Оуэн Тейлор (Owen Taylor), создатель GNOME Shell и библиотеки Pango, входящий в рабочую группу по развитию Fedora для рабочих станций, выставил на обсуждение план шифрования по умолчанию в Fedora Workstation системных разделов и домашних каталогов пользователей. Из плюсов перехода к шифрованию по умолчанию называется защита данных в случае кражи ноутбука, защита от атак на оставленные без присмотра устройства, поддержание конфиденциальности и целостности из коробки без необходимости совершения лишних манипуляций...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58916
Весьма полезно
> Весьма полезноДля товмайора, чтоб не парится с расшифровкой.
> Без поддержки UKI невозможно гарантировать неизменность содержимого окружения initrd, в котором осуществляется определение ключей для расшифровки ФС
БРЕХНЯ И ЛОЖЬ!
Жучки хотят похерить загрузчик.
https://www.opennet.ru/openforum/vsluhforumID3/128844.html#276
Почему не используют классический вариант верификации: https://www.gnu.org/software/grub/manual/grub/grub.html#Usin...
Думаю что все же полезность в пользовательской ОС должен определять сам пользователь, а не иметь безальтернативный метод использования. Не имею ввиду офис и наличие корпоративных политик. К чему к примеру мне, с средними показателями аппаратной части моего ноутбука шифрованная ФС? Скажете - не нравиться вали отсель, как то не вяжется с лицензиями и методами открытого ПО.
>ключи шифрования планируют хранить в TPM-модулеEEE
Тезис вечной иглы для примаса вновь станет актуальным.
>Btrfs fscryptКек, теперь твои данные не сможет прочитать не только злоумышленник, но и ты сам. 100% защита!
использую btrfs + luks несколько лет, полет нормальный. Баги btrfs наблюдаю только в интернетах, особенно в разделе "Комментарии". У себя багов btrfs не видал, но надеюсь наконец увидеть. Притронуться к этому единорогу, так сказать.
Вопрос не относится к теме поста, но все же задам его.
Как ситуация с btrfs на hdd обстоит? Сильно тормозит?
Помимо ssd, на btrfs + luks держу жесткий диск для кинца (не спрашивайте, зачем мне понадобилось шифровать кинцо). 2160p смотрится комфортно. Не, если начать прыгать по фильму туда-сюда, то конечно да, не сразу считывает нужные моменты. Но без нешифрованного btrfs/ext4 на том же девайсе трудно сказать, что именно тормозит -- традиционно неторопливый класс железа HDD или все-таки файлуха.
"но это же ж - п-ц!"то есть у тебя НАСТОЛЬКО п-ц что банальный слайдер видео не отрабатывает мгновенно?!
Впрочем, да, cp лучше все же шифровать.
1920p реагирует на клики по слайдеру через треть секунды. 2160p (а я люблю видосы покачественнее, чтоб аж были видны все одноклеточные животные) может задумываться над кликами по 5 секунд в худшем случае. НЖМД, чего ты хотел?
хм, я наивно надеялся что это устройство с _произвольным_ доступом, как в школе учили.
1080p ты хотел сказать. И не благодари...
> не спрашивайте, зачем мне понадобилось шифровать кинцо. 2160p смотрится комфортно. Не, если начать прыгать по фильму туда-сюда, то конечно да, не сразу считывает нужные моменты.Да ты сам рассказал, что за кинцо у тебя там раз прыгаешь при просмотре.
кoнcтитуция_рф_1993.mp4
BTRFS для HDD - это чистой воды извращение. Лучше ZFS, а на худой конец EXT4 & XFS.
ну да, ну да - для флэша-то ее 32x write amplification будет просто в самый раз.нет, open(другой уж нет)zfs не лучше ничем и у тебя не останется даже призрачного шанса ее починить если "unable to import pool"
xfs+thin lvm или ext4+raw hdd - единственный на сегодня более-менее приемлемый выбор для тех чьи данные имеют ненулевую ценность но не оправдывают ежечасный бэкап.
Ну или ntfs. Если больше читать чем писать - то даже и не хуже. С шифрованием правда не все гладко.
Вы не поверите... ZFS к SSD относится намного бережнее, чем BTRFS. И не окирпичивается самым случайным образом, в отличии от сабжа. И размер блока регулируется, и позволяет еще много чего, в отличии от сабжа. Не файловая система, а мечта! Не вижу у нее конкурентов от слова "совсем".
ну не знаю - с моей точки зрения оба хуже.
write amplification у них примерно равны. Случайным не окирпичивается, окирпичивается неслучайным.
Но зато у того fsck, а у этой вендоутилита за деньги и несовместимая с новыми гениальными идеями.
Размер блока совсем не та деталь которую мне интересно менять. Вот отключение CoW там где он не нужен - поинтересней будет.
Каравай-каравай, каку хочешь - выбирай.
С отключенным CoW в BTRFS - особого смысла нет Ни csum, compression, snapshots... EXT4, XFS будет и быстрей, и надежнее данной файловой системы. Что до WA - он разный. К тому же, новая политика в отношениее metadata=dup - крайне быстро изнашивает SSD. Вдвое быстрее, чем было до этого. Натыкался даже на то, что за год ресурс падал более, чем на 50%. Когда практически все в один голос утверждают(спецы в том числе), что BTRFS - плохая файловая система... вам не приходил в голову что, может быть, так оно и есть?
> практически все в один голос утверждают(спецы в том числе),это не спецы, а эксперты опеннета. понимать надо.
> С отключенным CoW в BTRFS - особого смысла нетостается управление пулом, сабволы и прочие прелести фс 21 а не 20 века.
Ну и отключать его нужно только там где это действительно необходимо - и это лучше чем делать отдельный раздел с xfs.> вам не приходил в голову что, может быть, так оно и есть?
так эскобаржпг же ж... То есть приходило, но что у нас безусловно хорошее то?
современные нжмд и ттппзу давно превратились в расходник. Особенно ноутбучные. 3года и можно начинать трястись, если не раньше.
Так что в любом случае нужно будет бекапить на несколько внешних носителей.
После множества снапшотов начинает сильно тормозить, видимо, из-за фрагментации
Самая быстрая фс на HDD?
у меня сдохла разок. Причем именно в тот, когда я упарывался по некоторым полезным скриптцам.
Итоги: btrfs пошла в лес, бекаплюсь почаще.
Остальные FS годами в порядке
Тухлодырое железо смени на нормальное, у которого нормально работает Flush.
жалкое блочное устройство не достойно носить эту совершенную файловую систему? сделай-ка ты сам flush с такими выводами
>Остальные FS годами в порядкеFS "в порядке" - а данные битые. У ext4, xfs нету чексум на данные.
и тем не менее чексуммы были, а данных не было
Что именно битое? Говорите точнее.
> Баги btrfs наблюдаю только в интернетахГде-то читал, что у btrfs есть проблема с множеством файлов малого размера, когда метаданные весят больше самих данных и происходит заполнение хранилища "несуществующими" данными. Но опять же, все на уровне слухов и статей в интернете.
Шишкины сказки
>Шишкины сказкиКоторые легко проверяются.Сейчас с включенным сжатием и простым однообразным мелким заполнением (типа dd=11 )не сломаешь фс,сработает сжатие,человек проверял.А без зжатия дела плохо,метаданные растут как тесто на дрожжах (была статья где человек проверял слова Шишкина).Также если работать на индексацию с sqlite c очень мелкими блоками журнала без опции nocowdata ,вы охренеете посмотрев на метаданные.Скорее всего фс не поломаете,т.к сейчас при нехватке места под методанные нарезаеться еще блоки для них ,но хорошего мало.
Проблемы подвержены 10мб-ные ссд-шки?
>Проблемы подвержены 10мб-ные ссд-шки?Не знаю,на 10 мгб мне не удалось поставить btrfs, возникает ошибка нет места :-)
Зачем троллить ? Ясно дело что проверяется информация на 1 Тб размерах жёстких дисках, меньше лет 5 как хрен купишь кроме как б.у.С ssd чуть по другому работает фс, там на хлам в метаданных можно не обращать внимания пока не развалиться фс, фрагментация не ощущается.
> с множеством файлов малого размера, когда метаданные весят больше самих данных и происходит заполнение хранилища "несуществующими" данными.Там не с несуществующими данными проблема. Проблема в том что мелкие блоки по примеру райзера пишутся в метаданные. Однако райзер что бы метаданные не раздувались предусмотрел сброс мелких блоков в специальных "хвостовик" -когда эти блоки упаковываються в специальный крупный блок с данными.А в бтрфс положились на балансировку , при работе с мелкими файлами балансировка не успевала раскидать метаданные и приходил кердык фс ,нету места для метаданных.
