# [RISOLTO]installazione root e home criptata

## xveilsidex

Salve ragazzi vorrei un vostro parere, dato che l'installer di ubuntu offre anche un modo per installare tutta la root in maniera criptata è possibile utilizzare tale meccanismo per  installare gentoo ? Oppure dovrei per forza usare la guida del wiki : http://en.gentoo-wiki.com/wiki/DM-Crypt_with_LUKS  esiste una versione in italiano di tale documento? grazie dell'attenzione!Last edited by xveilsidex on Mon Feb 27, 2012 6:52 pm; edited 1 time in total

----------

## bi-andrea

Adesso non chiedere troppo, da quello che so un OS deve avere la sua partizione e GRUB deve gestire le partizioni, dove si trovano più sistemi operativi...

----------

## djinnZ

 *xveilsidex wrote:*   

> ...

 La risposta è un secco no per tutta la linea.

In generale (e sarei il folle che si è cimentato con RSBAC, quindi non è che non mi faccia venire strani grilli per la testa, oltre al fatto che le partizioni criptate le uso da una vita ma sono costretto a truecrypt, multipiattaforma, causa governo imbecille e ladro che mi obbliga ad usare quell'altro) non mi è molto chiara l'utilità di una root criptata e la vedo solo come un modo per perdere in prestazioni, diminuire la sicurezza (affidabilità) intrinseca del sistema e complicarsi la vita.

Ci sono molti altri modi più validi che non criptare l'intero sistema per tenere al sicuro i propri dati e prevenire modifiche maliziose, non è un security by obscurity ma quasi.

Per esempio usare un sistema hardened e fam/gamin per evitare che possano essere alterati i file eseguibili e di configurazione.

E la partizione unica al di fuori dell'embedded e delle installazioni di test resta una somma idiozia ai miei occhi.

Ma "de gustibus non sputazzellam" quindi liberissimo di farlo, la mia è solo un'opinione ed un consiglio che puoi non seguire. Anche se ... uomo avvisato .. mezzo ammazzato.

Tieni conto che la guida del wiki è un tantino datata (per esempio adesso puoi personalizzare l'immagine di genkernel ed i moduli di crypt funzionano benissimo builtin) ma dovrebbe andare.

Dato che gentoo è pensata per fare quel che ti pare (non esiste un installer che costringe ai suoi schemi) basta solo usare una partizione criptata e configurare il sistema di conseguenza.

----------

## .:deadhead:.

Bentornato!

Puoi raccontarci un po' cosa vorresti ottenere e per quali scopi?

Magari criptare la root non è la soluzione migliore  :Wink: 

ciauz

----------

## xveilsidex

 *.:deadhead:. wrote:*   

> Bentornato!
> 
> Puoi raccontarci un po' cosa vorresti ottenere e per quali scopi?
> 
> Magari criptare la root non è la soluzione migliore 
> ...

 

Grazie del bentornato, sono stato parecchio lontano dal forum   :Wink:   comunque l'idea che mi balza da molto in mente è quella di seguire la guida che vi ho postato , cioè root e home criptata con boot da chiavetta usb.

Come già detto da djinnZ ( grazie dei consigli ), ho già letto parecchi commenti  sul fatto che il sistema perde in prestazioni e affidabilità e che la soluzione migliore sarebbe avere solo la home criptata.

Purtroppo quella guida è tale e quale da diversi anni e credo che sia obsoleta quindi volevo un parere su come operare per mettere al sicuro la mia gentoo dal resto del mondo.

Sono graditi suggerimenti !

----------

## djinnZ

Ti ripeto che le guide non sono obsolete, solo hanno dei riferimenti un tantino datati ma quel che c'è scritto funziona benissimo. In quella per truecrypt è scritto di usare local invece che lo script rc dedicato ed in quella per dmcrypt è scritto di modificare a mano l'immagine di boot ma nulla di insormontabile e se pure segui alla lettera dovrebbe funzionare tutto senza problemi.

