Hozzászólások
-
Bejegyzés
-
http://wiki.centos.org/HowTos/EncryptedFilesystem
itt találtam egy egész egyszerűnek tűnő leírást, csak nem pontosan értem. ez azt mondja hogy egy file-t hozunk létre és abban tudok tárolni más file-okat mintha egy külön partíció vagymi lenne?
hogy tudom kisebbre csinálni a példában említett file-t? azt írja 8 gigás lesz de a parancsban csak nagyon erőltetve tudnám észrevenni az összefüggést hogy mitől lesz az 8 gb.
na ezt a leírást követve valamit most csináltam, csak nem tudom pontosan hogy mit
mindenesetre működni látszik, csak nem tudom pontosan mi is működik, de ha mountolom akkor ott van a benne létrehozott kvtár, ha umountolom akkor nincs.
ha újraindítom a gépet akkor megintcsak nincs.de jó lenne ha valaki tudna segíteni nekem hogy azt csináltam-e amit akartam…
sziasztok
na most újra nekilendülök a problémának.
tehát. maradjunk az egyszerűségnél.
feltettem egy rendszert raid1-ben. van egy partícióm amin majd az érzékeny adatok lesznek, ez van titkosítva.
már csak annyit kéne elérni, hogy ne akarja automatikusan bootoláskor felmountolni ezt a partíciót. ez lehetséges? és ha igen akkor hogyan? fstab-ban lehet valamit állítani?
igen ha jól látom fstab-ban ki lehet szedni és akkor gondolom nem kéri bootloláskor. kipróbálom!
csak az a kérdés hogy utána hogyan fogom tudni bemountolni.hiába kommenteztem ki, akkor is kéri. valahol máshol kell kikapni ezt, nem fstab-ban?
md3-nak kéri be a kódját bootoláskor, de az fstab-ban ilyen nincs hanem /dev/mapper/luks-4587513-65489-954621-85489…igen itt a lemeztitkosításnak adom meg a jelszavát, nem a mountolás által bemountolt vinyónak ezek szerint.
vbox-on hogy érem el puttyal a natolt gépet?a vbox kis ablakában alig látni valamit.
bakker, miközben azt kerestem hogy lehetne kihagyni bootoláskor ezt az „enter luks passphrase” dolgot, ez az oldal jött ki elsőnek: http://www.linuxforums.org/forum/red-hat-fedora-linux/126236-using-ophcrack-obtain-luks-passphrase-dev-sda2.html
azt írja a srác, csak azért nem tudja ezzel feltörni a titkosítás jelszavát, mert nem tud ezen a bizonyos laptopon cd-ről bootolni. ezek szerint ezzel az ophcrack nevű progival minden további nélkül feltörik az ilyen titkosított vinyókat is??? ja nem. nem lehet vele.
hát ez kész. azt olvastam itt: https://help.ubuntu.com/8.04/installation-guide/powerpc/mount-encrypted-volumes.html
„If some of the encrypted volumes could not be mounted because a wrong passphrase was entered, you will have to mount them manually after the boot.”
namost én szándékosan nem ütöttem be, mégis látszik a mount point alatt minden!
előre is köszi
áramszünet esetén a gép kikapcsol(hat). tehát újra kell indítani. tehát ott kell lennem hogy beírjam a kódot. hacsak nincs usb kulcs amit oda tudok adni.
bootolást is le lehet védeni jelszóval legalábbis centos telepítő felajánlja ezt a lehetőséget. ez nem bios jelszó (nyilván annak semmi értelme).
kérdésem hogy tudok-e úgy egy kulcsot csinálni hogy az csak arra legyen jó, hogy el tudja indítani a rendszert, de ne tudja a kulcsból kinyerni az információt, hogy mi a kód.sk-skuba wrote:Mondjuk tikkosithatnad az usb fajlrendszeret es a kulcsot egy masik usb-n lehetne eltarolni :).
végülis tényleg 🙂node mi a lényege ennek az egész usb kulcs készítésnek? röviden tömören mi a folyamata?
még annyit hadd kérdezzek, hogy ha mondjuk áramszünet miatt megáll a gép, akkor mik a lehetőségek egy titkosított fájlrendszerű gépnél?
ha bootolás is le van védve jelszóval akkor értelemszerű hogy ott kell lenni és beírni, gondolom ez távoli kapcsolattal nem működik. bár a bootolást talán nem is érdemes levédeni jelszóval. viszont ha a kötetekhez is elérkezik a bootlás és kéri a jelszót, akkor azt még mindig nem lehet távolról megadni neki. az usb kulcs az egyetlen megoldás ha mondjuk azt szeretném hogy más is el tudja indítani ugye? ha valakinek megvan a kulcs, akkor az azt jelenti hogy a jelszót is tudja, vagy lehet úgy usb kulcsot csinálni, hogy az csak arra legyen jó hogy bedugom, a gép elindul, de az usb-n lévő adatokat nem tudja megnézni?az első választ nem nagyon értem.