Сейчас для дополнительных метаданных автоматически выделяеться дополнительное место, проблема сгладилась.Вдобавок ввели параметр ограничивающий для мелких файлов блок записи в метаданные max_inline, но как этот параметр покажет под нагрузкой бабушка Нюра знает.....
Вставлю и я свои пять копеек.
Что было: был vps на ssd (иопсов было достаточно, выше 3-5к стабильно), oracle linux 7 с ядром UEKR5, в котором поддержка btrfs от оракла, диск около 700ГБ.
На основе этого я сделал бэкап-сервер нескольких немаленьких магазинов на битриксах, в среднем сайт содержал 1-3М файлов. Старожилы помнят, что битрикс из коробки имеет около 100к файлов, на его фоне какой-нибудь вордпресс с 200 файлами - микро CMS. В сумме по всем сайтам было что-то около 20М файлов, это навскидку, потому что btrfs не показывает кол-во inodes, их нет в этой фс. Профиль файлов был от 2кб (php битрикса) до 400кб - оптимизированные пикчи товаров.Что я хотел: весело и просто организовать бэкап на основе btrfs с сжатием lzo (есть и zstd, но чую zstd кушает достаточно оперативы) и использованием *снапшотов*. Для этого ничего сложного нет, замаунтить раздел с опцией compress-force=lzo, и создать subvolume, в который будут помещаться файлы бэкапов, и этот сабволюм будем подвергать снапшотам.
Что я получил: первое время было классно. Все сливается, все сжимается, экономия пространства, все снапшотится - красота. Но после пары месяцев, когда пришлось удалять старые бэкапы (потому что места заканчивалось), обнаружил интересные неприятные особенности. Первое время удаления все удалялось относительно быстро, ядерные процессы btrfs-transaction и btrfs-cleaner отрабатывали по паре минут, но вроде все чистили и успокаивались. А потом начался сущий кошмар - после 2-х месяцев удаения (то есть этот бэкап сервер уже где-то месяцев 6 в эксплуатации) btrfs-transaction и btrfs-cleaner начали работать по десятку часов. Проблема в том, что когда они работают, они насилуют дисковую подсистему в отсечку. Поскольку VPS, ко мне поступила инфа, что 24 часа в день насиловать диск не стоит. И все закончилось тем, что бэкапилка со снапшотами сломалась - удаление старых не успевало отработать до поступения новых.
Итог: пошел по тупому пути, сделал ext4 с 1млрд inode-ов, оператива с подобного кол-ва инодов в шоке, но вроде как нормально работает связка ext4 + снапшоты rsync hardlinks. Бэкапы надежно сливаются, хранятся без насторожительных сообщений в dmesg, удаление также не вызывает проблем (не быстрое, все-таки каждый inode удаляется, но не более 1-2 часов на все про все). Все-таки классическая ФС ext4. Народ будет писать про bacula/bareos, borg и прочее. Но для них нужны нормальные сервера, а не вот это вот все бич-бэкапы.
> сделал ext4 с 1млрд inode-овНу блин... шляпа 7 думаешь просто так XFS форсит?
Надо было её делать.
> и успокаивались. А потом начался сущий кошмар - после 2-х месяцев
> удаения (то есть этот бэкап сервер уже где-то месяцев 6 в
> эксплуатации) btrfs-transaction и btrfs-cleaner начали работать по десятку часов. Проблемаа пинок в сторону btrfs balance не был попробован по незнанию или не помог?
Потому что это вот оно на первый взгляд.
(на второй это может быть неконтролируемый рост метаданных в которых она утонула и тогда не лечится)
Возможно, ты имеешь в виду rebalance и scrub?Вот я с этим вопросом и вышел в инет,
С запросом гугла "slow btrfs-cleaner" я пришел на стековерфлоу,
Там были предложения по rebalance-у и scrub.
Ребаланс немного не то, это для btrfs в режиме raid (да-да, и это он тоже умеет),
Но и он был запущен - а куда деваться. Толку 0.
Скруб тоже был запущен - это помогло *замедлить* разрастание metadata,
Не убрать, а сократить. Метадата так же росла по мере обновления бэкапв.Кстати, забыл, после ext4 я начал интересоваться по тегу filesystem for small files,
И ответ был дан так же на стековерфлоу - старая-добрая reiserfs.
Благо есть elrepo, и модуль реизерфс для стокового ядра EL7.
И в общем по моим тестам, очень неплохо показывает себя в моем кейсе (reiserfs + rsync-hardlinks snapshot), там где ext4 занимал 400гб данных, рейзерфс где-то 330гб - мелочь, а приятная экономия.
Единственное, что у него какая-то механика хеширования имен файлов,
И в дефолтном методе r5 есть коллизии, а в улучшенном tea такой проблемы нет.
Сделал на tea, проблем не заметил.
Теперь кусаю локти как воткнуть reiserfs в следующий Oracle Linux 8,
На следующем проекте.
> после 2-х месяцев удаения (то есть этот бэкап сервер уже где-то месяцев 6 в эксплуатации)о! теперь я знаю, как сделать гадость одноразовому жлобу-заказчику.
причем совершенно легально, и даже как бы с благими намерениями
("btrfs - это стильно, модно, прогрессивно. редхат не может ошибаться").
спасибо тебе добрый анон.
Никому доверять нельзя, даже себе!
... в наш век соблазнов и трансформаций )
Мне - можно.
А Btrfs уже перестала портить данные?
Или это тоже часть защиты?
" Из плюсов перехода к шифрованию по умолчанию называется защита данных в случае кражи ноутбука, защита от атак на оставленные без присмотра устройства, поддержание конфиденциальности и целостности из коробки без необходимости совершения лишних манипуляций."И
"(т.е. на этапе загрузки системы пользователю не нужно будет вводить пароль для расшифровки системных разделов)"
=
"Нашёл" ноутбук, загрузился до tty(данные уже расшифрованы). Передал перед этим загрузчику (аля systemd-boot) загрузку в аварийном режиме, подмонтировал диск, скопировал данные.
Как это даст расшифровать зашифрованный домашний каталог?
Про домашний каталог уже написали, но я добавлю.Чтобы войти в консоль в аварийном режиме, нужен пароль root. И пустой пароль там не допускается.
Открывается корпус вешается клипса на тпм и считывается ключ
Открывается корпус - TPM сбрасывается к заводским настройкам.
То есть ноут не ремонтнопригодный?
Посмотрите просто как это сделано в винде. Пользователю вообще не надо знать ни про какие TPM. Но если что-то пошло не так, винда предлагает ввести ключ восстановления и все начинает работать как раньше.
Нет, так никто не делает, конечно. Да и открытие корпуса в measurements, вроде, обычно не попадает. Но открытый корпус атакам на тпм не очень помогает.
И ОС и данные больше никогда не расшифруются.
Ключи никогда не покидают TPM в открытом виде, потому клипса не поможет.
Корневой ключ, в принципе, ни в каком виде не извлекается, пользовательские ключи выгружается и загружаются для совершения криптографических операций на самом tpm только в зашифрованном корневым ключем виде.Это несколько упрощенное описание модели безопасности tpm, если что, но, думаю, общую идею ты понял.
Ну, поможет, на самом деле. Сам RSA-ключ из TPM не нужен для расшифровки ФС, а parameter encryption не использует ни одна имплементация, по какой-то причине.https://www.secura.com/blog/tpm-sniffing-attacks-against-non...
> Это несколько упрощенное изложение описания модели безопасности tpm, опубликованного теми, кто его пропихиваетНе благодари.
Аппаратный снифер никто не отменял. Вряд ли они будут гнать весь трафик ФС через дохленький чип.
А если TPM встроен в чипсет?
Ты так и не понял как это работает. Посмотри внимательно и тогда поймешь что да как.Заранее скажу, что твой вариант не пройдет)
Или как не работает: CVE-2023-1017 and CVE-2023-1018
Когда "нашел", то данные интересуют меньше всего. Нужен сам ноутбук.
Они ж не совсем тупые иногда. Но в целом близко к тому.
Никто тебе не оставит single user mode и т.п. в меню загрузчика, когда это нужно.
Надо насильно продвигать процессоры с крипто. Новая clib не тянет?
В смысле? У всех у кого железо выпущенное 5-8 лет назад уже есть tpm. На более старом железе даже web уже еле ворочается, я конечно понимаю что тут сплошные некрофилы, но не до такой же степени.
Вот прям у всех!
Открой ситилинк к примеру и найди хотя бы в 50% предложенных ))
Что, TPM? У 100% предложенных Интел начиная со скайлейка, у АМД начиная с райзенов 1000 или 2000 серии, точно не помню, погугли если хочешь точно узнать.