Non mi ci sono mai applicato più di tanto perché uso truecrypt su partizioni che monto manualmente. A me serve così ed è sufficiente. Devo proteggere le password e le chiavi di criptazione (che non uso sempre).

Ma non sono te e non so quali sono le ragioni per cui vuoi criptare e cosa vuoi criptare.

Se vuoi pararti da rootkit e manipolazioni: allora sistema hardened, policy restrittive sulla scrittura nelle dir dei binari e verifica di integrità degli stessi. Avevo letto su come farlo usando fam (che è vecchiotto ed ormai quasi deprecato) ed selinux ma non dovrebbe essere difficile pensare di usare portage e grsec in alternativa (a questo punto archivi su un volume criptato delle informazionni ma verificare il sistema potrebbe richiedere tempi biblici se ne parlò ai tempi del caso autistici/aruba per proteggersi da manipoiazioni del provider). Ovviamente i dati per la verifica vanno criptati.

Se solo vuoi evitare che possano accedere ai dati nel tuo pc devi criptare solo quei dati, la soluzione con la penna mi pare un tantino laboriosa e poco affidabile (e se te la fregano o la pardi?). Basta che il sistema ti chieda la password all'avvio o, nel mio caso, quando monti la home dell'utente che vuoi proteggere.

E questo è facile ed ampiamente documentato, sia con truecrypet che con dmcrypt.

A conti fatti devi regolarti come per un normale cambio di filesystem per la home. Le guide non sono cambiate perché i comandi non sono cambiati.

----------

## xveilsidex

Ho risolto utilizzando questa guida :

http://preney.ca/paul/2011/09/30/installing-gentoo-on-an-encrypted-root-partition/

1)root & home cifrata con cryptsetup

2) boot in chiaro

3) usb-key in cui è contenuta la chiave per decifrare le partizioni

La guida funziona ma bisogna modificarla in due punti : 

1) tra il passo 6 e 7 bisogna fare prima l'estrazione dello stage e di portage e successivamente continuare con lo step 7  

2) quando vi trovate ad editare il grub.conf 

```

 kernel /boot/kernel-genkernel-x86_64-2.6.39-gentoo-r3 root=/dev/ram0 crypt_root=UUID=ROOT_DEV_UUID ecc..

 initrd /boot/initramfs-genkernel-x86_64-2.6.39-gentoo-r3

```

(almeno nel mio caso) la UUID non la riconosce e quindi bisogna mettere semplicemente la partizione corretta della root cifrata. nel mio caso /dev/sda4

EDIT : il boot con la UUID funziona, per metterla  occorre ricompilare il kernel con :

```

genkernel ---disklabel all

```

Last edited by xveilsidex on Sat Mar 03, 2012 12:25 pm; edited 1 time in total

----------

## djinnZ

 *xveilsidex wrote:*   

> la UUID non la riconosce

 Non so se hai aggiunto o meno blkid e busybox all'immagine (fallo), nel caso configura opportunamente genkernel e prova a vedere, avviando la shell "di emergenza" dell'immagine se è comunque in grado di rilevare l'uuid dei volumi.

Il problema è che l'uuid non è altro che un paio di byte all'inizio della partizione ma l'intero volume è stato criptato quindi, in ogni caso, non corrisponderà.

Se viene rilevata in base alla posizione dovresti vederla comunque ma non corrisponderà a quella che hai impostato formattando.

Spero sia chiaro.

----------

## fbcyborg

Io comunque avevo postato delle indicazioni su come ottenere una home criptata...

Sta in Risorse italiane (documentazione e tools). Mgari poteva essere utile, visto che criptare anche / non è pratica consigliata.

----------

## xveilsidex

 *fbcyborg wrote:*   

> Io comunque avevo postato delle indicazioni su come ottenere una home criptata...
> 
> Sta in Risorse italiane (documentazione e tools). Mgari poteva essere utile, visto che criptare anche / non è pratica consigliata.

