• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    DELVITLinux pro zacatecniky a obycejne uzivatele (NO FLAMES!)
    Každý kdo chce poradit ohledně linuxu je na spravném místě. Přímý následovník audítka stejného názvu. Pravidla jsou stejná jako predchozí, hlavně žádné FLAME!
    Na Hompage klubiku najdete alternativy k aplikacim. Snazim se drzet ten list v aktualizovane a hlavne zajimave alternativy, kdyby ste chteli neco pridat do listu dejte vedet.

    Jak se správně ptát:

    1) Popište příznaky problému nebo chyby co možná nejjasněji a nejpečlivěji.
    2) Popište prostředí, ve kterém chyba nastává, tj. architekturu, operační systém, aplikaci, verzi, atd. Jmenujte distribuci a verzi systému (např. Red Hat 8.0, Slackware 5.1, atd.).
    3) Popište, jak jste se k chybě dostali, a jak jste se ji pokusili odhalit, isolovat a pochopit ještě předtím, než jste se zeptali.
    4) Popište relevantní změny v konfiguraci, které jste v poslední době provedli.
    5) Pokuste se už předem zodpovědět případné doplňující otázky.
    6) Na dlouhé výpisy použijte služby na to určené - pastebin - http://pastebin.com/
    rozbalit záhlaví
    RATTKIN
    RATTKIN --- ---
    díky všem jsem tam!
    nakonec stačilo opravit UUID v /etc/fstab

    před tím jsem řešil, že gparted ani nikdo jiný neumí LUKS encrypted a musel jsem se učit s dd + milion slepých uliček.
    RATTKIN
    RATTKIN --- ---
    klonoval jsem systém (boot volume + luks) z vyhrazeného nvme disku na větší disk, kde je to jako druhý systém za windows.
    Když nastavím boot volume v biosu na ten nový boot, dostanu "grub minimal bash-like"
    zkoušel jsem spustit grub-install z live cd, dostanu error: cannot find efi directory. Možný stačí upravit nějaký konfigurák, ale nevím který. Prosím pomoc.

    Mám původní disk, můžu to naklonovat znovu a lépe, včetně odstanění LUKS, které se mi zdá že není moc podporováno v nástrojích jako CloneZilla.
    RATTKIN
    RATTKIN --- ---
    tak jsem to přeinstaloval.
    poradíte mi prosím jak do grub menu dostat další linux, který je na jiném disku a pod LUKS?
    sudo update-grub ho nevidí, ani když je odemknutý. přetím mi to fungovalo, ale už si nepamatuju jak to udělat
    RATTKIN
    RATTKIN --- ---
    ubuntu už jsem si za 2 roky rozbil, vlc nehraje, mám tam nějaké duplicity viz obr.
    Asi je jednoduchý to přeinstalovat? moc software tam nemám, ale mám triple boot s windows a LUKS pracovním linuxem

    TR1
    TR1 --- ---
    ZBYNEK:
    Myslim, ze vim cos delal spatne. Fyzicky disk je blokove zarizeni, nad kterym bylo vytvorene nove blokove zarizeni v podobe LVM, az nad nim byl LUKS a nad nim pak finalni FS. Ty jsi zcela ignoroval blokove zarizeni mezi fyzickym diskem a LUKSem tj. LVM proto ti neslo pouzit cryptsetup luksOpen /dev/sda6 jmeno. Mel jsi pouzit prikaz lvdisplay a z nej pouzit hodnotu na radku LV Path (priklad vracene hodnoty: /dev/vgxubuntu/data) napr.:

    cryptsetup luksOpen /dev/vgxubuntu/data data_crypt
    mount -t auto /dev/mapper/data_crypt /mnt
    ZBYNEK
    ZBYNEK --- ---
    Tak mám drobný pokrok... Když to nefunguje v Linuxu, tak to vyzkoušej v jiném Linuxu!

    Live xubuntu 22.04 nebylo schopné ani přes command line, ani přes gnome disks odemknout/zpřístupnit luks partition.
    Neon (20.04) naprosto bez problémů přes gnome disks odemknul luks a pak přimountoval obsah sdd6 (/). Pár náhodně vybraných souborů je bez problémů čitelných. sdd5 (/boot) se kompletně hlásí jako unallocated (to mě fakt netrápí).