Меч идёт о процах с аппаратной поддержкой криптографии.
По началу идея казалось здравой, пока что не дошел до этого момента>Сроки реализации инициативы зависят от перехода дистрибутива на унифицированный образ ядра UKI (Unified Kernel Image), объединяющий в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd.
Учитывая корпоративное начало Fedora(детища RedHat(IBM)) ничего хорошего от этих решений я не жду. Как всегда по методичке начинается невинно: "для вашей же безопасности", "другие варианты невозможны" и т.д. и т.п, а заканчивается анальными зондами, вендорлоком, подменой понятий и смещением фокуса в мире открытого ПО. Переворот в FSF, размывание границ между копилефтными и копирайтными лицензиями - это все одного поля ягоды. Другое дело, что весь большой опенсорс - это продукт корпораций и их рабов на зарплате, а не магическое сообщество программистов, и решает здесь все та же грязная зеленая бумажка.
Фантазии ребёнка младше 25 лет.
Аргументы? С чем именно вы не согласны?
У него стадия "отрицание", какие могут быть аргументы.
Сразу видно человека который не знает как в дистрибутиве fedora принимаются решения и кем. Прежде чем такой бред писать погугли бы сначала.
И Гугл это не знает, и ты этого не знаешь. "На гора" компании выходит то, что ты опровергаешь.
Вот тебе. Похоже Гуглом пользоваться не умеешь.
Ты что сказать то хотел? Избрали и что? Много кого избирают, а потом плачут и на улицы выходят. А тут вообще на окладе или прикорме. Интересы компании.
На заборе написано красиво всегда должно быть.
Это уже демагогия, я к тому что все решения проходят через комьюнити, выдвигаются кандидатуры от них, и голосует тоже комьюнити, так что последнее слово не за корпорацией.если бы вы следили за темой вы бы видели что это работает.
А "комьюнити" - это кто?
Ага, потом мамкин шифратор-ололош будет ломиться в техподдержку с забытым паролем, продолбанными ключами и плакаться помочь ему с системой. И справедливо будет послан лесом, отличное решение - поддерживаю!Надеюсь эти петросяны не протолкнут подобное в серверные варианты, а то подобные же ололоши-одмины однажды установившие систему сруливая на другое место работы могут подкинуть сюрприз-сюрприз, что выколупывать данные нужно будет не с помощью простого подмонтрования, а с помощью поисковой-терморектально-аналитической бригады.
Надо стимулировать сбыт новых ноутов. На что только не пойдут ради сотрудников,забыващих ноут в метро.
вообще-то эту проблему ibm решила давным-давно. линукс нинужен.Но потом зачем-то продали бизнес китайцам.
thinkpad с забытым паролем, включенным шифрованием и разблокировкой пальцем - это выкрасить и выбросить. Ну, если палец уехал туда где его никак не достать.
Мать под замену, диск только оформатировать. И это 2007й.
Такое можно организовать и безо всяких uki...
Так что, диффиктивный манагер, ты это, свою гордость засунь в задницу - перед офисной мышкой будешь трясти мудями - а не то и терморекталка не поможет... И это не говоря о случаях, когда у бывшего есть своя серьёзная крыша.
Хороший наезд. Видна старая контора - смесь хамства, рейдерства и наиспуг.
У тебя в быдлофоне ФС скорее всего УЖЕ зашифрована, лосяш. И ты, наверное, об этом даже не знаешь.
Вот именно скорее всего. Делать выводы на предположении старая традиция.
В моём - зашифрована. За других производителей я не отвечаю. Потому и не пишу в булевом ключе.
> У тебя в быдлофоне ФС скорее всего УЖЕ зашифрована, лосяш. И ты,
> наверное, об этом даже не знаешь.Ололош, нет быдлофона - нет проблем.
Да, так можно было.
госуслуги смотрят на тебя со злобой и презрением
>потом мамкин шифратор-ололош будет ломиться в техподдержку с забытым паролем, продолбанными ключами и плакаться помочь ему с системойОднако, если ты занимаешься продажей поддержки, то это даже выгодно.
> сруливая на другое место работы могут подкинуть сюрприз-сюрпризИ очень быстро поедут топтать зону. У нас такой один был обиженный, гордо уволился по собственному и навернул прод. Предложили по-хорошему всё починить обратно, но парниша решил идти до конца. На суде плакал, но так как размер ущерба исчислялся в сотнях тысяч долларов, условным отделаться не удалось. А компания уже через неделю работала как будто ничего и не случилось, потому что за бэкапы отвечали совершенно иные люди. Даже год без убытков закрыли. Такая вот грустная история со счастливым концом.
>> сруливая на другое место работы могут подкинуть сюрприз-сюрприз
> И очень быстро поедут топтать зону. У нас такой один был обиженный,
> гордо уволился по собственному и навернул прод. Предложили по-хорошему всё починить
> обратно, но парниша решил идти до конца. На суде плакал, но
> так как размер ущерба исчислялся в сотнях тысяч долларов, условным отделаться
> не удалось. А компания уже через неделю работала как будто ничего
> и не случилось, потому что за бэкапы отвечали совершенно иные люди.
> Даже год без убытков закрыли. Такая вот грустная история со счастливым
> концом.Не все истории заканчиваются подобным образом. В идеале вообще не должно быть хоть каких-то вариантов реализаий всяческих подстав. Да только в реальной жизни царит полный бардак, только вот если контор безалаберных может и не жалко, зато бывает жалко людей, которые могут пострадать, потому что их жизнь и здоровье зависили от подобных "сервисов", а у них даже опций выбора этих вот "сервисов" не было, народ думает, что раз сурьёзная контора, значит у них всё по-серьёзному.
И да, меня всегда умиляют примеры образцово-показательных контор, которые типа со всех сторон защищены, всё у них ОК, и только какие-то дятлы страдают. Я вам секрет открою: к сожалению дятлов очень много. Их прорва даже там, где вы думаете, что их нет и у конторы всё отлично.
Не в ваш огород камень конкретно, таких примеров тут есть любители обильно наваливать. Хотелось бы, чтобы было так. Вот только тотальное разгильдяйство зачастую пытаются порешать грубой силой. Вот только не всегда получается без последствий для непричастных.
> в реальной жизни царит полный бардакОтучаемся обобщать.
Это я уже читал несколько месяцев назад. Причём слово в слово. Вы штатный копипастер опеннета?
Пообщаюсь с копипастой...> У нас такой один был обиженный
А кем "обиженный" и как, уточнить можешь? Может, в следующий раз "топтать зону" поедешь уже ты?
> Ага, потом мамкин шифратор-ололош будет ломиться в техподдержку с забытым паролемЕму нужно предоставить один раз этот опыт. Пока не успел создать важное. А когда создаст, то будет уже достаточно опытен и хомячки не пострадают.
А что галки в инсталяторе недостаточно?
Хе. Как скоро выйдет платная Fedora Cloud - АКЦИЯ*! ВСЕГО** ЗА*** 99.99$****/месяц*****! - ведь безопаснее всего, когда код крутится на "доверенном" (копроративном) сервере, а юзер иметт лишь vnc-подобный доступ.
дак вроде хромбуки были как раз про такое
ни разу, гугель не такой. Кот (гуглевый) крутится на недобуке за твои денежки и твое электричество.
А вот данные твои - те да, надежно (с гарантией никакихгарантий и сервис предоставляется пока нам нравится) хранятся у него.
Кот-то на девайс юзера приходит мяукать с доверенного сервера.А если нужно мяукать на доверенном сервере, то проблемы нет за то денег брать. И берут.
Лучше бы инициатор довел до ума гном.
Чукча не доводитель, чукча начинатель.
> требуется верифицированная загрузка всей цепочки до монтирования ФССпасибо, посмеялся. Интел - проприетарное г, ТПМ - проприетарное г, УЕФИ - проприетарное г, все прошивки - проприетарное г. Но нам нужно доверенное, да.
кроме шуток
назови мне хоть 1 ноутбук, на котором можно пользоваться ПОЛНОСТЬЮ открытым софтом.
чтоб и загрузчик и фирмваря вся была попенсорс?
и чтобы это не был некрошлак на коре2дуо
хотя бы на 9-11 интоле 2-3 амудэ
не? https://system76.com/laptops/galago
панголин я бы купил.
но как его купить из РФ да еще и с русской клавой?
>BIOS
>Winbond W25R256JW flash chip
>WSON-8 form factor
>Programmed with System76 firmware (non-open)
>EC
>ITE IT5571
>Programmed with non-open EC firmwareТам фирмварь закрытая.