 

si , ho letto la tua guida e i tuoi suggeimenti via pm! Però alla fine ho optato per quella soluzione! ti ringrazio ugualmente per le dritte mi potranno servire in futuro!  :Smile: 

----------

## fbcyborg

Ah già, avevo dimenticato che l'avevi già letta!  :Wink: 

----------

## xveilsidex

 *djinnZ wrote:*   

>  *xveilsidex wrote:*   la UUID non la riconosce Non so se hai aggiunto o meno blkid e busybox all'immagine (fallo), nel caso configura opportunamente genkernel e prova a vedere, avviando la shell "di emergenza" dell'immagine se è comunque in grado di rilevare l'uuid dei volumi.
> 
> Il problema è che l'uuid non è altro che un paio di byte all'inizio della partizione ma l'intero volume è stato criptato quindi, in ogni caso, non corrisponderà.
> 
> Se viene rilevata in base alla posizione dovresti vederla comunque ma non corrisponderà a quella che hai impostato formattando.
> ...

 

Credevo , erroneamente, di aver già incluso il supporto a blkid ! Ora funziona con la uuid ! grazie

----------

## djinnZ

tanto per essere sicuro e chiudere la questione:

blkid, lanciato dal sistema già avviato, riporta lo stesso uuid che viene rilevato dall'immagine di boot (quindi prima della decrittazione)?

per quel che ricordo non dovrebbe essere riportato uguale (c'era un warn per il remount) ma tanto vale verificare.

Bada che con l'ultima versione di genkernel ed un 3.x hai qualche opzione in più.

----------

## xveilsidex

 *djinnZ wrote:*   

> tanto per essere sicuro e chiudere la questione:
> 
> blkid, lanciato dal sistema già avviato, riporta lo stesso uuid che viene rilevato dall'immagine di boot (quindi prima della decrittazione)?
> 
> per quel che ricordo non dovrebbe essere riportato uguale (c'era un warn per il remount) ma tanto vale verificare.
> ...

 

Ricordavi benissimo! L'id rilevato dal boot != id sistema avviato

L'unica cosa che non sono riuscito a risolvere quando compilo il kernel con genkernel e l'opzione  --menuconfig  all è che ho questi errori 

```

scripts/kconfig/zconf.tab.c: In function 'header_print_comment':

scripts/kconfig/confdata.c:540:10: warning: ignoring return value of 'fwrite', declared with attribute warn_unused_result

scripts/kconfig/zconf.tab.c: In function 'kconfig_print_comment':

scripts/kconfig/confdata.c:467:10: warning: ignoring return value of 'fwrite', declared with attribute warn_unused_result

```

se invece do direttamente 

```

genkernel all

```

Non ho alcun problema!

----------

## djinnZ

genkernel stabile od in test?

Con quello in test (puoi definire real_root e dovrebbe finalmente essere in grado di fare un'unica immagine kernel+initrd, puoi provare) non mi capita (mi ricordo che c'era qualcosa).

Sempre che non hai combinato qualche pasticcio in configurazione (controlla le librerie builtin e prova se scompare abilitando solo zip per l'initrd).

openrc non dovrebbe avere i problemi di rc ma fai attenzione ad eventuali warn, capace che non rimonta root in ro prima di riavviare.

Giusto per prudenza.

Il supporto a blkid e busybox lo puoi abilitare agendo su genkernel.conf invece della riga di comando.

----------

## xveilsidex

 *djinnZ wrote:*   

> genkernel stabile od in test?
> 
> 

 

sto usando la versione stabile !

 *djinnZ wrote:*   

> 
> 
> Il supporto a blkid e busybox lo puoi abilitare agendo su genkernel.conf invece della riga di comando.

 

nel mio genkernel.conf ho già l'opzione attivata

```

# Enable disklabel support (copies blkid to initrd)

DISKLABEL="yes"

```

ma se non la passo con riga di comando non riesco a fare il boot con l'id.

stai usando la versione  ~3.4.24   o **9999  di genkernel ?

----------

## djinnZ

~3.4.24

----------

## xveilsidex

anche con la versione instabile continuo ad avere quel messaggio   :Twisted Evil: 

----------

