Взлом и защита шифрования дисков LUKS

9 месяцев 1 неделя ago

Шифрование дисков предназначено для защиты данных в компьютере от несанкционированного физического доступа. Бытует распространённое заблуждение, что дисковое шифрование с этой задачей действительно справляется, а сценарии, в которых это не так, представляются уж слишком экзотическими и нереалистичными. В этой статье показано, что извлечение мастер-ключа шифрованного тома LUKS легко осуществимо на практике, и предложен (давно не новый) метод защиты. Читать дальше →
YourChief

[Из песочницы] Минимальная установка CentOS/Fedora/RedHat

9 месяцев 1 неделя ago
Не сомневаюсь, что благородные доны — администраторы Linux — стремятся максимально минимизировать набор устанавливаемых на сервер пакетов. Это экономичнее, безопаснее и вселяет в администратора ощущение полного контроля и понимания происходящих процессов.

Поэтому типичный сценарий начальной установки операционной системы выглядит как выбор минимального варианта, а далее — наполнение необходимыми пакетами.



Однако, минимальный вариант, предлагаемый установщиком CentOS, оказывается не совсем минимальным. Есть способ уменьшить размер начальной установки системы стандартным документированным способом.
Читать дальше →
aliend

[Перевод] Знакомство с виртуальными интерфейсами Linux: туннели

9 месяцев 1 неделя ago
Linux поддерживает множество видов туннелей. Это запутывает новичков, которым бывает сложно разобраться в различиях технологий, и понять то, каким туннелем лучше воспользоваться в конкретной ситуации. В материале, перевод которого мы сегодня публикуем, будет дан краткий обзор часто используемых туннельных интерфейсов ядра Linux. Сильно углубляться в эту тему мы не будем, рассмотрев лишь общие особенности туннелей и варианты их использования в Linux.



Автор этого материала полагает, что то, о чём пойдёт здесь речь, может быть интересно всем, кто имеет какое-то отношение к управлению компьютерными сетями. Список туннельных интерфейсов, а также справочные сведения о конкретной конфигурации можно получить с помощью iproute2-команды ip link help.

Здесь будут рассмотрены следующие часто используемые интерфейсы: IPIP, SIT, ip6tnl, VTI и VTI6, GRE и GRETAP, GRE6 и GRE6TAP, FOU, GUE, GENEVE, ERSPAN и IP6ERSPAN.

Прочитав эту статью, вы узнаете об особенностях этих интерфейсов и выясните различия между ними. Вы научитесь их создавать и узнаете о ситуациях, в которых их лучше всего использовать.
Читать дальше →
ru_vds

[Из песочницы] Расшифровка LUKS контейнера в момент загрузки системы

9 месяцев 2 недели ago
Всем доброго дня, ночи! Этот пост будет полезен тем, кто использует шифрование данных LUKS и хочет производить decryptдешифровку дисков под Linux (Debian, Ubuntu) на стадии расшифровки root раздела. И такой информации в интернете я найти не смог.

Совсем недавно с увеличением количества дисков в полках, столкнулся с проблемой расшифровки дисков с использованием более чем известного метода через /etc/crypttab. Лично я выделяю несколько проблем использования этого метода, а именно то, что файл читается только после загрузки (mount) root-раздела, что негативно сказывается на импорте ZFS, в частности если они были собраны из разделов на *_crypt устройстве, или же mdadm рейды, собранные так же из разделов. Мы же все знаем, что можно использовать parted на LUKS контейнерах? И также проблема раннего старта других служб, когда массивов еще нет, а использовать уже что-то надо (я работаю с кластеризованным Proxmox VE 5.x и ZFS over iSCSI).

Немного о ZFSoverISCSIiSCSI работает у меня через LIO, и собственно когда стартует iscsi-таргет и не видит ZVOL устройств, он их просто-напросто удаляет из конфигурации, что не дает возможности загружаться гостевым системам. Отсюда либо восстановление бэкапа json файла, либо ручное добавление устройств с идентификаторами каждой VM, что просто ужас, когда таких машин десятки и в конфигурации каждой более 1 диска.

И второй вопрос, который я рассмотрю, это чем производить расшифровку (это ключевой момент статьи). И об этом мы поговорим ниже, заходите под кат!
Читать дальше →
quality

Организация многопользовательского доступа на сервер GIT

9 месяцев 2 недели ago
При установке и конфигурировании Git-сервера встаёт вопрос об организации доступа нескольких пользователей к нескольким проектам. Я провёл исследование вопроса и нашёл решение, удовлетворяющее всем моим требованиям: простое, безопасное, надёжное.