> но как его купить из РФ да еще и с русской клавой?может еще купить за тебя? А то смотрю тебе слишком сложно
Что еще можешь купить в забугорье?
Через клуб.
> но как его купить из РФ да еще и с русской клавой?Съездить с отпуск, на каникулы, конференцию.
Отнести лазерным гравировщикам, наклеить и т.п.
не, там вайфай проприетарный 😏
по твоей логике, если шо то проприетарное, то все пропало. Пароли, кредитки можно хранить в текстовом файлике и пользоваться адварью на винде.С софтом на уровне ОС и прикладного ПО подстав уже много, а в фирмварь еще придется извернуться, чтобы впихнуть.
Но доверенным узлом подобное не может быть, и более того, даже наоборот.
> назови мне хоть 1 ноутбук, на котором можно пользоваться ПОЛНОСТЬЮ открытым софтом.IBM ThinkPad X60, X61 заапрувлен Столманом, насколько помню.
Другое дело, что примерно 20 лет той модели...
А кто у нас занимается производством OpenHardware?
Под "доверенным" тут подразумевается что недоверенным\сомнительным объектом по умолчанию является пользователь, который должен всячески доказать что он это он и компуктер его. А вот изготовителю положено доверять автоматически.
>УЕФИ - проприетарное гИнтел регулярно спеки выкладывает.Так что есть свободные реализации UEFI хотя бы для qemu и виртуалбокса.Ну еще какой то проект выкидывал свободную реализацию для пару ноутбуков и материнских плат,давно было как бы не 8 лет назат.
шифрация это хлорошо : не только чтобы не прочитать чужое , столько чтобы добрые люди не подкинули какую нибудь хрень - потом доказывай что не твоё
те добрые люди, что могут подкинуть, они тебе так и так подкинут, не переживай, их совершенно не будут такие мелочи беспокоить.
именно. Этим "добрым людям" необязательно файлы на комп подкитывать. Можно в карман что-то осязаемое подложить. А потом журналистам говорить, что "взяли с поличным".
Сейчас за осязаемое срок дают меньше, да еще и возможность стать героем.А за то что тебе подкинут неосязаемо - пятнашечка без шансов на досрочное.
Кек, зачем подкидывать, когда могут твои же на карту себе скинуть и оформить как спонсирование терраформирование сирии какой-то :)
Ваще-то Федора - это другие страны.
а как ты докажешь, что не твое, если они просто поставят туда винду и подкинут все, что нужно?
А зачем по умолчанию-то? Кому надо - тот включит, но в большинстве случаев шифрование диска ни к чему.
И, что не так? Кавонада и включил. Просто это не тебе надо и не ты включил - вот и бесишься.А не будешь шифровать - отключим газ!
Сед диски уже не в моде?
эта вот вера в "по умолчанию" она конечно впечатляет..в среднем по больнице, даже "технари" - немного технически подкованные пользователи (бэкенд, фуллстек и прочие разрабы) - не справляются с задачей приватные ключи от ссх паролем защитить, не то что рассчитывать, что по умолчанию они и диск пошифруют. Гонору конечно у них больше всех при этом.Поделитесь из опыта - как принято в линуксах уже на установленной системе шифрование включать? В одной из прошлых контор на винде ITSec/CorpIT выкатили всем битлокер корпоративненько без переустановок ОС, а тут уже два года жду когда выкатят на ноут с линуксом, может не умеют, конечно.
> Поделитесь из опыта - как принято в линуксах уже на установленной системе шифрование включать?никак.
Сбэкапь, пяток раз поперезапиши диск нулями (а не то прочитают не нули), включи шифрование и восстанови бэкап.Но эту проблему решить федориному горю не по чину (а разработчики вечнонедоделанной btrfs заняты более важными им делами) - поэтому мы тебе просто при установке все позашифруем нахрен, нравится тебе это или нет.
Причем проклятая венда-то при попытке включить шифрование внятно так намекает - "сделай-ка себе шифропанк бэкапчик ключей на флэшку и сбереги понадежнее", а тут будет - как всегда.
>> Поделитесь из опыта - как принято в линуксах уже на установленной системе шифрование включать?
> никак.
> Сбэкапь, пяток раз поперезапиши диск нулями (а не то прочитают не нули),
> включи шифрование и восстанови бэкап.Вопрос был к эксперту опеннета, у вас опыт за пределами локалхоста прослеживается, так не честно.
> Но эту проблему решить федориному горю не по чину
я на этом ресурсе и в других интернетах видел отзывы экспертов о том, что Федора не есть труъ дистрибутив/система, для ламерья всякого, поэтому и спросил "в линуксах" - допускаю что в труъ всё есть. Осталось узнать где этот тру и какой там еще MDM прилагается.
там даже эксперты локалхоста справились бы, потому что ты будешь ржать но именно эта инструкция приводится в доках к fscrypt.>> Но эту проблему решить федориному горю не по чину
> я на этом ресурсе и в других интернетах видел отзывы экспертов о том, что Федора не есть труъ
> дистрибутив/система,ну это ж те самые эксперты.
за федорой стоит rhbm. Проблема в том что это не та часть rhbm которая могла бы шлепнуть плеткой и заорать - программировай, блжд! Федора может делать многое в своей области - ну вот там наделали гомопрослойку для оффлайнапгрейда (то есть без гома хрен тебе а не оффлайн апгрейд) - всего лишь с двумя перезагрузками в процессе (аж переплюнули вендупоганую, та обычно одной обходится) - заметим что ради этого даже внесли изменения в системдрянь, и в очередной раз переписали установщик - это пожалуйста.
Но переписать приличную подсистему ведра - это нет, это надо в другой отдел заносить, а с межотдельской коммуникацией у IBM исторически никак.
> там даже эксперты локалхоста справились быС реинсталлом своего локалхоста то конечно, это даже я смогу, хоть и не эксперт. Какой будет план при массовом внедрении, мне тут больше интересно. Пока я вижу вокруг что машины с линуксом идут без mdm, password policy (понятно что и без ldap, local accounts), screen lock timeouts и конечно нешифровнными дисками. На ноутбуках, да.
Ну апдейты конечно на откуп пользователя (т.е. их нет).> (аж переплюнули вендупоганую, та обычно одной обходится)
11ая кстати как будто ещё реже в ребут хочет. Я на insider beta channel зачастую по 3 недели без ребута да и не помню уж когда она дольше чем 5 минут на это тратила.
По теме - переплюнуть винду из расчёта что пользователь машины является её же администратором в масштабе внедрения один человек ну это и не трудно - сам дурак если что. Как увидим ноутбуки с предустановленым Линуксом и чтобы был раздел восстановления системы прям из коробки, там и поговорим. На добавку можно конечно и system reset прямо из самой системы
Тут вот https://news.ycombinator.com/item?id=35415758 вендупоганую в очередной раз хоронят - не так конечно как FreeBSD хоронят, Фряху скорее оживлять пора, хоронить уже и не надо, местами интересно.
да ну нах, опять недотыкомки купившие хомеось вместо про ноют что с ними и обращаются как с т-пыми хомяками.Оно для таких и предназначено. Поэтому все пароли - в облаке, сам юзверь их через пять минут уже не может вспомнить, и все остальное в том же ключе.
То есть пароль шифрования мне знать не дадут, зато его смогут узнать хакеры, которые взломают TPM? А можно мне пожалуйста оставить пароль?
Перечитай новость ещё раз, с акцентом на системный и домашний разделы
Посмотрим-посмотрим, как они таки наконец запилят файловое шифрование в бтрфс. А то в OpenZFS оно уже давным давно есть.
А чем это лучше FDE? Или, например, наоборот - файла-контейнера.
FDE:
1. не обеспечивает контроль целостности (но тут на помощь приходит сама бтрфс, если она поверх FDE)
2. из-за специфического принципа шифрования (например в XTS, который корректнее называть XEX) злоумышленник может узнавать, какие именно места (с точностью до размера блока шифра, 16 байт) перезаписывал юзер. И потом делать выводы например о том, какая у юзера ФС и что за данные у него могли быть, какие изменения он вносил.
В случае файлового (ну точнее экстентного, как пилят в бтрфс) шифрования каждый экстент оказывается зашифрованным независимо, и изменение даже 1 байта приводит во1 к генерации нового экстента (принцип CoW, заложенный в бтрфс), во2 полностью независимый IV для шифрования (т.е. уже трудней установить чокуда там юзер в файлах менял). Но зато сама структура ФС на диске нифига не зашифрованная.
Ну и опять же для случая бтрфс, каждый зашифрованный экстент оказывается защищённым от изменения при помощи MAC, который заменяет собой чексум (уже имеющийся в бтрфс).
