Как часто посещая магазины бытовой электроники М.Видео, Вы подчиняетесь различным унизительным требованиям охраны и продавцов магазина? Знайте, Ваши права не только покупателя, но и Человека попираются с Вашего же попустительства.Этот пост посвящается тому, как не нужно вести бизнес и как нужно знать и защищать свои права. В тоже время я надеюсь, этот пост прочитает руководство М.Видео и изменит программу внушения для персонала.
В установщике alternate-дистрибутива *ubuntu и debian есть возможность зашифровать раздел, но только паролем.
В инете я нашёл статью о шифровании с возможностью хранить ключ на флешке, но, к сожалению, с таким шифрованием система неправильно выходила из спящего режима — она просто запускалась с нуля, а не просыпалась в старое состояние.
В этой статье я расскажу, как сделать так, чтобы и шифрование было с ключом на USB-флешке, и спящий режим (hibernate) оставался работоспособным.
Неправильный выход из спящего режима происходил потому, что подключение swap-раздела происходило на слишком позднем этапе загрузки (а именно в swap сохраняется состояние системы при уходе в спящий режим). А слишком позднее подключение swap-раздела в свою очередь происходило поздно потому, что этот раздел зашифрован (а это обязательно, т.к. в памяти лежат ключи к подключённым зашифрованным разделам, и они могут попасть в swap, соответственно его тоже нужно шифровать).
Итак, я начал с установки системы с alternate-диска ubuntu с обычным шифрованием (по паролю). Для debian тут подойдёт его стандартный установщик, т.к. он тот же, что и у ubuntu в alternate-диске.
Я сделал шифрованный раздел, в нём LVM, а в нём раздел для /home и swap. Можно шифровать хоть корень, главное, чтобы был отдельный раздел /boot.
На этом этапе установщик настраивает всё для работы шифрования и спящего режима.
Кстати, на флешке может быть только EXT3 или FAT. Другие ФС скрипт, который достаёт ключи на этапе загрузки (п7), не понимает.
Ключу лучше назначить права 0400, иначе будет ругаться на безопасность.
После этого в рабочей системе меняем парольный ключ на файловый с флешки:
Проверяем так же, как в п4, но теперь должен остаться только один key slot, который «ENABLED».
Собственно сам ключ мы сменили, теперь нужно донастроить систему так, чтобы всё монтировалось как надо и спящий режим работал.
В /etc/crypttab меняем запись о нашем зашифрованном разделе:
Вместо none пишем путь к файлу ключа в таком вот виде: :
Путь к устройству флешки берём так: идём /dev/disk/by-uuid/ и видим кучу ссылок с длинными буквоцифренными именами. Все эти ссылки ссылаются на винчестеры/флешки/.., и их разделы, которые есть в нашей системе. А имена их — это UUID'ы (типа уникального серийного номера). В результате путь вида "/dev/disk/by-uuid/7a5f666f-f018-4c29-b5b6-5ebecc777bf8" будет всегда указывать на один и тот же раздел моей флешки куда бы я её не воткнул. А чтобы злоумышленник смог её подменить, ему нужно, чтобы раздел на его флешке имел точно такой же UUID (правда, это не сложно). Если вы хотите, чтобы ваша флешка идентифицировалась не по UUID, а, например, по label раздела, тогда вам в /dev/disk/by-label. А если по имени устройства (например: ata-Hitachi_HTS541616J9AT00_SB0442SJEGB1RH), то в /dev/disk/by-id/.
В результате должен получиться примерно такой путь:
После опции «luks» добавляем путь к скрипту, который при загрузке в initramfs будет доставать наш ключ: keyscript=/lib/cryptsetup/scripts/passdev.
В результате получим что-то вроде этого:
Перезагружаемся и наблюдаем, как всё монтируется автоматом при наличии флешки и не показывает даже сообщений об ошибке при её отсутствии (не знаю почему, но, ИМХО, так даже лучше =)).
