On 29 May 2019, at 13:54, Dan Lukes wrote: >> Nevite, jak lze zabezpecit, aby se to kompletne odmontovalo? > > Proste je pred volanim reboot -r odmountovat explicitne ?
Ale jak? Rucne zavolat force unmount? To mi neprijde ciste. Nejake aplikace muzou mit otevrene soubory napriklad ve /var/run, pripadne syslogd v /var/log. Muzu ukoncit vetsinu aplikaci. Ale radsi bych byl kdyby se o to postaral system. Nebo je mozne vytvorit nejaky shutdown script, ktery se zavola ve vhodne chvili pri tom reboot -r? Ja se moc do toho, jak to funguje pri vypinani, nevyznam. >> Mam nesifrovany ZFS pool (base), do ktereho nabootuju, tam pripojim >> sifrovany ZFS pool (private) a pak do nej rerootuju. > > Jen ze zvedavosti - takze to mas tak, ze pocitac nastartuje jen pokud je > pritomna obsluha, ktera zada heslo ? > > Ja delal neco podobneho, ale nemaje o existenci reroot zadne poneti, tak to > mam tak, ze pocitac bootuje z flash (ktera sama je zabezpecena a nejprve je > nutne ji odemknout zadanim kodu na HW klavesnici, ktera je primo na flashce), > v ramci toho bootu se (z flash) nacte klic pro GELI, obsluha navic muzu zadat > i heslo - a pak system dobootuje a rovnou mountne uz odemceny svaazek na > disku. Ted, kdyz jsme se dozvedel o reroot, tak mi ale stejne nevychazi, ze > to ma smysl predelavat. Klic stejne musi odnekud prijit, na nesifrovanem > svazku lezet nemuze, takze bez flash se stejne neobejdu - no a to uz pak > nepotrebuju ten reroot. Ja jsem mel neco podobneho na FreeBSD 10. Nezabezpecena flash, ze ktere se bootuje a na ktere je klic pro GELI. Pri bootu se pak jeste zadavalo heslo. V /boot/loader.conf jsem mel: zfs_load="YES" aesni_load="YES" geom_eli_load="YES" vfs.root.mountfrom="zfs:private/ROOT/default" geli_ada0p4_keyfile0_load="YES" geli_ada0p4_keyfile0_type="ada0p4:geli_keyfile0" geli_ada0p4_keyfile0_name="/boot/keys/private.key" Takze obsluha musela mit flash a znat heslo. Fungovalo to OK, ale byl problem s bootem z flash - neslo nastavit v BIOSu, muselo se pres F11. A pak s USB klavesnici. Kdyz system chtel heslo, tak klavesnica jeste nebyla ready a muselo se to heslo zadavat na x krat. A bylo tam omezeni, ze byla potreba obsluha na miste. Ted jsem to upravil, ze se bootuje z ciste nezabezpecene instalace jenom s nastaveným SSH. Pres SSH sa nahraje klic pro GELI do memory filesystemu, odemkne s heslem a rerootuje. Je to min bezpecne, ale je to mozne udelat vzdalene. Nekdo s fyzickym pristupem a znalostmi by mohl upravit tu nezabezpecenou cast a pri vzdalenem odemykani odchytit klic a heslo - nebo upravit kernel. To ale povazuji v mem pripade za malo pravdepodobne. Navic to mam vice-mene na hrani. Slo by bootovat vzdy z flash disku a mit ten remote boot jenom jako fail safe. BTW ta zabezpecena flash s HW klavesnici je fajn vec. > Ale je pravda, ze ja pro rootovske svazku zasadne nepouzivam ZFS. Me se libi ZFS Boot Environments. Ne ze bych to nekdy potreboval pouzit ;-). Marian -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