Ещё, применительно к OpenZFS (и наверное btrfs, хз как там делают) появляется возможность частичного шифрования. Например рут не зашифрован а home зашифрован. Конкретно это делается применением шифрования по отдельности к разным dataset'ам (терминология openzfs) или subvolume'ам (терминология btrfs), которые живут в пределах одного физического раздела, диска или массива дисков.
а что с производительностью? Сейчас шифрование даже с AES-NI это все равно компромисс, целиком шифровать носитель имеет практический смысл разве что на HDD, т.к. скорости будут сносные. С NVME это примерно как отказаться от всех плюшек его покупки. Про TGC Opal в курсе, но минусов полно.
С учётом того, что бтрфс сама по себе медленная, может оказаться незаметно. Ну и всё же шифрование на уровни ФС -- это не то же самое, что шифрование на уровне блочного устройства.
Вы прикалываетесь? На моем допотопном железе 2696v3:
Algorithm Key Encryption Decryption
aes-xts 256b 2364.6 MiB/s 2384.3 MiB/s
aes-xts 512b 1898.2 MiB/s 1900.1 MiB/sP.S. Используется только одно ядро.
>[оверквотинг удален]
> Algorithm
> Key Encryption
> Decryption
> aes-xts
> 256b 2364.6 MiB/s
> 2384.3 MiB/s
> aes-xts
> 512b 1898.2 MiB/s
> 1900.1 MiB/s
> P.S. Используется только одно ядро.современный 12700kf
aes-xts 256b 5777,6 MiB/s 5788,3 MiB/s
aes-xts 512b 5327,0 MiB/s 5285,7 MiB/sА теперь глянь обзоры на современные nvme ssd где на чтение только 7000 тыщ, не говоря уже об установке в raid0 двух подобных накопителей.
Вы правда считаете, что все время будете "долбиться" в этот потолок? Допустим что так, отдатите три ядра на шифрование - в чем проблема? Вы не в себе...
> Вы правда считаете, что все время будете "долбиться" в этот потолок? Допустим
> что так, отдатите три ядра на шифрование - в чем проблема?
> Вы не в себе...3 женщины родят ребенка за 3 месяца, да?
# Тесты, использующие практически только память (без ввода-вывода на хранилище)
Это ты оперативку шифруешь. Процессор в это время просто отдыхает?
> С NVME это примерно как отказаться от всех плюшек его покупки.Не ощущается потерь. Почему-то.
если у тебя проц быстрее носителя, то их и не будет. Вернее, будут, но ты их не заметишь, пока не загрузишь проц на 100%
У вас экран входа не масштабируется на hidpi мониторах и дробного масштабирования нет в интерфейсе до сих пор, а они херней занимаются.
Откуда на сервере hidpi монитор и зачем там масштабировать интерфейс?!
> Откуда на сервере hidpi монитор и зачем там масштабировать интерфейс?!Откуда на сервере Fedora? Который предназначен для десктопного использования.
поисковик: Fedora Server
Это потому что hidpi это простым юзверам надо, а внедреж TPM - это кого надо пожелания.
> У вас экран входа не масштабируется на hidpi мониторах и дробного масштабирования нет в интерфейсе до сих порЧе, реально в макоси такие проблемы с hidpi? 😲
у макбуков очень маленькое разрешение по сравнению с нормальными ноутами, какое там hidpi
они даже сами для своих дисплеев уничижительный термин придумали - ретина
>ключи шифрования планируют хранить в TPM-модулеВсе логично. Ну не будет-же массовый юзер использовать LUKS, когда система и home уже зашифрованы. Ни кто даже не задумается, что NSA и FBI умеют доставть ключи из TPM.
По мне - это заказуха.
если все набежали и фу-фу , никому не нужно.. и тд... ... значит правильно - надо так делать : так держать Fedora !
Очень хорошая логика, которая позволяет оправдать вообще все. Ведь, если так подумать, то и воровство не так уж и плохо...
не передёргивай(те) , тут обсуждают полезность шифрации данных простых юзверей
> тут обсуждают полезность шифрации данных простых юзверейЭто вы не передергивайте. Аргументы в духе "X - хорошо, потому что от нее у многих бомбит" я вижу почти под каждым постом и если заменить слово "шифрование"(которого в оригинальном посте даже не было, лол) на другое слово, то смысл высказывания не изменится. Да и в своем посте я поставил под сомнение валидность такой аргументации, а не полезность шифрации для юзверей.
Так всё воруют, а я чо?
Какова вероятность, при том что все воруют, а сядешь ты?
Продолжение идеи UKI. Сначала слепят initrd.img и vmlinuz в один файл и будут грузить через efistub (ответную часть UEFI в ядре Linux).Btrfs удивил, это же alpha 0.0.0.0.1 experimental с кучей багов.
Думают как сделать компы ещё медленнее.
Естественно! Куда девать избыточную производительность?
Нужно нагрузить проц и "сожрать" эту производительность
> установленный атакующим загрузчик может притвориться оригинальным загрузчиком и запросить пароль расшифровкиПросто пусть напишут его на Wayland )
А вяленого перепишут на Раст
А раст на самый безопасный язык в мире - Паскаль.
А Паскаль перепишут на ChatGPT.
А chatgpt оставить общаться с местной публикой на недельку.
У нас нет столько клиник для лечения нервнобольных
Нейронка сама себя полечит. )
>шифрования по умолчанию системных разделовБесполезно - там ничего секретного нет, только из пакетов содержимое + конфиги. Шифрование рабочих каталогов полезно при потере ноута.
>защита от атак на оставленные без присмотра устройства
невозможно.
> Бесполезно - там ничего секретного нет, только из пакетов содержимое + конфиги.и если я тебе поставлю свой пакет (или просто поменяю конфиг) - ты ничего даже и не заметишь, как хорошо.
> Шифрование рабочих каталогов полезно при потере ноута.
а ноут твой тебе потом конечно вернут даже отказавшись от вознаграждения. Только вот рабочие каталоги у тебя теперь уплыли налево.
Теперь начинает доходить для чего помимо шифрования используют еще и дополнительный слой не позволяющий подкинуть нечто что правильно расшифруется но не с тем содержимым что ты имел в виду, и для чего надо шифровать все, начиная прямо от процесса запуска ноута?
Другое дело что так как это делают белки-истерички под мудрым руководством полных идиотов из rhbm, лучше бы они вообще не делали.
Пациенту нечего скрывать, поэтому ему не страшно оставлять систему неприкрытой )
Другое дело хомяк! ммм там весь цимес
дык - теперь не только уплыл хомяк, но и пароль от него, который может еще к чему-то в перспективе подойти.
>и если я тебе поставлю свой пакет (или просто поменяю конфиг) - ты ничего даже и не заметишь, как хорошо.Если ты можешь поставить свой пакет - то у тебя уже есть привилегированный доступ к машине. Либо ты её ломанул внутри системы, и тогда можешь ставить пакеты прямо внутрь шифрованного контейнера, которые уже будут зашифрованы каким надо ключом. Либо у тебя доступ физический, и ты можешь вынуть из компа флешку с биосом, вставить оную в программатор, и залить бэкдор, который дождётся, когда пользователь введёт ключ, и опять же зальёт в криптоконтейнер что надо. Нафига тогда шифровать образ системы?
>Теперь начинает доходить для чего помимо шифрования используют еще и дополнительный слой не позволяющий подкинуть нечто что правильно расшифруется но не с тем содержимым что ты имел в виду, и для чего надо шифровать все, начиная прямо от процесса запуска ноута?
Шифрование и аутентификация - имеют разные функции. При этом для аутентиификаци шифрование не нужно. А вот для безопасности от chosen ciphertext attack аутентификация - самое простое и composable решение.
> Если ты можешь поставить свой пакет - то у тебя уже есть привилегированный доступ к машине.например ты на пару часов оставил свой комп вне поля зрения.
и мне не надо странных приключений с несъемным биосом где-то где надо разобрать весь ноут и от которого нет исходников, а достаточно тебе поставить xscreensaver поновее - штатным образом, справится любой васян. Доходит разница?
> При этом для аутентиификаци шифрование не нужно.оно нужно чтоб тебе не подменили и аутентификационные коды заодно. Мой xcreensaver вполне проходит rpm -y - чего ж ему не проходить когда я его сам и считал.
Можно хранить их где-то отдельно и еще надеяться что сам бинарник их считающий тоже не подменен на такой у которого все сойдется, а можно - просто зашифровать диск нафиг и не думать об этом вовсе.
Накладные расходы, заметь, одинаковы - хорошие хэши тем и хороши что считаются - небыстро.