rosszul fogalmaztam, nem minden adat el fog veszni, hanem minden partíciókiosztás el fog veszni, ill. csak a meglévőkön kívüli üres helyre tett új partíciókra hajlandó felmenni. ha jól látom.
de lehet hogy megoldható amit szeretnék, mert nem biztos hogy feltétlenül ragaszkodnom kell a trixboxhoz, hanem lehet hogy simán centos-re feltéve egy asterisket is elérhető ugyanaz ami nekem kell.
de akkor még mindig ott fogok tartani hogy eleve a titkosított raid-es rendszert meg kell tudnom csinálni. de a kísérletek folyamatban vannak. egyszer már elindult a centos így hogy volt raid, meg titkosítás is.
szia
köszi. tehát ha jól értem usb stick akkor kell ha tényleg a komplett vinyót titkosítani szeretném, ellenben ha mondjuk a boot partíciót nem, akkor elvileg nem kell? gond az ha a boot nincs titkosítva? mit tudnak azzal kezdeni? meg tudják úgy hekkelni a bootolást hogy ne kérje a jelszót…? (azért ezt nem hiszem hogy olyan egyszerű lenne) ha jól értem akkor az usb lesz a boot partíció, ha van usb stick. csakhogy nekem ezek az usb stickek egyáltalán nem a megbízhatóság mintaképei.
elkezdtem a centos telepítővel megcsinálni a cuccot, csakhogy két bibi van: az egyik az hogy ez is megfagyott amikor tovább kellett volna lépni a partícionálásnál, a másik pedig az hogy a trixbox telepítője úgy látom magasról tesz rá hogy milyen partícionálások vannak a vinyón jelenleg, ugyanis mindenképp saját igényei szerint újra fogja rakni.
azta nem fog menni. ott is van a trixbox telepítőjének az elején hogy azzal hogy ezt feltelepíted, minden adatod el fog veszni a vinyóról. nem lehet másik telepítő által készített particionálásra telepíteni.
én alapvetően RAID-ben gondolkodtam, mert ha tükrözés meg biztonság, akkor sztem az emberek zömének ez ugrik. nem tudom miért ez, talán mert ez a legelterjedtebb, viszont több helyen találkoztam LVM+titkosítás leírással, mint RAID+titkosítás, csak ezért kérdezem. meg azért hogy a lehető legegyszerűbben meg lehessen csinálni, hogy én is mint laikus talán össze tudjam hozni.
http://en.wikipedia.org/wiki/Logical_Volume_Manager_(Linux)#Features
The LVM can:
- Mirror whole or parts of logical volumes, in a fashion similar to RAID 1.
http://www.howtoforge.com/set-up-a-fully-encrypted-raid1-lvm-system
figyi most letöltöttem a centos legújabb verzióját hogy megnézzem ezt a telepítéskor választható titkosítást stb. hát grafikus módban szétesik a kép, így azt nem tudom megnézni hogy ott megy-e ez a dolog, textmódban meg tök ugyanazok a beállítási lehetőségek mint trixboxban. tehát nem látom sehol a titkosításra vonatkozó lehetőségeket. létezik hogy grafikus módban benne van ez a feature, textmódban meg nincs…?! vagy csak én vagyok ennyire vak? megnézné nekem valaki hogy ott van-e?
köszi
na jó most letöltöm a VB-ot is mert látom hogy nem MS virtual pc-vel csinálta Masterminds. na azért ez a VB jóval profibb, mindjárt be is tudtam állítani neki 2 vinyót és tényleg itt van a telepítésnél az encryption.
namost: viszont ez is berak alapba LVM-et. ezt hogyan kell akkor most értelmeznem? tehát akkor ez így default jó ahogy van? vagy minek van ott az LVM? vagy csak ott van de nem fogom használni?
mert ez a cikk is amit fentebb belinkeltem azt mondja végülis hogy RAID lesz, csak ott lesz az LVM is hogy dinamikusan lehessen az „adatok” helyét növelni. namost végülis ha így lenne csinálva nálam is az nem lenne rossz, ugyanis nálam a usereknek hozzá kell férniük adatokhoz, csak nem ahhoz amit titkosítani szeretnék.
illetve ezzel kapcsolatban mégegy kérdésem lenne: ha én a rendszert titkosítom komplett, akkor aki egy php file-t akar megnyitni, az meg fogja tudni nyitni végülis? mármint rendeltetésszerűen, böngészőn keresztül. végülis ilyenkor a kérés az apachnak megy, és igazából az nyitja meg a usernek és küldi el neki az adatokat a böngészőjére nem?
