ale już po podpięciu pod niego przestrzeni wymiany, oraz gdy te moje 30GB oznaczę jako / , instalacja się wysypuje. W kolejnym kroku wyskakuje mi, że nie może zamontować partycji z /. Na wirtualnej maszynie miałem problem, gdy na osobnym dysku tworzyłem jeszcze trzeci wolumin szyfrowany z /home, z tym sobie poradziłem, przez ręczne podpięcie już po uruchomieniu.
Ale że SWAP nie bardzo. Jak zainstaluje bez partycji SWAP, to tworzy mi plik wymiany, a tego nie chce.
Kolejna kwestia, lepiej z pkt widzenia szyfrowania (jego bezpieczeństwa jest mieć SWAP na SSD czy HDD, czy jest bez różnicy?) Czy ogólnie SWAP lepiej na HDD czy SSD, zdania niby są różne....
Odpowiedz
#2
0
Wybierz se tam w kroku partycjonowania opcje stworzenia kontenera, a w nim lvm i dodaj sobie tyle dysków logicznych ile chcesz, jeden na /, drugi na swap, trzeci na /home, itp. Wszystko będzie w jednym kontenerze tak jak być powinno.

Dlaczego nie chcesz swap'a w pliku?

Swap nie ma znaczenia czy hdd czy ssd, ale nagłówek zaszyfrowanej partycji, to już ma znaczenie, bo na ssd nie idzie go tak łatwo nadpisać jak na hdd i po zmianie klucza/hasła może się okazać (i jest nawet spore prawdopodobieństwo), że stary klucz i hasło dalej z tego dysku można odzyskać, co ma ogromne znaczenie przy ewentualnej kompromitacji klucza/hasła. xD
Odpowiedz
#3
0
Dziękuje za odpowiedź.
Z tym kontenerem, to wypróbuję później. Tylko da radę w ten kontener wrzucić partycje z dwóch dysków.??
Co do szyfrowania, no właśnie nie miałem okazji się tym wcześniej bawić i mam wiele niewiadomych.
Piszesz o nagłówku,to lepiej Linuxa w takim układzie postawić na zwykłym HDD?
I jak ma się sprawa z hibernacją? Czytałem różne teksty nt i w sumie mam mętlik. Czy wyłączyć hibernację, czy zostawić. W sumie mega mi się podoba hibernacja, bo system wstaje w kilka sekund, czego o ponownym uruchamianiu nie mogę powiedzieć. Nie wiem czy to wina szyfrowania, czy tego SSD. Muszę wypróbować na Goodram, bo mam tę drugi SSD na testy.
Procek to AMD 8 rdzeni z pełnym wsparciem dla aes i 4 GB RAM ( ramy będą dołożone).
Ale ogolenie po wpisaniu hasła szyfrującego partycje / myśli i myśli.... Po czym pyta o hasło do home, i znowu myśli, zanim pojawi się okno logowania do systemu. Co ciekawe na wirtualnej w virtualbox idzie o niebo lepiej.

Mam tylko opcje fizyczny wolumin do szyfrowania, i to właśnie wybieram od samego początku.
Czy utworzyc gparted lvm pv i tam dopiero podpinać partycje dla /, /SWAP i /home. Bo chyba lvm pozwala na łączenie partycji z kilku dysków.
Odpowiedz
#4
0
Jeden kontener, jeden dysk. W jednym kontenerze możesz mieć wiele dysków logicznych.

Linux'a możesz postawić na dowolnym dysku, tylko trza mieć na uwadze, że kopia starego nagłówka może zostać przy jego przepisywaniu z racji równoważenia zużycia komórek na dysku ssd.

Co czytałeś o hibernacji? Ja mam włączoną hibernację od lat i nie wiem z czym ludzie mają problem.

Jak se stworzyłeś kilka kontenerów to trzeba je niezależnie otwierać. Można też wykorzystywać skrypty cryptsetup by to się działo automatycznie ale i tak czas potrzebny na odszyfrowanie całego systemu będzie trzeba pomnożyć przez ilość kontenerów. Dlatego się używa jednego kontenera i na nim tworzy się LVM z dyskami logicznymi. Wtedy tylko jeden kontener jest otwierany i masz w systemie wszystkie nośniki, których potrzebujesz.
Odpowiedz
#5
0
Czyli kontener to tak na prawdę fizyczny wolumin do szyfrowania, wtedy tam ustawiam hasło i w nim tworze partycje?
Kolejna sprawa, piszesz stary nagłówek przy przepisywaniu, chodzi Ci o podpięcie np pod /home innej partycji z innego dysku? Jeśli tak, to zaczynam łapać problem.
Co do hibernacji, no że niby łatwo wygrzebać ze zrzutu pamięci dane... Ile w tym prawdy nie wiem.

Kontenery podpina mi automatycznie, tylko wpisuje hasło do każdego osobno. Czytałem na jakimś blogu anglo... Właśnie nt automatycznego wpisywania klucza, podajesz tylko raz hasło donpartycji głównej, a resztę sam robi
Odpowiedz
#6
0
Kontener to jest tylko warstwa logiczna mówiąca systemowi jak ma traktować dane na pewnym wycinku jakiegoś urządzenia. Może być to cały dysk, może to być partycja, może to być wycinek partycji -- cokolwiek. Wiec sobie partycjonujesz dysk i na partycji robisz kontener.