Так что общее шифрование с контролируемой загрузкой имеет смысл. Просто не тем способом который нам норовит навязать федора с лёней.
Не путайте подсчёт хеша с HMAC.
К этой схеме у меня есть серьёзная предъява... Почему нельзя задать свой пароль для шифрования системы? На случай пипца. Примерно тем же образом, как в LUKS можно задать несколько паролей.А вдруг что случится? Как мне вытаскивать данные с раздела из LiveCD?
Обращаешься в специальную организацию, у которых есть правильный лицензионный образ, говоришь им пароль, всё они все восстановят. Данные они конечно же заберут себе.
И вообще, я лично бросил быть шифропанком. Толку от этого ноль на домашнем компе. Всё что надо зашифровать, шифруется отдельно, пароли в KeePassXC, ключи на смарт-картах.Например, удалённо комп не перезагрузить и не включить, если что, застрянет на пароле (PiKVM ставить чтоль? Роскошь.).
Носимые/портативные есть резон, особенно мобилу. А домашний ББ - нет.
Это пока ты никому не нужен.. может это счастье с тобой продлится до конца жизни конечно..
НО, когда внезапно потребуется эту ситуация исправить, я уверяю тея, будет уже поздно))
А так, выбор конечно за тобой! )))
так некоторые не хотят подвергаться терморектальному криптоанализу тем более и так понятно что с пентиума 2 только производитель знает что там на самом деле происходит (все давно у тебя и меня украдено запротоколированно и бигдада-чатгпт обработано для еще большего удобства)
Зеркалить на не зашифрованный носитель)
Там, скорее всего, помимо слота с tpm будет второй слот с длинным сгенерированным pin-ом. Ну и задать свой пароль в fscrypt тебе никто не мешает.
Зачем тебе вытаскивать данные с раздела? Купил новый ноут, гуглдрайв сам тебе всё восстановит из облака.
"Для системных разделов ключи шифрования планируют хранить в TPM-модуле и использовать в привязке к цифровым подписям, применяемым для проверки целостности загрузчика, ядра и initrd (т.е. на этапе загрузки системы пользователю не нужно будет вводить пароль для расшифровки системных разделов)."Ага, вот так благими намеренеями подьезжают требования к наличию TPM модуля и прочие приколы , а потом внезапно оказывается что у вас DRM изо всех щелей лезет, что ядро вы теперь только официальное ставить можете, что все и вся должно быть подписано.
Примеры из реальности будут?
Всему своё время, сэр. Вы сможете ознакомиться с интересующими Вас сведениями по мере рассекречивания архивов, после истечения установленных законодательством США сроков секретности.
Андроид.
https://www.gnu.org/philosophy/you-the-problem-tpm2-solves.html
> "Для системных разделов ключи шифрования планируют хранить в TPM-модуле и использовать
> в привязке к цифровым подписям, применяемым для проверки целостности загрузчика, ядра
> и initrd (т.е. на этапе загрузки системы пользователю не нужно будет
> вводить пароль для расшифровки системных разделов)."
> Ага, вот так благими намеренеями подьезжают требования к наличию TPM модуля и
> прочие приколы , а потом внезапно оказывается что у вас DRM
> изо всех щелей лезет, что ядро вы теперь только официальное ставить
> можете, что все и вся должно быть подписано.Да простой пример из жизни - условный Widewine которые защищает видосики в онлайн-киношках в своих "сильных" режимах должен хранить ключи шифрования контента в аппаратных хранилищах. Под линуксом работает только самый слабый режим защиты из-за "неразвитости Линукса". Ну вот это "развитие" сейчас и обеспечат.
Думаете просто так Виндушечка в 10-ке пыталась объявить TPM модуль обязательным? На том же ozon продаются модули (нужен модуль не любой, а подходящей к вашей материнке) и атм все комменты такие "купил для установки винды 10". Люди не понимают зачем это, им Винда сказала - вот они и ставят.
Маленько путаете. Обязательным только для win 11. И никто не скупает эти чипы, так как даже в старых биосах есть эмуляция tpm 2.0 и никакой чип не надо. Да и собсно винду поставить вообще без какого либо упоминания о чипе в биосе можно..
> Маленько путаете. Обязательным только для win 11. И никто не скупает эти
> чипы, так как даже в старых биосах есть эмуляция tpm 2.0
> и никакой чип не надо. Да и собсно винду поставить вообще
> без какого либо упоминания о чипе в биосе можно..Спорить не буду, так как установкой видоус не увлекаюсь, но судя по тмоу же Озону очень даже покупают.
>в аппаратных хранилищахВ TEE, а не в TPM. TPM 1.0 - это как раз TPM здорового человека. Просто хешировалка, управляемая программно + хранилище ключей, для DRM непригодная, ибо любой хэш туда может отправить любая программа. А TPM 2.0 - это программно реализованный TPM в TEE. TEE - это кого надо среда исполнения, изолированная от ручек всякого скота, чип с ним купившего, чтобы видео можно было расшифровать в анклаве, вывести на экран по шифрованному пути (ключи зашиты в железо и распространены между заинтересованными сторонами под NDA), чтобы нигде в доступной скоту на чтение памяти не было не ключей, ни самого видео.
> Думаете просто так Виндушечка в 10-ке пыталась объявить TPM модуль обязательным? На том же ozon продаются модули (нужен модуль не любой, а подходящей к вашей материнке) и атм все комменты такие "купил для установки винды 10". Люди не понимают зачем это, им Винда сказала - вот они и ставят.Пенсионер, а знаешь ли ты, что в любом современном процессоре уже встроен TPM и покупают его только такие же луддисты возрастом 70+ как и ты. Более того, 11 винда прекрасно ставится штатными средствами без всех этих TPM и Secure Boot, достаточно лишь указать нужные ключи.
TPM без разрешения пользователя - это троян. Может быть, ему и ядро доверяет?
В чём заключается этот троян? Опять таблетки не принял?
Троян это всё то что устанавливается и ведёт активность без моего ведома.
Как длинно. Вытащи свой смартфон. И скажи, "Да это мой телефон". Я мечтаю, иметь такой же десктоп.
> Как длинно. Вытащи свой смартфон. И скажи, "Да это мой телефон". Я
> мечтаю, иметь такой же десктоп.Купи Макбук. Хоят постойте, сейчас их активировать без apple id нельзя, а в России и подавно...
Хотите такого же в Линуксе?
> активировать без apple id нельзяЕго не нужно активировать. Просто без id не будет доступен магазин (который кстати сказать нафиг не нужен, там всёравно всё платное). Всё так же как в андроиде если не зайти в гугл экаунт.
На что он годен голый без магаза?
Звонилку с кнопками можно купить куда дешевле
> Звонилку с кнопками можно купить куда дешевлеМакбук - это не телефон.
на самом деле макбук - это телефон
> Звонилку с кнопкамиКуда ты собрался звонить с ноутбука? И зачем вообще ЗВОНИТЬ в 2023 году? Я лет 5 уже забыл как это звонить, все давно в мессенджеры перешли в текстово-стикерное общение.
Таких как ты единицы
Можете легко объединится и кайфовать малым количеством
Какой дурак доверяет TPM?
Ещё скажи что ты сидишь на 775 сокете и в браузере у тебя отключены куки с джаваскриптом. Так кто тут дурак?
В установщике убунты ещё в 20.04 можно было выбрать шифрование.
Именно в таком формате?
Вы почитайте порядок и способ шифрования
Емнип когда я ставил ubuntu 23.04 beta в виртуалку то в их новом установщике на flutter не было ни шифрования ни zfs по кнопке Advanced features.
> в их новом установщике на flutterжесть. я думал, хуже снапа уже не будет, а тут это
Снэпики это только ступенька на лестнице в свой вендор-лок на магазинчик. Всего лишь ступенька на середине лесенки.Будет ещё развитие, будет.
> Емнип когда я ставил ubuntu 23.04 beta в виртуалку то в их
> новом установщике на flutter не было ни шифрования ни zfs по
> кнопке Advanced features.Про 23.04 не знаю, в 22.04 одна из первых ссылок в поиске https://linuxconfig.org/ubuntu-22-04-enable-full-disk-encryp...
Головы разработчиков базовой системы, а именно пакетов ядра, были уже давно зашифрованы руководством Федоры. Но желание шифрануться никуда не делись. По этому добрались до пользователей.
Как будут спасать данные при серьезном падении системы? Впаянный SSD, некоторые реализации UEFI, что еще придумают, чтобы 100% гарантировать потерю пользовательских данных при невозможности загрузки со встроенного носителя? Ну если, конечно, пользователи не откажутся от синхронизации с дырявым облаком, доступ к которому может быть прикрыт в любое время по желанию его владельца.