    Celkem bych rád věděl, jestli jsem něco dělal špatně, nebo jestli se live usb chová v něčem jinak, ale na větší zkoumání teď není bohužel víc času.
    THERIDANE
    THERIDANE --- ---
    ZBYNEK: Co vypíše cryptsetup luksDump /dev/sda6 ? Pokud tam LUKS header ještě je, tak by to mělo jít aspoň připojit, a potom cryptsetup status NAME vypíše něco o oddíle vevnitř, a to by taky mělo dávat smysl (název, počet sektorů atd).

    Jinak tohle je důvod proč si LUKS header zálohovat :) když ti disková hlava škrábne o plotnu zrovna v místě, kde je LUKS header na disku, tak přijdeš o všechno.
    ZBYNEK
    ZBYNEK --- ---
    Máte někdo zkušenosti s data recovery z ext4+luks?

    Na disku (klasickej plotnovej) se objevily vadné sektory. sda1 (ESP) je normálně čitelné, v sda2 (extended partition) už jsou problémy se čtením. sda5 (/boot) se hlásí jako unallocated space (a mám pocit, že i reportuje větší velikost), sda6 (/) se hlásí jako LUKS, ale po luksOpen to hlásí jen jako prázdný LVM volume...

    Data by měla být zálohovaná, ale spíš mi jde o postupy a i do budoucna vědět, s čím u luks+ext4 počítat.
    DELVIT
    DELVIT --- ---
    RIVA: A nestačilo by jednoduše mít zašifrované disky a odemykat to pomocí usb klíče? Řeším teď vzdálené odemykání LUKS a na tohle jsem narazil.

    Když by neměli USB klíč tak si ten počítač jednoduše nenastartují - https://www.willhaley.com/blog/unlock-luks-volumes-with-usb-key/

    JANFROG: Geniální! takhle jsem jim na dálku pauzoval dívání, když mě přestali poslouchat. Zajímavé je, že když jim teď něco řeknu tak mě poslouchají jinak vědí, že se to pauzne .) a schovaný ovladač jim nepomůže
    RATTKIN
    RATTKIN --- ---
    na desktopu mám Ubuntu 22.04. Když ho překopíruju na notebook, dostanu hlášku Error bad shim signature. You need to load kernel first.
    To je s kernelem 5.17, se starším kernelem 5.15 bootuju v pohodě.

    Desktop nemá secure boot. Notebook asi má secure boot zapnutý, nevím, nemám heslo do biosu.
    V minulosti jsem to několikrát v pohodě kopíroval z desktopu na notebook.
    Kopíruju pomocí DD
    je tam LUKS pro root partici.

    Co mám googlovat?
    TRAGIKOMIX
    TRAGIKOMIX --- ---
    Tak mensi update ohledne meho nastaveni a setupu. Viz:
    TRAGIKOMIX:
    CPT_PLESARD:

    Po par experimentech jsem skoncil u stable Debianu 11 bez Desktopu. Slape to jak hodinky musim rict a hlavne je uz spousta navodu/rad na netu.
    Disk se mi podarilo spravne napartionovat a encryptovat:
    M2.SSD 500GB - encrypted && mounted to /root and contains /boot partition
    SATA SSD 256GB - encrypted && mounted to /mnt/data

    /boot - unencrypted partitions which contains only boot initializer with dropbear ssh enabled only on startup
    / - fully encrypted and unlocked on the startup via dropbear ssh
    /mnt/data - fully encrypted and unlocked on startup using keyfile defined in /etc/crypttab (no password required)

    V podstate to funguje tak ze pri bootu se nahodi dropbear ssh server na explicitnim portu a ceka az se pripojim a zadam heslo. Pak se zase dropbear vypne aby nekolidoval s openssh.
    Pro unlockovani druheho disku jsem musel pouzit "keyfile" protoze neslo proste to heslo zadat pres ssh. Pri unlocku /root partitiony se dropbear odpoji a vypne. Nakonec jsem usoudil ze to je vlastne fajn reseni, nemuset zadavat dalsi heslo. System stejne bezi na /rootu v M2 main disku.

