The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Fedora рассматривают возможность применения шифрования ФС по умолчанию

04.04.2023 13:55

Оуэн Тейлор (Owen Taylor), создатель GNOME Shell и библиотеки Pango, входящий в рабочую группу по развитию Fedora для рабочих станций, выставил на обсуждение план шифрования по умолчанию системных разделов и домашних каталогов пользователей в Fedora Workstation. Из плюсов перехода к шифрованию по умолчанию называется защита данных в случае кражи ноутбука, защита от атак на оставленные без присмотра устройства, поддержание конфиденциальности и целостности из коробки без необходимости совершения лишних манипуляций.

В соответствии с подготовленным черновым планом для шифрования планируют использовать Btrfs fscrypt. Для системных разделов ключи шифрования планируют хранить в TPM-модуле и использовать в привязке к цифровым подписям, применяемым для проверки целостности загрузчика, ядра и initrd (т.е. на этапе загрузки системы пользователю не нужно будет вводить пароль для расшифровки системных разделов). При шифровании домашних каталогов ключи планируют генерировать на основе логина и пароля пользователя (подключение зашифрованного домашнего каталога будет производиться во время входа пользователя в систему).

Сроки реализации инициативы зависят от перехода дистрибутива на унифицированный образ ядра UKI (Unified Kernel Image), объединяющий в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd. Без поддержки UKI невозможно гарантировать неизменность содержимого окружения initrd, в котором осуществляется определение ключей для расшифровки ФС (например, атакующий может подменить initrd и симулировать запрос пароля, чтобы этого избежать требуется верифицированная загрузка всей цепочки до монтирования ФС).

В текущем виде в инсталляторе Fedora имеется опция для шифрования разделов на блочном уровне при помощи dm-crypt, используя отдельную парольную фразу, не привязанную к учётной записи пользователя. В данном решении отмечаются такие проблемы, как непригодность для раздельного шифрования в многопользовательских системах, отсутствие поддержки интернационализации и средств для людей с ограниченными возможностями, возможность совершения атак через подмену загрузчика (установленный атакующим загрузчик может притвориться оригинальным загрузчиком и запросить пароль расшифровки), необходимость поддержки framebuffer в initrd для вывода запроса пароля.

  1. Главная ссылка к новости (https://lists.fedoraproject.or...)
  2. OpenNews: Утверждён переход Fedora Desktop на Btrfs и замена редактора vi на nano
  3. OpenNews: Выпуск системного менеджера systemd 252 с поддержкой UKI (Unified Kernel Image)
  4. OpenNews: Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux
  5. OpenNews: В Fedora 38 планируют реализовать поддержку универсальных образов ядра
  6. OpenNews: Дистрибутив Fedora Linux 38 перешёл на стадию бета-тестирования
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58916-fedora
Ключевые слова: fedora, btrfs, crypt
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (274) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, alexandr_0503 (ok), 14:08, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Весьма полезно
     
     
  • 2.103, Аноним (103), 18:08, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Весьма полезно

    Для товмайора, чтоб не парится с расшифровкой.

    > Без поддержки UKI невозможно гарантировать неизменность содержимого окружения initrd, в котором осуществляется определение ключей для расшифровки ФС

    БРЕХНЯ И ЛОЖЬ!

    Жучки хотят похерить загрузчик.

    https://www.opennet.ru/openforum/vsluhforumID3/128844.html#276


    Почему не используют классический вариант верификации: https://www.gnu.org/software/grub/manual/grub/grub.html#Using-digital-signatur

     
  • 2.303, sysrise (ok), 03:13, 09/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Думаю что все же полезность в пользовательской ОС должен определять сам пользователь, а не иметь безальтернативный метод использования. Не имею ввиду офис и наличие корпоративных политик. К чему к примеру мне, с средними показателями аппаратной части моего ноутбука шифрованная ФС? Скажете - не нравиться вали отсель, как то не вяжется с лицензиями и методами открытого ПО.    
     

