Мохнатые уроды и моральные пёзды. Войти !bnw Сегодня Клубы
Криптокоммуна использует передовые технологии для защиты передаваемых мемчиков от пассивных и активных атак. Серия постов под тегом *криптосервер будет рассказывать о настройке оборудования, служащего этой цели. В этом выпуске мы настроим удаленную разблокировку dm-crypt root раздела. Поскольку криптосервер в будущем будет запотолочен куда-то за потолок без монитора и клавиатуры, данная функциональность просто необходима. Оказывается, сделать это довольно просто, если бы не тысячи противоречащих друг другу гайдов в интернете. Криптокоммуна проверила их все и написала свой. Использовался Debian Stable, openssh уже был настроен, так что ключи берутся из него. 1. Ставим нужную хуйню sudo apt-get install busybox dropbear initramfs-tools Скорее всего все, кроме dropbear, уже стоит 2. Конвертим ключи из формата openssh в формат dropbear sudo /usr/lib/dropbear/dropbearconvert openssh dropbear /etc/ssh/ssh_host_rsa_key /etc/initramfs-tools/etc/dropbear/dropbear_rsa_host_key sudo /usr/lib/dropbear/dropbearconvert openssh dropbear /etc/ssh/ssh_host_dsa_key /etc/initramfs-tools/etc/dropbear/dropbear_dss_host_key Dropbear говно и не может в ECDSA ключи (дефолтные в актуальном openssh), так что можно немного соснуть с этим. TinySSH очень крутой и может, но еще нестабильный и его нету в репах. 3. Пихаем открытый ключ в dropbear sudo cp ~/.ssh/authorized_keys /etc/initramfs-tools/etc/dropbear 4. Настраиваем dropbear чтобы он не пускал по паролю (все равно не сможет на самом деле) и чтобы смотрел только в локалку. Записать это в /etc/initramfs-tools/initramfs.conf PKGOPTION_dropbear_OPTION="-s -p 172.16.1.1:22" Хост сменить на свой. После двоеточия указывается порт. 5. Берем этот скрипт https://projectgus.com/files/headless_cryptroot/mount_cryptroot и пихаем его в /etc/initramfs-tools/hooks sudo wget https://projectgus.com/files/headless_cryptroot/mount_cryptroot -O /etc/initramfs-tools/hooks/mount_cryptroot sudo chmod +x /etc/initramfs-tools/hooks/mount_cryptroot Проверьте, чтобы в нем не оказалось какого-нибудь говна. 6. Ребилдим sudo update-initramfs -u 7. Ребутаемся, пробуем коннектиться. Именно с юзером root, это нормально, других юзеров в initramfs нету. Тип ключа указывается по причине отсоса с ECDSA, можно потом прописать в ~/.ssh/config ssh -o HostKeyAlgorithms=ssh-rsa root@172.16.1.1 После ввода пароля dropbear убьется и система загрузится. Ура?
Рекомендовали: @krkm @ninesigns @twinki @minoru @anonim
#VF2CU2 / @cryptocommune / 3245 дней назад

Как вы защищаетесь от атаки на криогенную презервацию содержимого RAM?
#VF2CU2/BHJ / @l29ah / 3245 дней назад
@l29ah Выключением девайса // нет адекватной защиты от этого
#VF2CU2/0MW / @cryptocommune --> #VF2CU2/BHJ / 3245 дней назад

@l29ah тревожным poweroff, забинженным на сжатие анального сфинктера

#VF2CU2/CEG / @anonymous --> #VF2CU2/BHJ / 3245 дней назад
@cryptocommune Если девайс выключается при обнаружении нарушения целостности корпуса, то норм.
#VF2CU2/9DV / @l29ah --> #VF2CU2/0MW / 3245 дней назад
@l29ah Или падении температуры ниже нуля.
#VF2CU2/S01 / @l29ah --> #VF2CU2/9DV / 3245 дней назад
@l29ah Что делать, если у девайса уже нарушена целостность корпуса? // вообще наверное можно какой-нибудь датчик припилить
#VF2CU2/HL3 / @cryptocommune --> #VF2CU2/9DV / 3245 дней назад

Вы лучший блог этого болота.

#VF2CU2/1JG / @minoru / 3245 дней назад
хуйсосервер
#VF2CU2/LAY / @anonymous / 3244 дня назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.