Мои пожелания таковы:

  • каждый пользователь подключается со своим собственным аккаунтом
  • над одним проектом может работать несколько пользователей
  • один и тот же пользователь может работать над несколькими проектами
  • каждый пользователь имеет доступ только в те проекты, над которыми он работает
  • должна быть возможность подключения через командую строку, а не только через какой-то веб-интерфейс

Также было бы здорово:

  • предоставлять права только для чтения для контролирующих лиц
  • удобно администрировать права доступа пользователей в Git
Читать дальше →
parserme

[Перевод] WSL 2 теперь доступен для Windows Insiders

9 месяцев 2 недели ago
Мы рады рассказать, что теперь вы можете попробовать Windows Subsystem for Linux 2 установив Windows build 18917 в Insider Fast ring! В этой статье мы расскажем о том, как начать работу, о новых wsl.exe командах, а также поделимся важными заметками. Полная документация о WSL 2 доступна на странице в нашей документации.

Читать дальше →
msgeek

Бенчмарки для Linux-серверов: 5 открытых инструментов

9 месяцев 3 недели ago
Сегодня мы расскажем об открытых инструментах для оценки производительности процессоров, памяти, файловых систем и систем хранения данных.

В список вошли утилиты, предлагаемые резидентами GitHub и участниками тематических тредов на Reddit, — Sysbench, UnixBench, Phoronix Test Suite, Vdbench и IOzone.

Читать дальше →
1cloud

Баг в Linux 5.1 приводил к потере данных — корректирующий патч уже вышел

10 месяцев ago
Пару недель назад в версии ядра Linux 5.1 обнаружили баг, который приводил к потере данных на SSD. Недавно разработчики выпустили корректирующий патч Linux 5.1.5, который залатал «брешь».

Обсуждаем, в чем была причина.

Читать дальше →
1cloud

Samba DC в качестве второго контроллера в домене AD Windows 2012R2 и перемещаемые папки для клиентов на Windows и Linux

10 месяцев ago
image
Осознание того, что я попал в импортозамес пришло не сразу. Только когда из вышестоящей организации свежие поставки ПК стали стабильно приезжать с дистрибутивом «Альт Линукс» на борту, я заподозрил неладное.

Однако в процессе прохождения по стадиям принятия неизбежного я втянулся и даже немного начал получать удовольствие от процесса. А в какой-то момент подумал, что такими темпами рано или поздно мне придётся расставаться с решениями по организации службы каталогов от Microsoft и двигаться в сторону чего-то более экзотичного. Поэтому, чтобы заранее подготовиться к неизбежному, и по возможности выловить побольше подводных камней, было решено развернуть тестовый стенд, включающий в себя:

  • DC1 — Windows Server 2012R2
  • DC2 — Альт Сервер 8.2
  • File Server — Windows Server 2012R2
  • PC1 — Windows 7
  • PC2 — Альт Рабочая станция 8.2
Читать дальше →
Osennij_Lis

ZFSonLinux 0.8: фичи, стабилизация, интриги. Ну и trim

10 месяцев 1 неделя ago
Буквально на днях релизнули свежую stable версию ZFSonLinux, проекта, который теперь является центральным в мире разработки OpenZFS. Прощай, OpenSolaris, здравствуй свирепый GPL-CDDL несовместимый мир Linux.

image
Под катом обзор самых интересных вещей (ещё бы, 2200 коммитов!), а на десерт — немного интриг.
Читать дальше →
gmelikov

Настройка кластера Nomad с помощью Consul и интеграция с Gitlab

10 месяцев 2 недели ago
Введение

В последнее время стремительно растет популярность Kubernetes — все больше и больше проектов внедряют его у себя. Я же хотел коснуться такого оркестратора, как Nomad: он отлично подойдет проектам, где уже используются другие решения от компании HashiCorp, например, Vault и Consul, а сами проекты не являются сложными в плане инфраструктуры. В данном материале будет инструкция по установке Nomad, объединения двух нод в кластер, а также интеграции Nomad с Gitlab.



Читать дальше →
SyCraft

Как мы построили надёжный кластер PostgreSQL на Patroni

10 месяцев 2 недели ago


На сегодняшний день высокая доступность сервисов требуется всегда и везде, не только в крупных дорогих проектах. Временно недоступные сайты с сообщением «Извините, проводится техническое обслуживание» ещё встречаются, но обычно вызывают снисходительную улыбку. Прибавим к этому жизнь в облаках, когда для запуска дополнительного сервера нужен лишь один вызов к API, причем думать о «железной» эксплуатации не надо. И уже не остается оправданий, почему критичная система не была сделана надежно с использованием кластерных технологий и резервирования.

Мы расскажем, какие решения мы рассматривали для обеспечения надёжности баз данных в своих сервисах и к чему пришли. Плюс демо с далеко идущими выводами.
Читать дальше →
anuriq

Linux Install Fest — вид сбоку

10 месяцев 2 недели ago
Несколько дней назад в Нижнем Новгороде состоялось классическое мероприятие времён «лимитного интернета» — Linux Install Fest 05.19.



Этот формат с давних пор (~2005 год) поддерживается NNLUG (региональная группа пользователей Linux).