  • 1.2, Аноним (2), 14:10, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    >ключи шифрования планируют хранить в TPM-модуле

    EEE

     
     
  • 2.33, Аноним (33), 14:53, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тезис вечной иглы для примаса вновь станет актуальным.
     

  • 1.3, Аноним (3), 14:12, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +31 +/
    >Btrfs fscrypt

    Кек, теперь твои данные не сможет прочитать не только злоумышленник, но и ты сам. 100% защита!

     
     
  • 2.10, Аноним (10), 14:22, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    использую btrfs + luks несколько лет, полет нормальный. Баги btrfs наблюдаю только в интернетах, особенно в разделе "Комментарии". У себя багов btrfs не видал, но надеюсь наконец увидеть. Притронуться к этому единорогу, так сказать.
     
     
  • 3.26, Аноним (26), 14:44, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вопрос не относится к теме поста, но все же задам его.
    Как ситуация с btrfs на hdd обстоит? Сильно тормозит?
     
     
  • 4.37, Аноним (10), 15:04, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Помимо ssd, на btrfs + luks держу жесткий диск для кинца (не спрашивайте, зачем мне понадобилось шифровать кинцо). 2160p смотрится комфортно. Не, если начать прыгать по фильму туда-сюда, то конечно да, не сразу считывает нужные моменты. Но без нешифрованного btrfs/ext4 на том же девайсе трудно сказать, что именно тормозит -- традиционно неторопливый класс железа HDD или все-таки файлуха.
     
     
  • 5.131, пох. (?), 20:23, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "но это же ж - п-ц!"

    то есть у тебя НАСТОЛЬКО п-ц что банальный слайдер видео не отрабатывает мгновенно?!

    Впрочем, да, cp лучше все же шифровать.

     
     
  • 6.143, Аноним (10), 21:03, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1920p реагирует на клики по слайдеру через треть секунды. 2160p (а я люблю видосы покачественнее, чтоб аж были видны все одноклеточные животные) может задумываться над кликами по 5 секунд в худшем случае. НЖМД, чего ты хотел?
     
     
  • 7.153, пох. (?), 21:35, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    хм, я наивно надеялся что это устройство с _произвольным_ доступом, как в школе учили.

     
  • 7.199, А (??), 05:51, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1080p ты хотел сказать. И не благодари...
     
  • 5.176, Вы забыли заполнить поле Name (?), 23:19, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > не спрашивайте, зачем мне понадобилось шифровать кинцо. 2160p смотрится комфортно. Не, если начать прыгать по фильму туда-сюда, то конечно да, не сразу считывает нужные моменты.

    Да ты сам рассказал, что за кинцо у тебя там раз прыгаешь при просмотре.

     
     
  • 6.312, Аноним (312), 20:16, 15/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    кoнcтитуция_рф_1993.mp4
     
  • 4.91, Аноним (91), 17:16, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    BTRFS для HDD - это чистой воды извращение. Лучше ZFS, а на худой конец EXT4 & XFS.
     
     
  • 5.130, пох. (?), 20:21, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну да, ну да - для флэша-то ее 32x write amplification будет просто в самый раз.

    нет, open(другой уж нет)zfs не лучше ничем и у тебя не останется даже призрачного шанса ее починить если "unable to import pool"

    xfs+thin lvm или ext4+raw hdd - единственный на сегодня более-менее приемлемый выбор для тех чьи данные имеют ненулевую ценность но не оправдывают ежечасный бэкап.

    Ну или ntfs. Если больше читать чем писать - то даже и не хуже. С шифрованием правда не все гладко.

     
     
  • 6.196, Аноним (196), 02:44, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы не поверите... ZFS к SSD относится намного бережнее, чем BTRFS. И не окирпичивается самым случайным образом, в отличии от сабжа. И размер блока регулируется, и позволяет еще много чего, в отличии от сабжа. Не файловая система, а мечта! Не вижу у нее конкурентов от слова "совсем".
     