Kod:
# lsblk
NAME                             SIZE FSTYPE      TYPE  LABEL          MOUNTPOINT     UUID
loop0                            512M crypto_LUKS loop                                a077037d-4b5d-48bc-9b62-6f3c9db2b734
└─dropbox                        510M ext4        crypt dropbox        /media/Dropbox 4b303177-d9a8-4659-a783-a1f8f56c3a98
sda                            232.9G             disk
├─sda1                             2G ext4        part  boot           /boot          37a2b033-c47c-4c41-9287-b2f2a44e1bcd
└─sda2                         230.9G crypto_LUKS part  wd_black_label                e017ac1c-c46f-4b3f-a319-e1f5ed15144a
  └─sda2_crypt                 230.9G LVM2_member crypt                               4GHw5b-KfYT-FeXN-lL8L-cWiA-7XG9-7GdCfj
    ├─wd_black_label-freespace    64M             lvm
    ├─wd_black_label-root         40G ext4        lvm   root           /              225c8e26-083f-440b-b243-c972a236a74e
    ├─wd_black_label-home         64G ext4        lvm   home           /home          bfecaf53-464f-47d7-9075-c4d358136f17
    └─wd_black_label-kabi      122.8G ext4        lvm   kabi           /media/Kabi    df2a8b92-b990-40fc-a818-8fafa50eef93
sdb                            931.5G             disk
├─sdb1                         820.3G crypto_LUKS part  wd_blue_label                 66861f93-9fc7-46f9-b969-1ade25dcb898
│ └─sdb1_crypt                 820.3G LVM2_member crypt                               HTmcBl-es16-2tT3-TK2n-uOyE-NaTL-ZRAT1c
│   ├─wd_blue_label-zami         354G ext4        lvm   zami           /media/Zami    141f5fee-3080-4852-9511-d9fb929028f7
│   ├─wd_blue_label-android      320G ext4        lvm   android        /media/Android 91f0c6ba-a318-4f7e-94ad-5ccdef94dca4
│   ├─wd_blue_label-grafi       99.3G ext4        lvm   grafi          /media/Grafi   abc7c0af-76b3-423e-8dd2-e89008614036
│   ├─wd_blue_label-ccache        37G ext4        lvm   ccache         /media/ccache  d340d1a1-3a02-449c-98e4-603679fba072
│   └─wd_blue_label-swap           6G swap        lvm                  [SWAP]         906486b5-8194-4926-a454-13aa38640a6c
├─sdb2                          62.5G ntfs        part  windows                       78E28017E27FD838
└─sdb3                          46.7G ntfs        part  win_data                      5E046FAF1D2A959B

Tu masz dwa dyski. Na pierwszym z nich masz dwie fizyczne partycje: jedna pod /boot/ druga pod zaszyfrowany kontener. W kontenerze jest LVM z trzema dyskami logicznymi. Na drugim dysku są trzy partycje fizyczne i pierwsza zawiera zaszyfrowany kontener, gdzie masz również LVM z 5 dyskami logicznymi. Tam jest też partycja wymiany SWAP.

Jak zmieniasz hasło do kontenera czy też robisz nowy kontener w miejscu starego (na tej samej partycji), to nagłówek jest przepisywany. A na dysku ssd masz równoważenie obciążenia zużycia komórek i niby system zapisze nowe dane ale jest nikłe prawdopodobieństwo, że te dane trafią w to samo miejsce, tak jak to jest w przypadku dysku hdd. Tu sobie poczytaj: https://gitlab.com/cryptsetup/cryptsetup...ty-aspects

Jak się hibernuje system, to cały zrzut pamięci wędruje na dysk. Jak masz swap niezaszyfrowany, to można z niego bez problemu wydobyć klucz szyfrujący dane. Dlatego trzeba sobie zaszyfrować SWAP, by dane z pamięci RAM były przechowywane na dysku w formie szyfrowanej. Potem podczas startu maszyny, będzie prośba o hasło do odszyfrowania dysku. Po odszyfrowaniu dysku, system poszuka automatycznie obrazu pamięci RAM i jak znajdzie, to go załaduje. Tu nie ma żadnego problemu z bezpieczeństwem o ile się poprawnie ten SWAP zaimplementuje.

Zajrzyj sobie do /lib/cryptsetup/scripts/ i poszukaj info o tych skryptach.
Odpowiedz
#7
0
Hej.

Sorki, że dopiero odpisuję.

Udało mi się postawić bez problemu nową instalację na LVM z LUKS, działa fajnie. Podpiąłem \Home ręcznie, też zaszyfrowaną, deszyfruje ją z automatu, wpisuję raz hasło.
Rozumiem, problem SSD, dlatego, zastanawiam się czy jest sens go używać. Jednak zwykły talerz, to talerz, poza prędkością, ma same plusy....
Odpowiedz


Skocz do:




Użytkownicy przeglądający ten wątek: 1 gości