https://www.opennet.ru/openforum/vsluhforumID3/122787.html Инструкция по созданию полностью зашифрованного образа гостевой системы, в котором шифрование охватывает корневой раздел и стадию загрузки.<br><br>Извлекаем содержимое корневого раздела образа виртуальной машины, который требуется зашифровать, в tar-архив vm_root.tar. Проверяем, чтобы в образе были необходимые для шифрования и EFI-загрузки разделов утилиты, такие как cryptodisk и grub-efi. <br><br>Создаём файл с дисковым образом, содержащим два раздела - небольшой раздел для EFI (p1, 100МБ) и корневой раздел, содержимое которого будет зашифровано (p2).<br><br><br> truncate -s 4GB disk.img<br> parted disk.img mklabel gpt<br> parted disk.img mkpart primary 1Mib 100Mib<br> parted disk.img mkpart primary 100Mib 100%<br> parted disk.img set 1 esp on<br> parted disk.img set 1 boot on<br><br>Настраиваем EFI на первом разделе и дисковое шифрование LUKS на втором. Для повышения защищённости можно заполнить шифрованный раздел случайными числами, но это приведёт к увеличению размера итогового образа qcow2. Создаём на шифрованном раз https://www.opennet.ru/openforum/vsluhforumID3/122787.html#23 Tue, 10 Aug 2021 08:14:06 GMT Можно подробнее, обычно на VDS сделать fulldisk шифрование проблематично<br> https://www.opennet.ru/openforum/vsluhforumID3/122787.html#22 Fri, 26 Mar 2021 16:35:35 GMT В grub 2.0.4 завезли поддержку LUKS2.<br> https://www.opennet.ru/openforum/vsluhforumID3/122787.html#21 Thu, 25 Mar 2021 20:12:38 GMT Хм... Как-то проктологичски придумано имхо.<br>На вдске грузиться микросборка c diskXp1, отправляет курлом мне в телегу сообщение типа "faking hoster is reboot your host".<br>Я захожу по сысаш, делаю geli attach.. <br>Так уже немодно?<br> https://www.opennet.ru/openforum/vsluhforumID3/122787.html#19 Thu, 28 Jan 2021 05:24:40 GMT Debootstrap никогда его и не поддерживал, а я в последнее время ставлю систему через него и развёртываю тоже.<br> https://www.opennet.ru/openforum/vsluhforumID3/122787.html#18 Sat, 23 Jan 2021 07:18:08 GMT &gt; Я диск спёр, я - бог, чо мне твой рут!?<br><br>и ключ внутри зашифрованного файла. Виртуалку без пароля ты не запустишь<br><br>&gt; Тя научить разбирать initrd?<br><br>разбирать initrd я умею, а ты научись сначала initrd вытаскивать из LUKS без пароля и ключа.<br><br>Еще раз:<br>1. товарищ шифрует раздел внутри образа диска<br>2. для того, чтобы запустить виртуалку этот раздел надо расшифровать дважды: это делает груб, чтобы отыскать initrd и ядро, а затем ядро, чтобы смонтировать корень<br>3. для того, чтобы убрать второй запрос пароля добавляется ключ, который может быть каким угодно, даже одинаковым с паролем.<br>3.1 ключ лежит на зашифрованном разделе внутри образа. Т.е. без расшифровки ты его не получишь.<br>3.2 ключ добавляется в initrd, который тоже лежит на зашифрованном разделе внутри образа. Т.е. без расшифровки ты его не получишь.<br><br>ключей и паролей вне зашифрованных файлов на сервере не хранится (разве что кто-то ССЗБ), если ты спер диск, то тебе надо расшифровать все, чтобы получить ключи.<br><br>Лучше не вынивать диск, а подме https://www.opennet.ru/openforum/vsluhforumID3/122787.html#17 Thu, 21 Jan 2021 00:42:04 GMT &gt; угу, в комплекте. Лежит на зашифрованном разделе внутри образа. <br><br>Залью себя бетоном, попробуй найди. <br><br>&gt; Без прав рута ...<br><br>Я диск спёр, я - бог, чо мне твой рут!? <br><br>&gt; и пароль дважды не вводить. <br><br>А, то есть они ещё и одинаковые? ))) <br><br>&gt; ключик нужен чтобы запихнуть его в initrd <br><br>Тя научить разбирать initrd?<br><br><br>Боги секурити собрались! )<br> https://www.opennet.ru/openforum/vsluhforumID3/122787.html#16 Wed, 20 Jan 2021 07:49:56 GMT &gt; плюс в размере. Бэкапы гостей теперь несжимаемые.<br><br>Сомневаюсь, что это плюс..<br> https://www.opennet.ru/openforum/vsluhforumID3/122787.html#15 Thu, 14 Jan 2021 02:23:41 GMT А нахрена все это? Установщики перестали поддерживать шифрование при установке?<br> https://www.opennet.ru/openforum/vsluhforumID3/122787.html#14 Sun, 10 Jan 2021 01:04:19 GMT Это вообще видимо не для сокрытия данных, а скорее для контроля целостности загружаемого образа или я не понял нафига козе баян. <br>