     
  • 7.211, пох. (?), 11:01, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну не знаю - с моей точки зрения оба хуже.
    write amplification у них  примерно равны. Случайным не окирпичивается, окирпичивается неслучайным.
    Но зато у того fsck, а у этой вендоутилита за деньги и несовместимая с новыми гениальными идеями.
    Размер блока совсем не та деталь которую мне интересно менять. Вот отключение CoW там где он не нужен - поинтересней будет.


    Каравай-каравай, каку хочешь - выбирай.

     
     
  • 8.232, Аноним (196), 17:04, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С отключенным CoW в BTRFS - особого смысла нет Ни csum, compression, snapshots ... текст свёрнут, показать
     
     
  • 9.234, ivan_erohin (?), 19:15, 05/04/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 9.261, пох. (?), 13:31, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    остается управление пулом, сабволы и прочие прелести фс 21 а не 20 века Ну и от... текст свёрнут, показать
     
  • 6.200, Ананимаз (?), 06:50, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    современные нжмд и ттппзу давно превратились в расходник. Особенно ноутбучные. 3года и можно начинать трястись, если не раньше.
    Так что в любом случае нужно будет бекапить на несколько внешних носителей.
     
  • 4.135, mikhailnov (ok), 20:41, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    После множества снапшотов начинает сильно тормозить, видимо, из-за фрагментации
     
  • 4.206, Аноним (206), 09:22, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Самая быстрая фс на HDD?
     
  • 3.38, Вася (??), 15:05, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    у меня сдохла разок. Причем именно в тот, когда я упарывался по некоторым полезным скриптцам.
    Итоги: btrfs пошла в лес, бекаплюсь почаще.
    Остальные FS годами в порядке
     
     
  • 4.48, DEF (?), 15:26, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Тухлодырое железо смени на нормальное, у которого нормально работает Flush.
     
     
  • 5.52, Вася (??), 15:40, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    жалкое блочное устройство не достойно носить эту совершенную файловую систему? сделай-ка ты сам flush с такими выводами
     
  • 4.51, DEF (?), 15:32, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Остальные FS годами в порядке

    FS "в порядке" - а данные битые. У ext4, xfs нету чексум на данные.

     
     
  • 5.54, Вася (??), 15:42, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и тем не менее чексуммы были, а данных не было
     
  • 5.102, Аноним (102), 18:04, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что именно битое? Говорите точнее.
     
  • 3.59, Аноним (26), 15:49, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Баги btrfs наблюдаю только в интернетах

    Где-то читал, что у btrfs есть проблема с множеством файлов малого размера, когда метаданные весят больше самих данных и происходит заполнение хранилища "несуществующими" данными. Но опять же, все на уровне слухов и статей в интернете.

     
     
  • 4.65, Самый умный из вас (?), 16:07, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Шишкины сказки
     
     
  • 5.145, maximnik0 (?), 21:09, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Шишкины сказки

    Которые легко проверяются.Сейчас с включенным сжатием и простым однообразным мелким заполнением (типа dd=11 )не сломаешь фс,сработает сжатие,человек проверял.А без зжатия дела плохо,метаданные растут как тесто на дрожжах (была статья где человек проверял слова Шишкина).Также если работать  на индексацию с sqlite c очень мелкими блоками журнала без опции nocowdata ,вы охренеете посмотрев на метаданные.Скорее всего фс не поломаете,т.к сейчас при нехватке места под методанные нарезаеться еще блоки для них ,но хорошего мало.

     
     
  • 6.188, Самый умный из вас (?), 00:50, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Проблемы подвержены 10мб-ные ссд-шки?
     
     
  • 7.198, maximnik0 (?), 05:31, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Проблемы подвержены 10мб-ные ссд-шки?