UPD: после примерно 4-х месяцев использования докладываю: всё работает, ничего не сломалось, остаётся только одна проблема: относительно большая нагрузка от шифрования — при интенсивном чтении/записи до трети моего celeron'а 1.4 ГГц.
На процессорах с аппаратной поддержкой aes (это Core2Duo и более поздние процы) вообще не заметно нагрузки от шифрования диска.
UPD: на хабре выложили очень похожую схему шифрования, но с целью шифровать сервер. Ценная мысль — ключ от сервера лучше всего держать где-то в интернетах, а если сервер заберут, ключ там можно испортить/удалить. Правда, не решена проблема с нагрузкой от шифрования, что для серверов весьма критично чаще всего.
UPD: systemd не умеет passdev, поэтому при обновлении debian до 8, надо остаться на sysvinit (как это сделать написано в официальной информации о выпуске), а при чистой установке, соответственно, перейти с systemd на sysv.
Представляю Вашему вниманию небольшой экскурс в историю проекта Openmoko.
Openmoko это попытка создать первую в мире полностью открытую программную платформу для мобильных телефонов. Первый телефон полностью поддерживающий Openmoko это Neo1973 (GTA01) от FIC(First International Computer). «Числовую» часть своего имени аппарат получил неслучайно. Считается, что именно в 1973 году изобретатель сотовых телефонов Мартин Купер (Martin Cooper) сделал первый в истории звонок с помощью нового устройства.
Читать дальше
На этой неделе президент «Microsoft Россия» Николай Прянишников заявил о том, что за последние три года «Россия преобразовалась в цивилизованное государство». Приятно такое слышать, конечно, но что же особенного произошло за это время? Может быть он имеет ввиду улучшение законов? Или стремительный рост наукоемкого производства в нашей стране? А вот и нет, и даже совсем наоборот!
Читать дальше
Для начала небольшое вступление.
Являясь закоренелым пользователем арча вдруг решил поставить openSUSE.
Чем же меня заинтересовал этот дистрибутив?
Читать дальше
Panda3D — игровой движок от компании Disney, написанный на C++.
Позволяет использовать как Python, так и C++.
Включает в себя физический движок ODE, разные звуковые движок(OpenAL,FMOD,Miles), сетевой движок.
Читать дальше
Перевод статьи считаю бессмысленным, т.к. автор не оставила значимых комментариев по конкретному ПО. Однако, очевидная польза статьи в классификации и перечислении открытого ПО.
Разделы, нашедшие отражение в статье:
Accounting — Финансы
Business Intelligence (BI) — Системы бизнес-аналитики
Business Process Management/Business Performance Management (BPM) — Системы моделирования бизнес-процессов
Business Suites — Пакеты для автоматизации бизнеса
Collaboration/Groupware — Автоматизация совместной работы
Content Management Systems (CMS) and Wikis — Системы управления контентом и вики
Customer Relationship Management (CRM) — Системы управления взаимоотношениями с заказчиком
Data Warehouse (DW) — Хранилища данных
Document Management Systems (DMS) — Системы документооборота
E-Commerce — Системы электронной торговли
Enterprise Resource Planning (ERP) — ERP-системы
Human Resource Management (HRM) — Системы управления кадровым составом
Miscellaneous — Прочие системы
Point-of-Sale (POS) — Системы управления POS-терминалами
Project Management — Системы управления проектами
Надеюсь, что смог дать адекватный русский перевод разделам :)
Вероятно каждый из нас ежедневно получает как минимум десяток спам писем, и к сожалению некоторым из них всё таки удаётся пробиться через наши спам фильтры что не может не раздражать.
Идеальный вариант был бы нигде не вводить свой адрес но к сожалению, большая доля интернета требует от нас регистрации.
Под катом приведено 11 сервисов с описаниями работы для создания временной почты. Что позволяет избежать спама в дальнейшем.