    Dale jsem tam nahodil Duplicati, ktery me mirroruje data z M2 disku na Sata. Zaroven pouzivam Syncthing na synchronizaci dat ze vzdalenych serveru.

    Nejake ty navody co jsem:
    Vzdálené odemykání šifrovaného disku na serveru s Debianem - Root.cz
    https://www.root.cz/clanky/vzdalene-odemykani-sifrovaneho-disku-na-serveru-s-debianem/
    https://github.com/topics/dropbear-initramfs
    linux - Using a single passphrase to unlock multiple encrypted disks at boot - Unix & Linux Stack Exchange
    https://unix.stackexchange.com/questions/392284/using-a-single-passphrase-to-unlock-multiple-encrypted-disks-at-boot
    https://www.howtoforge.com/automatically-unlock-luks-encrypted-drives-with-a-keyfile
    CPT_PLESARD
    CPT_PLESARD --- ---
    TRAGIKOMIX: máš tam TPM chip? Pak by ti, pokud jsem diskusi, kde jsem o tom četl dobře pochopil, mohlo pomoci tohle https://github.com/morbitzer/linux-luks-tpm-boot, ale osobně jsem to neozkoušel.
    MCKIDNEY
    MCKIDNEY --- ---
    CPT_PLESARD: No LVM neni nutne. Zalezi an pouziti. Je to bastraktni vrstva, ktera ti umoznuje kompletne oddelit virtualni blok or realneho. Nektere distribuce ji dnes povazuji za vychozi a ja ji pouzivam aktivne.

    Co se tyce crypttab:
    0) Pokud pouzivas spravny postup, pak si disk vyzkousis pred pouzitim crypttab.
    1) Instalatory je umi nsstavit vetsinou bez znalosti luks a crypttab.
    2) man crypttab pro rychly uvod do souboru.
    3) Kazdy radek je jeden blok co se pouzije pri startu.
    4) Pokud tento soubor neni vyplnen, disk se nezobrazi, ale stale je sifrovan, ukaze se v GUI atd.

    sudo cat /etc/crypttab 
    #volume-name encrypted-device key-file options
    #luks-WORK_0    UUID=a8304ea6-a244-4b79-8e50-f7557c378128
    luks-WORK_1     UUID=590374af-f40a-4b96-bc2b-bb9fe8f3ff11

    Tohle je ukazka, kde pouzivam passphrase a nemam zadne specialne nastaveni.
    Disky se identifikuji podle UUID, aby nezalezelo na poradi. Jsou i jine moznosti.

    Tady jsem ted zkusil postup na mem externim disku:
    - Neni to navod
    - Vytvorim sifrovany disk, otevru, pripojim a pak naformatuji.
    - Pred zapsanim do crypttab odpojim a pripojim znovu (Sanity check)
    [MCKIDNEY@NYX ~]$ BLOCK=/dev/sdk1
    [MCKIDNEY@NYX ~]$ ls $BLOCK
    /dev/sdk1
    [MCKIDNEY@NYX ~]$ sudo cryptsetup luksFormat $BLOCK
    WARNING!
    ========
    Toto nevratně přepíše data na /dev/sdk1.
    