    Не знаю,на 10 мгб мне не удалось поставить btrfs, возникает ошибка нет места :-)
    Зачем троллить ? Ясно дело что проверяется информация на 1 Тб размерах жёстких дисках, меньше лет 5 как хрен купишь кроме как б.у.С ssd  чуть по другому работает фс, там на хлам в метаданных можно не обращать внимания пока не развалиться фс, фрагментация не ощущается.

     
  • 4.147, maximnik0 (?), 21:24, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там не с несуществующими данными проблема Проблема в том что мелкие блоки по пр... большой текст свёрнут, показать
     
  • 4.185, Аноним (185), 00:14, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вставлю и я свои пять копеек Что было был vps на ssd иопсов было достаточно, ... большой текст свёрнут, показать
     
     
  • 5.210, Минона (ok), 10:45, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > сделал ext4 с 1млрд inode-ов

    Ну блин... шляпа 7 думаешь просто так XFS форсит?
    Надо было её делать.

     
  • 5.212, пох. (?), 11:05, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > и успокаивались. А потом начался сущий кошмар - после 2-х месяцев
    > удаения (то есть этот бэкап сервер уже где-то месяцев 6 в
    > эксплуатации) btrfs-transaction и btrfs-cleaner начали работать по десятку часов. Проблема

    а пинок в сторону btrfs balance не был попробован по незнанию или не помог?

    Потому что это вот оно на первый взгляд.

    (на второй это может быть неконтролируемый рост метаданных в которых она утонула и тогда не лечится)

     
     
  • 6.240, Аноним (185), 01:58, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно, ты имеешь в виду rebalance и scrub Вот я с этим вопросом и вышел в ин... большой текст свёрнут, показать
     
  • 5.235, ivan_erohin (?), 19:22, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > после 2-х месяцев удаения (то есть этот бэкап сервер уже где-то месяцев 6 в эксплуатации)

    о! теперь я знаю, как сделать гадость одноразовому жлобу-заказчику.
    причем совершенно легально, и даже как бы с благими намерениями
    ("btrfs - это стильно, модно, прогрессивно. редхат не может ошибаться").
    спасибо тебе добрый анон.

     
  • 2.23, Аноним (23), 14:42, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Никому доверять нельзя, даже себе!
     
     
  • 3.31, Аноним (33), 14:51, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ... в наш век соблазнов и трансформаций )
     
  • 3.313, Аноним (312), 20:44, 15/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мне - можно.
     

     ....большая нить свёрнута, показать (39)

  • 1.4, Анонимусс (?), 14:14, 04/04/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +1 +/
     
  • 1.5, uchiya (ok), 14:15, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    " Из плюсов перехода к шифрованию по умолчанию называется защита данных в случае кражи ноутбука, защита от атак на оставленные без присмотра устройства, поддержание конфиденциальности и целостности из коробки без необходимости совершения лишних манипуляций."

    И

    "(т.е. на этапе загрузки системы пользователю не нужно будет вводить пароль для расшифровки системных разделов)"

    =

    "Нашёл" ноутбук, загрузился до tty(данные уже расшифрованы). Передал перед этим загрузчику (аля systemd-boot) загрузку в аварийном режиме, подмонтировал диск, скопировал данные.

     
     
  • 2.17, Аноним (17), 14:28, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как это даст расшифровать зашифрованный домашний каталог?
     
  • 2.19, FixingGunsInAir (ok), 14:36, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Про домашний каталог уже написали, но я добавлю.

    Чтобы войти в консоль в аварийном режиме, нужен пароль root. И пустой пароль там не допускается.

     
     
  • 3.58, Аноним (33), 15:49, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Открывается корпус вешается клипса на тпм и считывается ключ
     
     
  • 4.117, Аноним (117), 19:07, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Открывается корпус - TPM сбрасывается к заводским настройкам.
     
     
  • 5.119, Аноним (102), 19:21, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    То есть ноут не ремонтнопригодный?
     
     
  • 6.190, Аноним (190), 01:33, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Посмотрите просто как это сделано в винде. Пользователю вообще не надо знать ни про какие TPM. Но если что-то пошло не так, винда предлагает ввести ключ восстановления и все начинает работать как раньше.
     