nem kellene véletlenül egyforma méretűre hozni a két vinyót? mármint úgy értve hogy az egyiknél lecsippenti a boot partíciót, így a maradék nem stimmel a másik vinyó méretével. menni fog így a raid? nem kell ahhoz hogy tök egyforma legyen a két vinyó/partíció méretre?
na úgy érzem valamennyire nyomon vagyok: létrehoztam egy szoftveres raid partíciót az SDA-n (SDA2 lett). csomószor problémázott amíg le nem vettem a méretet. nem tudom min múlik hogy mennyi lehet. mindegy. 8 giga. itt is kiválasztottam hogy encrypt (már a legelején is kiválasztottam egyszer), meg hogy „elsődleges partíció legyen (kikényszerítés)”. miért kell kikényszeríteni? vagy miért van ez a kifejezés, vagy miért így van itt? SDB-n ugyanígy (először klónozni akartam, de azt nem engedte), nem tudom gond-e hogy ennél is beikszeltem hogy „elsődleges partíció legyen (kikényszerítés)”.
eztán megint RAID gomb, és mondja hogy már 2 raid partíció van, ekkor már nem gondoltam hogy bármit is kéne klónozni, hanem a 2. opciót választottam: „RAID-eszközt szeretnék létrehozni [alapértelmezés=/dev/md0]”.csatlakozási pont: lásd később.
fájlrendszer tipusa: EXT3
RAID-eszköz: md0
RAID-típus: na ezt megváltoztattam RAID0-ról RAID1-re mert én tükrözni szeretnék
RAID-tagok: mindkét RAID partíció be van ikszelve
itt is magdom hogy encrypt, ez már a 3. ahol megadtam. remélem nem gond hogy mindenhol beikszeltem, lehet hogy elég lett volna csak itt egyszer a legvégén.viszont a csatlakozási ponttal bajban vagyok. ez / nem lehet mert azt már lefoglalta magának az LVM. viszont én a root-ot szeretném(?) elvileg raidben tükrözve és titkosítva. na ilyenkor mi van? mi ilyenkor a teendő? gondolom a telepítés a rootra megy. vagy eleve az LVM-es rootra települve tudni fogja hogy az valójában a RAID? tehát a RAID nem is lehet / soha? vagy hogy van ez? valamint a boot, és egyéb partíciók azok elsődlegesek lehet/kell legyenek? az(ok) is lehet(nek) titkosítottak?
na egy részét értem már. nem értettem először miért problémázik hogy a / kisebb mint 250MB és valszeg nem lesz elég. tehát a raid partíció a fenti LVM-es résztől veszi el a helyet.
előre is köszi
szia
figyi megnéztem ezt: http://www.howtoforge.com/encrypting-the-system-manually-upon-installation-ubuntu8.04-p4
és itt azt vettem ki hogy simán csak megadok egy jelszót. itt nincs ilyen USB stick-es téma, tudom máshol én is olvastam hogy azzal is lehet, meg lehet hogy jobb is, foglalmam sincs, de elvileg így is lehetne nem?
most elindult a virtuális gépen a telepítő, kevés memóriát adtam neki, de mondjuk szólhatna vagy valami.
az ubuntu telepítőlemez viszont abszolút kilövi a virtuális gépet. most már próbáltam a szerver és a desktop változatot is…
ja mégegy kérdésem lenne: LVM? több helyen olvastam hogy tud úgy viselkedni mint a RAID, és szinte több infot találtam arról hogy titkosított rendszer LVM-mel, mint RAID-del. nem lehet hogy LVM-mel is meg lehetne csinálni amit szeretnék?
és ha mondjuk sikerül megcsinálni, letitkosítani, akkor azok akik samba-val adatokat olvasnak írnak a lemezen, azoknak is meg kell adni majd a titkosítás jelszavát?
oké
tehát akkor: azt szeretném ha a rendszer által használt bizonyos adatok (tehát végülis nekem nem feltétlen kell hogy a teljes rendszer, csak gondoltam talán egyszerűbb), php és adatbázis file-ok nem kerülhetnének illetéktelen kezekbe, úgy hogy kiszedik a vinyót és berakva egy másik gépbe simán hozzáfér.
csak gondoltam egyszerűbb ha már létezik ilyen hogy titkosított filerendszer, mert amilyen leírásokat találtam a neten, azok alapján úgy éreztem ez lenne a legkézenfekvőbb megoldás, de ha valaki tud egyszerűbbet, nekem megfelel bármi.
legutóbbi hsz