> Как будут спасать данные при серьезном падении системы?Систему переустановят, данные с бэкапа восстановят, как везде.
Спасать неудачника которому некуда, некогда, облаков панически боится а внешний диск очень дорого и одичалым не продают - ну, не будут. Человечество ничего не потеряет с твоей порнухой.
В этой части вообще не вижу никакой катастрофы.
> данные с бэкапа восстановятА как бэкапить есть домашний каталог зашифрован?
уровень опеннета...
> А как бэкапить есть домашний каталог зашифрован?Зашифрованное и бекапить. Если нет др. пути.
По любому придётся дополнять ценой внешних накопителей объёма условно 2х от основного диска. Но даже при нешифрованных дисках это всё равно обязательная трата, если данные нужны.
Если не нужны, то какая разница как их терять. С шифровкой, да, чаще будут терять. Но терять ненужное.
>> А как бэкапить есть домашний каталог зашифрован?
> Зашифрованное и бекапить. Если нет др. пути.А в каком виде зашифрованный домашний каталог будет виден руту? Я вижу как минимум 3 варианта
№1 В виде файла/раздела/блоба (типа luks)
№2 В виде зашифрованных отдельных файлов, но с зашифрованными именами (типа ECryptfs/EncFS)
№3 В виде зашифрованных отдельных файлов, но с исходными именами (не знаю где такое есть)Выборочно бэкапить и главное восстанавливать файлы можно только с №3.
> ключи шифрования планируют хранить в TPM-модулеНа этом можно и остановиться.
> ключи шифрования планируют хранить в TPM-модулеТеперь и Fedora, как и Windows 11 начнёт требовать обязательного наличия TPM.
Если шифровать домашний раздел логином пользователя, то как его потом бэкапить? Или бэкапы больше не нужны?
"This confuses our users" (c)
>логином пользователяКек, простите, а бекапить должен кто, собственно? Сосед?
>>логином пользователя
> Кек, простите, а бекапить должен кто, собственно? Сосед?Обычно резервную копию создаёт приложение (либо специальный клиент, либо rsync, либо tar) в автоматическом режиме по расписанию с правами рута или специального пользователя для резервного копирования, у которого есть соответствующие права доступа (причём лучше всего это делать в нерабочее время). Но если файловая система зашифрована, то и доступа к ней не будет, независимо от прав доступа.
Можно, конечно, поделиться ключом шифрования, но тогда теряется смысл...
> Но если файловая система зашифрована, то и доступа к ней не будет, независимо от прав доступа.Мы про FDE (фул диск энкрипшен) щас говорим? Если да, то все системные и не системные разделы диска шифруются, и не расшифровав система работать не будет, а раз она не работает, то с нее бекап не снять, ибо там не запущен рсинк или другие бекап агенты.
> Мы про FDE (фул диск энкрипшен) щас говорим?Ты читал новость-то?
"При шифровании домашних каталогов ключи планируют генерировать на основе логина и пароля пользователя (подключение зашифрованного домашнего каталога будет производиться во время входа пользователя в систему)."
Как ты будешь бэкапить такое?
>Ты читал новость-то?При FDE система и остальные разделы остаются расшифрованными, после загрузки. В статье же планируют к этой модели прикрутить отдельное шифрование home раздела, и расшифровывать по событию входа пользователя, и запрещать смену пароля даже администратору и т.д.
Все это ничем не отличается от банального шифрования разделов без FDE вцелом, ввел пароль - примонтировал. А бекап (файловый, от рута) при такой схеме конечно не сделаешь, надо либо расшифровать, либо бекапить шифрованное, уровень логики менять. Проблема в чем? В чем разница копирования отдельно взятого файла на примонтированнлй фс, с копированием блока с раздела на диске? Сменив логику, вам и руту не надо давать пароль от юзера, а восстановление отдельно взятого файла можно производить временным монтированием раздела к mnt вводи пароль и гуляй вася.
Допустим, что имеется рабочая станции, в которой посменно диспетчеры что-то делают. У каждого диспетчера имеется своя учётная запись. В добавок есть отдельные учётные записи для старшего диспетчера, начальника сметы и так далее. Каждая со своими правами и т п.В разные промежутки времени за рабочей станцией может быть тот или иной работник.
Работа происходить в таком ключе. Работник входит в свою учётную запись, выполняет определенные действия, выходит из своей учётной записи.
Как при такой системе производить плановые операции по резервированию, если их можно проводить в тот момент, когда рабочая станция простаивает, т.е. все пользователи вышли из системы?
> Как при такой системе производить плановые операции по резервированию, если их можно
> проводить в тот момент, когда рабочая станция простаивает, т.е. все пользователи
> вышли из системы?Такое было бы возможно, если бы шифровалось только содержимое файлов, а не каталоги, имена файлов и аттрибуты. То есть бэкапить-восстанавливать можно было бы зашифрованные файлы.
https://www.opennet.ru/openforum/vsluhforumID3/130146.html#262
>Как при такой системеНу как,как?, все просто ждать когда наступит то самое событие "т.е. все пользователи вышли из системы" и выполнить те самые задачи по бекапу до полного размонтирования, в чем проблема? Дело в том, что это надо спроектировать правильно (вон через системГ хотят спроектировать). Далее, не вижу никакой проблемы если бекапить раздел, ибо раздел как я понял для каждого юзера будет отдельный, то есть ничего лишнего бекапиться не будет, только весь пользовательский хом (придритесь еще к отдельным файлам)
Проблема то в том, что они предлагают отдельные разделы для каждого пользователя с индивидуальным шифрованием для конкретного пользователя. И при выходе из системы конкретного пользователя его данные уже будут недоступны.Тот подход, который предложен федоровцами, подходит для одиночного пользователя, но для многопользовательского режима придётся многое менять. Плюс их схема заточена под конкретную фс. В общем случае бизнес как сидел на старом добром luks+lvm+xfs, так и будет.
> Проблема то в том, что они предлагают отдельные разделы для каждого пользователя
> с индивидуальным шифрованием для конкретного пользователя. И при выходе из системы
> конкретного пользователя его данные уже будут недоступны.не вижу проблемы, события входа и выхода никто не отменял, и все действия связанные к примеру со всякими бекапами можно привязать к этим событиям.
> многопользовательского режима придётся многое менять.
вот тут нужен пример юзкейса, не могу представить где проблема.
> В общем случае бизнес как сидел на старом добром luks+lvm+xfs, так и будет.как минимум еще лет 10 будет работать, если не сломают
> А бекап (файловый, от рута) при такой схеме конечно не сделаешьсделаешь если заставить юзера разблокировать до начала бэкапа.
Ну или грамотно настроить несколько одновременных э... протекторов или как там этот бред они назвали( и надеяться что и в btrfs это работает а не как всегда)
Но это не для опеннетовских экспертов конечно - те и х.. сломают и руки порежут.Возможно так же будет работать обычный btrfs send, но это неточно - оно так работает у zfs, не могли ж они назло уши-то не отоморозить себе?
> Возможно так же будет работать обычный btrfs send, но это неточноа, ну и до кучи надо проверять как в btrfs решена проблема хранения всех этих ключей. Если по методичке от ext4 - то бэкапая хомяк надо не забывать бэкапать еще и рут где лежит скрытый каталожек со всеми ключами от всего - иначе расшифровать это не получится.
> А бекап (файловый, от рута) при такой схеме конечно не сделаешь, надо либо расшифровать, либо бекапить шифрованное, уровень логики менять. Проблема в чем? В чем разница копирования отдельно взятого файла на примонтированнлй фс, с копированием блока с раздела на диске?
> Сменив логику, вам и руту не надо давать пароль от юзера, а восстановление отдельно взятого файла можно производить временным монтированием раздела к mnt вводи пароль и гуляй вася.Если зашифровано только содержимое файлов, а всё остальное - имена файлов, их аттрибуты, структура каталогов не зашифрованы, то есть файлы можно копировать, удалять и т.п. без расшифровки, то тогда конечно и рутовый бэкап и восстановление зашифрованных файлов возможны без проблем. Такая схема работала бы прекрасно для бэкапа. Конечно возникнут проблемы со всякими пользовательскими кронами, которые должны будут в этом случае запускаться только после того как пользователь залогинился, но это уже другая история.
Но так как в статье речь идёт о "подключении зашифрованного каталога при входе пользователя в систему", боюсь всё же предлагается нечто другое. То есть структура каталогов, аттрибуты и имена файлов будут недоступны, а значит и бэкап на уровне файлов станет просто невозможен. Бэкап же на уровне блоков файловой системы это совсем другое, с удобством и эффективностью файлого бэкапа несравнимо.