  • 5.124, Аноним (124), 19:47, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, так никто не делает, конечно. Да и открытие корпуса в measurements, вроде, обычно не попадает. Но открытый корпус атакам на тпм не очень помогает.
     
  • 5.137, ы (?), 20:54, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И ОС и данные больше никогда не расшифруются.
     
  • 4.122, Аноним (124), 19:45, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ключи никогда не покидают TPM в открытом виде, потому клипса не поможет.
    Корневой ключ, в принципе, ни в каком виде не извлекается, пользовательские ключи выгружается и загружаются для совершения криптографических операций на самом tpm только в зашифрованном корневым ключем виде.

    Это несколько упрощенное описание модели безопасности tpm, если что, но, думаю, общую идею ты понял.

     
     
  • 5.141, ы (?), 21:00, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, поможет, на самом деле. Сам RSA-ключ из TPM не нужен для расшифровки ФС, а parameter encryption не использует ни одна имплементация, по какой-то причине.

    https://www.secura.com/blog/tpm-sniffing-attacks-against-non-bitlocker-targets

     
  • 5.157, YetAnotherOnanym (ok), 21:44, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Это несколько упрощенное изложение описания модели безопасности tpm, опубликованного теми, кто его пропихивает

    Не благодари.

     
  • 5.158, Аноним (102), 21:46, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Аппаратный снифер никто не отменял. Вряд ли они будут гнать весь трафик ФС через дохленький чип.
     
  • 4.139, ы (?), 20:56, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А если TPM встроен в чипсет?
     
  • 2.63, Аноним (63), 15:55, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты так и не понял как это работает. Посмотри внимательно и тогда поймешь что да как.

    Заранее скажу, что твой вариант не пройдет)

     
     
  • 3.241, Валерий (??), 02:52, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Или как не работает: CVE-2023-1017 and CVE-2023-1018
     
  • 2.221, _kp (ok), 12:26, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Когда "нашел", то данные интересуют меньше всего. Нужен сам ноутбук.
     
     
  • 3.271, Аноним (271), 23:19, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Они ж не совсем тупые иногда. Но в целом близко к тому.
     
  • 2.270, Аноним (271), 23:18, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Никто тебе не оставит single user mode и т.п. в меню загрузчика, когда это нужно.
     

  • 1.6, Аноним (33), 14:17, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо насильно продвигать процессоры с крипто. Новая clib не тянет?
     
     
  • 2.133, Аноним (133), 20:35, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле? У всех у кого железо выпущенное 5-8 лет назад уже есть tpm. На более старом железе даже web уже еле ворочается, я конечно понимаю что тут сплошные некрофилы, но не до такой же степени.
     
     
  • 3.152, Аноним (152), 21:32, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот прям у всех!
    Открой ситилинк к примеру и найди хотя бы в 50% предложенных ))
     
     
  • 4.184, Аноним (133), 00:06, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что, TPM? У 100% предложенных Интел начиная со скайлейка, у АМД начиная с райзенов 1000 или 2000 серии, точно не помню, погугли если хочешь точно узнать.
     
  • 3.160, Аноним (102), 21:50, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Меч идёт о процах с аппаратной поддержкой криптографии.
     

  • 1.7, Аноним (26), 14:20, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    По началу идея казалось здравой, пока что не дошел до этого момента

    >Сроки реализации инициативы зависят от перехода дистрибутива на унифицированный образ ядра UKI (Unified Kernel Image), объединяющий в одном файле обработчик для загрузки ядра из UEFI (UEFI boot stub), образ ядра Linux и загружаемое в память системное окружение initrd.