    Are you sure? (Type 'yes' in capital letters): YES
    Zadejte heslo pro /dev/sdk1: 
    Ověřte heslo: 
    [MCKIDNEY@NYX ~]$ sudo cryptsetup luksUUID $BLOCK
    d0e43034-c37f-4cba-b95e-fb6271abeda6
    [MCKIDNEY@NYX ~]$ sudo cryptsetup luksOpen UUID=d0e43034-c37f-4cba-b95e-fb6271abeda6 Hentai
    Zadejte heslo pro /dev/disk/by-uuid/d0e43034-c37f-4cba-b95e-fb6271abeda6: 
    [MCKIDNEY@NYX ~]$ ls /dev/mapper/Hentai
    [MCKIDNEY@NYX ~]$ sudo mkfs.ext4 -q -L Hentai /dev/mapper/Hentai
    [MCKIDNEY@NYX ~]$ sudo mkdir -p /mnt/homework
    [MCKIDNEY@NYX ~]$ sudo mount LABEL=Hentai /mnt/homework/
    [MCKIDNEY@NYX ~]$ sudo touch /mnt/homework/tip
    [MCKIDNEY@NYX ~]$ sudo umount /mnt/homework
    [MCKIDNEY@NYX ~]$ sudo cryptsetup luksClose Hentai
    [MCKIDNEY@NYX ~]$ sudo cryptsetup luksOpen UUID=d0e43034-c37f-4cba-b95e-fb6271abeda6 Hentai
    Zadejte heslo pro /dev/disk/by-uuid/d0e43034-c37f-4cba-b95e-fb6271abeda6: 
    [MCKIDNEY@NYX ~]$ sudo mount LABEL=Hentai /mnt/homework/
    [MCKIDNEY@NYX ~]$ sudo ls /mnt/homework/
    lost+found  tip
    [MCKIDNEY@NYX ~]$ sudo umount /mnt/homework 
    [MCKIDNEY@NYX ~]$ sudo $EDITOR /etc/crypttab
    [MCKIDNEY@NYX ~]$ sudo cat /etc/crypttab
    Hentai UUID=d0e43034-c37f-4cba-b95e-fb6271abeda6
    MCKIDNEY
    MCKIDNEY --- ---
    OpenMediaVault by mel byt Debian ne? Tazke ZFS rozhodne neni user friendly.
    Rozbehat LUKS na RAID je relativne snadne, takze se nenech odradit a dotahnem to.

    Jinak CPT_PLESARD vypada ze mame problem ti jenom porozumet. Mozna napis presneji co delas do <code> nebo pripadne par screenshotu.

    Co se snazime rict je, ze kazda vrstva je izolacni a pokud pracujes 3, tak te 1 nezajima a tak dale.

    Vrstvy jsou
    1) Blokove zarizeni
    2) GPT tabulka a alespon 1 oddil
    3) mdadm RAID
    4) LVM
    5) LUKS
    6) Filesystem

    Podle pouziti zvolis, ktere vrstvy chces a instaluji se v tomto poradi.

    Pokud pri snaze vytvorit 6 zformatujes 3 tak o vse prijdes.
    Pokud po vytvoreni 5 zapomenes na crypttab, tak sde ti po restartu luks neobjevi.
    AXTHEB
    AXTHEB --- ---
    CPT_PLESARD: Ten LUKS by ti IMHO měl vytvořit nové blokové zařízení, děláš ten FS na něm? Pokud ho děláš na tom raidovém, pak není divu, že se to z toho LUKSu ztratí, protože přepíšeš LUKSová metadata.
    CPT_PLESARD
    CPT_PLESARD --- ---
    KOLCON: to myslíš jako otázku na pořadí úkonů?
    1) RAID
    2) LUKS
    2) filesystem
    CPT_PLESARD
    CPT_PLESARD --- ---
    Tak já to zkusím.
    Mám komp, který chci používat jako NAS.
    Nainstaloval jsem OpenMediaVault, doinstaloval jsem modul LUKS.
    Mám tam 3 disky, který chci mít jako RAID5.
    Dokud ty disky nejsou nastavený jako RAID, tak LUKS nevidí nic, co by se dalo šifrovat.
    Udělám RAID, a zašifruju ho. V LUKSu to vidím, a můžu to případně odemknout.
    Udělám na tom RAIDu filesystém, a z LUKSu se mi tenhle záznam o zašifrování ztratí. A zase v něm nevidím nic, co by se dalo zašifrovat.
    Takhle to má fungovat?
    Nebo něco dělám blbě?
    Díky.
    MCKIDNEY
    MCKIDNEY --- ---
    Planuji instalovat doma novou workstation. Tedka koketuji s ostree a Fedore Silverblue 33.
    VM, VFIO, small dev work. RAID 1 a RAID 0 storage

    Soucasny plan je:
    - Male SSD/Flash pro: /boot, LUKS (LVM pro root, var, var/home, var/log, var/containers)
    - Zbytek bude LVM s mirror a stripe rovnou (asi opustim MD na chvili.)

    Hraje si s ostree nekdo?
    KOLCON
    KOLCON --- ---
    Kucí (a holký), fakt používejte setup železo / velká partišna / (luks) / lvm... Ušetří vám to spoustu trápení...
    Kliknutím sem můžete změnit nastavení reklam