Я бы приветствовал, если бы появилась возможность поставить аттрибут "зашифровано" на отдельные файлы и каталоги, для шифрования содержимого файлов.
>Но так как в статье речь идётРаз шифрование уровня разделов, то и бекап должен быть на уровне разделов, иначе - расшифровываем и делаем бекап - файловый.
пс: либо думать о шифровании по типу ransomware :)
>>Но так как в статье речь идёт
> Раз шифрование уровня разделов, то и бекап должен быть на уровне разделов,
> иначе - расшифровываем и делаем бекап - файловый.
> пс: либо думать о шифровании по типу ransomware :)Там непонятно сказано, говорится о шифровании домашнего каталога, который будет подключаться, но не будут же они создавать раздел для каждого пользователя? Может имеются ввиду какие-то виртуальные разделы? Я здесь вообще не понял, что они имеют в виду.
Видимо, речь про домашний каталог в контексте темы чего-то типа Ecryptfs и аналогов. Ещё слой поверх файловой системы. В инете много написано как работает.
> Видимо, речь про домашний каталог в контексте темы чего-то типа Ecryptfs и
> аналогов. Ещё слой поверх файловой системы. В инете много написано как
> работает.Да, похоже это оно. Видел что в Убунте есть, но не пробовал. Почитал сейчас немного - Ecryptfs имена файлов шифрует.
Бесполезные, может даже вредные потуги, готовящие пользователей к тому что железо будет кривое косое как в телефонах, а доступ к файловой системе будет как в ios/android.Решается две проблемы:
Обрезание избыточных мощностей и навязывание нового железа.В идеале они хотят впаривать что-то похожее на игровые приставки, как по апгреиду так и подходом к софту.
Холоп должен быть в стойле))))Любая железка в компе не подконтрольная пользователю-это харам.
Интересно, если к ремонтникам отнести ноут с тпм, то смогут вынять без проблем?
>Любая железка в компе не подконтрольная пользователю-это харам.Увы и ах, и не было бы столько смертей от землетрясений, если бы каждый кирпичик дома, был бы под контролем жильцов
пс: а кто виноват, что из гомна и палок можно сделать все, а юзер схавает?
Нет оснований доверять TPM.
> Нет оснований доверять TPM.согласен, как и нет оснований доверять вашему утверждению, ибо надо проверить. С кого начнём?
Q.E.D.
> Q.E.D.препринт на архиворг забыли выложить?
Главная причина на сегодня. Это не доверие к TPM, а его поддержка. Так у меня лишь через четыре года после выпуска материнской платы от ASUS появилась полноценная его поддержка в ядре. Хотя /dev/tpmX был виден в системе через три года, но его было невозможно задействовать. Около года была ошибка на ошибке.Завтра кушишь свежее железо, не годовалой, а то и двухгодовалый давности и жди его поддержку в ядре, месе и т.д. еще пару лет)
это линукс, чувак. Тут всегда было так.rhbm не собирается вкладывать деньги в разработку драйверов. Не для того брали чтоб бесплатно на тебя работать.
И тем более оно неинтересно асусу. И еще менее интересно китайской лавчонке тот tpm выпускающей. (впрочем им обоим еще и некогда гоняться за stable nonsense в котором апи каждый день новые)
Вот по этому я спустя почти двадцать лет отказался от Linux как в качестве основы, так и в качестве второй оси. Стал стар для бесконечного "нашел баг,написал отчёт,увидел notabug". Теперь для дома только Windows, а Linux вижу где-то в датацентре и то через ssh.
> почти двадцать лет20 лет процветания гнома пропустили :)))
> Вот по этому я спустя почти двадцать лет отказался от Linuxда ты, как я погляжу, упоооорный.
Я все понял еще двадцать лет назад.
> для бесконечного "нашел баг,написал отчёт,увидел notabug". Теперь для дома только Windows,
бывает круче - нашел баг, показал где в коде ошибка, увидел - мыужеисправили. Ну да, ну да - я ж надеялся что я с вменяемыми людьми общаюсь и показал первую, а не все полсотни однотипных. Я конечно и про как воспроизвести объяснял, но никто ж не собирался проверять что ничего не исправилось, потому что в следующей же строке такое же точно. А в той в которую я пальцем ткнул - да, исправили уже ж.
И это больше двадцати лет назад. Сейчас тебе вообще робот ответит нотабагом.
Но вот сделать следующий шаг и заставить себя прочитать какое-нибудь "виндовый администреж для птушников" я не осилил. А то бы мог с линуксами вообще бы давным-давно не пересекаться.
смишное выяснил тут (полезши разбираться, с горя, что ж там нах..вертели в вечнонедоделанной btrfs)оказываетсо, кто бы мог подумать да и было ли чем, одной из величайших проблем совр...простите, федориного горя с тотальным шифрованием хомяков паролем от хомяка - является...тадам - невозможнрсть нормально зайти на такую систему ssh с ключом.
Ну вы сами легко догадаетесь, почему.
С нетерпением ждем как именно через задницу федористы будут эту проблему побеждать.
С Ecryptfs это решалось за 30 секунд. Существованием plain ~/.ssh/authorozed_keys на месте куда при входе юзера будет примонтирована зашифрованная папка.И тут чего-либо такое же.
юзер - добавляет новый ключ... удивляется результату... охреневает еще сильнее пытаясь понять, а как, собственно, добавить-то теперь?Еще интересней если это btrfs subvol как задумано разработчикам от рхбм, ибо вряд ли они догадаются создать его не ровно по этому же очевидному пути.
Ну и это цветочек. В конце-концов можно извращаться и хранить ключи не в хомяке юзера. Ягодка - при входе юзера хрен что будет примонтировано. Догадайся, почему.
Правильно - он же ж никакого своего пароля не вводил, расшифровать нечем.
(Там есть гениальный костыль от разработчиков, не буду озвучивать)И вот так у вас - за что ни возьмись.
А вот вылез с коментами сотрудник техподдержки ....Даже мелкомягкие удалили систему шифрования из их дистра - забытые креды наше всё.
К тому же - если диск побился / операционку перекосило - как вытягивать данные ? Учитывая, что массовый юзер лупит по нексту не задумываясь и не вчитываясь ...
Куда, куда они убрали Битлохер?
> К тому же - если диск побился / операционку перекосило - как
> вытягивать данные ?делай раз - поднимаешь руку вверх. Делай два, резко опускаешь произнося - "да и хрен с ними!"
на самом деле это здорово разгрузило бы техподдержку от вредной и ненужной деятельности. Возможно именно в этом и заключается истиная задумка федорина горя, хотя некто Хэнлон вон из уголочка бритовкой помахивает...
Шифрование это хорошо, но по умолчанию не нужно. Btrfs неплохо, но часто ломается. Шифрование в btrfs, настроенное по умолчанию, звучит очень опасно
Так про бтрфс говорят или те, кто ни разу ею не пользовались, или те, кто попользовались 10 лет назад, напоролись на баги и затаили обиду.У бтрфс есть проблемы, но точно не со стабильностью. Юзаю сабж на куче лаптопов и десктопов в качестве рута, а на некоторых даже и в качестве торрентопомойки. Полёт нормальный.
Есть мнение, что порча в бтрфс происходит только тогда и у тех, когда/у кого железо врёт о завершении синхронных записей. Но в таком случае любая ФС, имеющая понятие о журналировании, тоже может подвести.
> Есть мнение, что порча в бтрфс происходит только тогда и у тех, когда/у кого железо врёт о завершении синхронных записей. Но в таком случае любая ФС, имеющая понятие о журналировании, тоже может подвести.У меня было несколько случаев, скорее в эту картину не вписывающихся: развалы были и при паниках, после которых у диска был вагон времени всего дописать, и на настолько старых hdd, что врать они будут крайне вряд ли.
Поэтому я предпочитаю не держать там, где потеря раздела в моменте мне будет стоить слишком дорого, скажем, под корнем и хомяком на ноуте
Отлично. За шифрованием скоро последуют dm-verity и dm-integrity.
Почему люди обсуждают это тут в опеннете, а не в самом обсуждении вместе с разработчиками Fedora?
> Почему люди обсуждают это тут в опеннете, а не в самом обсуждении
> вместе с разработчиками Fedora?а зачем что-то обсуждать с дол...еми? Мы обсуждаем тут между собой в основном - как нас с последствиями их бурной деятельности жить и чем оно еще может быть чревато.
опенсорсе нынче такое вот...
Подскажите а в приведенной в новости схеме при блокировке экрана (выхода пользователя) данные остаются расшифрованными?