    Учитывая корпоративное начало Fedora(детища RedHat(IBM)) ничего хорошего от этих решений я не жду. Как всегда по методичке начинается невинно: "для вашей же безопасности", "другие варианты невозможны" и т.д. и т.п, а заканчивается анальными зондами, вендорлоком, подменой понятий и смещением фокуса в мире открытого ПО. Переворот в FSF, размывание границ между копилефтными и копирайтными лицензиями - это все одного поля ягоды. Другое дело, что весь большой опенсорс - это продукт корпораций и их рабов на зарплате, а не магическое сообщество программистов, и решает здесь все та же грязная зеленая бумажка.

     
     
  • 2.35, Canchezzz (?), 15:02, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Фантазии ребёнка младше 25 лет.
     
     
  • 3.46, Аноним (26), 15:19, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Аргументы? С чем именно вы не согласны?
     
     
  • 4.73, Онан сын Иуды (?), 16:18, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У него стадия "отрицание", какие могут быть аргументы.
     
  • 2.134, Аноним (133), 20:38, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сразу видно человека который не знает как в дистрибутиве fedora принимаются решения и кем. Прежде чем такой бред писать погугли бы сначала.
     
     
  • 3.161, Аноним (102), 21:59, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И Гугл это не знает, и ты этого не знаешь. "На гора" компании выходит то, что ты опровергаешь.
     
     
  • 4.183, Аноним (133), 23:53, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот тебе. Похоже Гуглом пользоваться не умеешь.

    https://russianfedora.github.io/FAQ/generic-info.html

     
     
  • 5.187, Аноним (187), 00:30, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты что сказать то хотел? Избрали и что? Много кого избирают, а потом плачут и на улицы выходят. А тут вообще на окладе или прикорме. Интересы компании.
    На заборе написано красиво всегда должно быть.
     
     
  • 6.197, Аноним (133), 03:42, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это уже демагогия, я к тому что все решения проходят через комьюнити, выдвигаются кандидатуры от них, и голосует тоже комьюнити, так что последнее слово не за корпорацией.если бы вы следили за темой вы бы видели что это работает.
     
     
  • 7.314, Аноним (312), 22:17, 15/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А "комьюнити" - это кто?
     

  • 1.9, Аноним (9), 14:22, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Ага, потом мамкин шифратор-ололош будет ломиться в техподдержку с забытым паролем, продолбанными ключами и плакаться помочь ему с системой. И справедливо будет послан лесом, отличное решение - поддерживаю!

    Надеюсь эти петросяны не протолкнут подобное в серверные варианты, а то подобные же ололоши-одмины однажды установившие систему сруливая на другое место работы могут подкинуть сюрприз-сюрприз, что выколупывать данные нужно будет не с помощью простого подмонтрования, а с помощью поисковой-терморектально-аналитической бригады.

     
     
  • 2.13, Аноним (33), 14:26, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Надо стимулировать сбыт новых ноутов. На что только не пойдут ради сотрудников,забыващих ноут в метро.
     
     
  • 3.129, пох. (?), 20:16, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    вообще-то эту проблему ibm решила давным-давно. линукс нинужен.

    Но потом зачем-то продали бизнес китайцам.

    thinkpad с забытым паролем, включенным шифрованием и разблокировкой пальцем - это выкрасить и выбросить. Ну, если палец уехал туда где его никак не достать.

    Мать под замену, диск только оформатировать. И это 2007й.

     
  • 2.14, Жироватт (ok), 14:26, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Такое можно организовать и безо всяких uki...
    Так что, диффиктивный манагер, ты это, свою гордость засунь в задницу - перед офисной мышкой будешь трясти мудями - а не то и терморекталка не поможет... И это не говоря о случаях, когда у бывшего есть своя серьёзная крыша.
     
     
  • 3.22, Аноним (33), 14:39, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хороший наезд. Видна старая контора - смесь хамства, рейдерства и наиспуг.
     
  • 2.21, InuYasha (??), 14:37, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У тебя в быдлофоне ФС скорее всего УЖЕ зашифрована, лосяш. И ты, наверное, об этом даже не знаешь.
     
