шифрование с ключем между mbr и разметкой разделов!
Вот собственно возникла задача создать шифрованный рейд5, по верх которого поставить lvm. Подсмотрел у братьев линуксоидов Arch? такой способ:
http://wiki.archlinux.org/index.php/LUKS
То есть я использую рандомную последовательность в качестве ключа шифрования, который в свою очередь располагается между mbr и началом таблицы разделов flash накопителя.
Все работает, если ключик получать с flash методом dd ..., а потом по полученному файлу открывать заранее зашифрованный раздел. Требуется автоматизировать этот процесс, чтобы ключ непосредственно сразу с flash передавать в cryptsetup. В статье указанной выше как параметр ядра передается такая строчка:
cryptkey=/dev/usbstick:2048:2048,
где /dev/usbstick - это флеха определяемая udev-ом по serialkey флешки,
первая цифра - побайтовое смещение от начала флешки
вторя цифра размер ключа.
вот собственно возник вопрос, как эту информацию использовать при операции:
cryptsetup -d !!ЗНАЧЕНИЕ КЛЮЧА/root/secret_from_flash!!! luksOpen /dev/md0 md0_crypt
еще замечено что все скрипты относящиеся к dm-crypt написаны под baselayout-2, почему так?
еще отмечу что в идеале все операции хотелось бы проводить на уровне initramfs.
Кто чем может помогайте, на gentoo wiki нашел только про шифрование через loop:(
просьба в gentoo-way... :)
- Для комментирования войдите или зарегистрируйтесь
Так подойдёт?
emerge Your world
Gentoogle
ivanf написал(а): В статье
Выше упоминается статья про archlinux, а мы говорим про gentoo...
Значит, такой хинт. Gentoo такого параметра не знает и не понимает. Но если поковыряться в initramfs, а конкретно - в linuxrc (он же init), /etc/linuxrc.scripts, то будет знать и понимать. И не только этот, возможности тут - безграничны...
If you don't eat your meat, you can't have any pudding. How can you have any pudding, if you don't eat your meat?
в общем понятно, но как
в общем понятно, но как получить значение параметра, который был передан ядру с скрипте?
в initrd.defaults че-то похожее есть.
gentoo centos fedora
все нашел: CMDLINE=`cat
все нашел:
CMDLINE=`cat /proc/cmdline`
осталось придумать как udev пихнуть в initramfs чтобы флешка с определенным serialkey определялась по особому имени :)
gentoo centos fedora
а зачем?
а зачем?
If you don't eat your meat, you can't have any pudding. How can you have any pudding, if you don't eat your meat?
флеха может определяться под
флеха может определяться под разными именами, а udev, 2 уникальные (по серийнику) флешки определяет в /dev/usbstick например. А потом если такое устройство существует, производить выгрузку с него ключа на виртуальную initramfs, открывать cryptsetup -d /secretkey /dev/md0 md0_crypt, а потом затирать этот ключ.
не спорю можно и как нить по другому, но так мне кажется красиво... :)
gentoo centos fedora
cat /proc/cmdline