Сегодня уже не принято копировать «с винта на винт» и раздавать болванки с свежими дистрибутивами. Интернет доступен всем и светит буквально из каждого чайника.
В то же время просветительская составляющая остаётся актуальной. Её важность фестиваль подтвердил и в этот раз.

Организаторы предложили докладчикам рассказать о любой интересной теме из области Linux и свободного ПО. В результате итоговый список охватил серьёзные «админские» задачи, графику, игровой сектор и аудио-музыкальные приложения.

Пока докладчики регистрировали темы на NNLUG-сайте, организаторы делали анонсы, в том числе и на Хабре. Сразу же был составлен таск-лист в GD, открытый для всех, кто хотел бы присоединиться к подготовке.

Что планировали организаторы?
8 докладов, use-демо свежих Linux-дистрибутивов, игровые стенды разного калибра и, как потом выяснилось — музыкальный сейшен в финале.

Всё это — в просторном актовом зале НРТК с приличной акустикой и чайным столом в уголке.

Ниже будут фотоизображения!
Читать дальше →
gymlyg

[Перевод] Восемь малоизвестных опций Bash

10 месяцев 2 недели ago
Некоторые опции Bash хорошо известны и часто используются. Например, многие в начале скрипта пишут

set -o xtrace
для отладки,

set -o errexit
для выхода по ошибке или

set -o errunset
для выхода, если вызванная переменная не установлена.

Но есть много других опций. Иногда они слишком путано описаны в манах, поэтому я собрал здесь некоторые из наиболее полезных, с объяснением.
Читать дальше →
m1rko

[Перевод] Запуск Bash в деталях

10 месяцев 2 недели ago
Если вы нашли эту страницу в поиске, то наверняка пытаетесь решить какую-то проблему с запуском bash.

Возможно, в вашем окружении bash не устанавливается переменная среды и вы не понимаете, почему. Возможно, вы засунули что-то в различные загрузочные файлы bash или в профили, или во все файлы наугад, пока это не сработало.

В любом случае, смысл этой заметки — как можно проще изложить процедуру запуска bash, чтобы вы могли справиться с проблемами.

Диаграмма
Эта блок-схема обобщает все процессы при запуске bash.



Теперь подробнее рассмотрим каждую часть.
Читать дальше →
m1rko

[Перевод] Храним SSH-ключи безопасно

10 месяцев 3 недели ago


Хочу рассказать как безопасно хранить SSH-ключи на локальной машине, не боясь того, что какое-то приложение может украсть или расшифровать их.


Статья будет полезна тем, кто так и не нашел элегантного решения после паранои в 2018 и продолжает хранить ключи в $HOME/.ssh.


Для решения данной проблемы предлагаю использовать KeePassXC, который является одним из лучших менеджеров паролей, он использует сильные алгоритмы шифрования, а также имеет встроенный SSH-агент.


Это дает возможность безопасно хранить все ключи прямо в базе паролей и автоматически добавлять их в систему при её открытии. Как только база будет закрыта, использование SSH-ключей также станет невозможным.

Читать дальше →
kvaps

[Перевод] Windows Subsystem for Linux (WSL) версии 2: как это будет? (FAQ)

10 месяцев 3 недели ago
kITerE

Почта на «малинке»

10 месяцев 3 недели ago
Проектирование
Почта, почта… «В настоящее время любой начинающий пользователь может завести свой бесплатный электронный почтовый ящик, достаточно зарегистрироваться на одном из интернет-порталов», — утверждает Википедия. Так что запуск для этого своего почтового сервера — это немного странно. Тем не менее, я не жалею о потраченном на это месяце, считая со дня установки ОС до дня отправки первого письма адресату в интернете.
Читать дальше →
mikhaylovns

Сходка системных операторов точек сети «Medium» в Москве, 18 мая в 14:00 на Патриарших прудах

10 месяцев 3 недели ago
18 мая (суббота) в Москве в 14:00 на Патриарших прудах состоится сходка системных операторов точек сети «Medium».
Мы верим в то, что Интернет должен быть политически нейтральным и свободным — те принципы, исходя из которых была построена всемирная сеть, — не выдерживают никакой критики. Они устарели. Они небезопасны. Мы живём в Legacy. Любая централизованная сеть по умолчанию скомпрометирована — и это одна из тех причин, по которым мы развёртываем «Medium».

Мы верим в то, что конфиденциальность — одна из тех основ, без которых спокойная и размеренная жизнь человека невозможна.

Мы верим в то, что каждый человек имеет право на конфиденциальность и неприкосновенность своих данных.

Мы верим в то, что «Medium» сможет оказать посильное содействие развитию сети I2P — ведь с каждой новой поднятой точкой «Medium» появляется и новый транзитный узел в сети I2P.
Читать дальше →
podivilov
Checked
9 часов 13 минут ago
habrahabr.ru/linux/
Настройка Linux – Вечный кайф
Подписаться на лента habrahabr.ru/linux/