     
  • 3.24, Аноним (33), 14:43, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот именно скорее всего. Делать выводы на предположении старая традиция.
     
     
  • 4.218, InuYasha (??), 12:24, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В моём - зашифрована. За других производителей я не отвечаю. Потому и не пишу в булевом ключе.
     
  • 3.106, Аноним (9), 18:25, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > У тебя в быдлофоне ФС скорее всего УЖЕ зашифрована, лосяш. И ты,
    > наверное, об этом даже не знаешь.

    Ололош, нет быдлофона - нет проблем.
    Да, так можно было.

     
     
  • 4.222, InuYasha (??), 12:27, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    госуслуги смотрят на тебя со злобой и презрением
     
  • 2.29, Аноним (26), 14:46, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >потом мамкин шифратор-ололош будет ломиться в техподдержку с забытым паролем, продолбанными ключами и плакаться помочь ему с системой

    Однако, если ты занимаешься продажей поддержки, то это даже выгодно.

     
  • 2.108, Аноним (108), 18:27, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > сруливая на другое место работы могут подкинуть сюрприз-сюрприз

    И очень быстро поедут топтать зону. У нас такой один был обиженный, гордо уволился по собственному и навернул прод. Предложили по-хорошему всё починить обратно, но парниша решил идти до конца. На суде плакал, но так как размер ущерба исчислялся в сотнях тысяч долларов, условным отделаться не удалось. А компания уже через неделю работала как будто ничего и не случилось, потому что за бэкапы отвечали совершенно иные люди. Даже год без убытков закрыли. Такая вот грустная история со счастливым концом.

     
     
  • 3.156, Аноним (156), 21:43, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не все истории заканчиваются подобным образом В идеале вообще не должно быть хо... большой текст свёрнут, показать
     
     
  • 4.159, YetAnotherOnanym (ok), 21:50, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > в реальной жизни царит полный бардак

    Отучаемся обобщать.

     
  • 3.164, Аноним (102), 22:06, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это я уже читал несколько месяцев назад. Причём слово в слово. Вы штатный копипастер опеннета?
     
  • 3.316, Аноним (312), 22:26, 15/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пообщаюсь с копипастой...

    > У нас такой один был обиженный

    А кем "обиженный" и как, уточнить можешь? Может, в следующий раз "топтать зону" поедешь уже ты?

     
  • 2.272, Аноним (271), 23:22, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ага, потом мамкин шифратор-ололош будет ломиться в техподдержку с забытым паролем

    Ему нужно предоставить один раз этот опыт. Пока не успел создать важное. А когда создаст, то будет уже достаточно опытен и хомячки не пострадают.

     

  • 1.11, Аноним (33), 14:23, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А что галки в инсталяторе недостаточно?
     
  • 1.12, Жироватт (ok), 14:23, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хе. Как скоро выйдет платная Fedora Cloud - АКЦИЯ*! ВСЕГО** ЗА*** 99.99$****/месяц*****! - ведь безопаснее всего, когда код крутится на "доверенном" (копроративном) сервере, а юзер иметт лишь vnc-подобный доступ.
     
     
  • 2.16, anonymous (??), 14:28, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    дак вроде хромбуки были как раз про такое
     
     
  • 3.68, пох. (?), 16:11, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ни разу, гугель не такой. Кот (гуглевый) крутится на недобуке за твои денежки и твое электричество.
    А вот данные твои - те да, надежно (с гарантией никакихгарантий и сервис предоставляется пока нам нравится) хранятся у него.

     
     
  • 4.273, Аноним (271), 23:25, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кот-то на девайс юзера приходит мяукать с доверенного сервера.

    А если нужно мяукать на доверенном сервере, то проблемы нет за то денег брать. И берут.

     

  • 1.18, Аноним (33), 14:33, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Лучше бы инициатор довел до ума гном.
     
     
  • 2.242, Валерий (??), 03:11, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чукча не доводитель, чукча начинатель.
     

  • 1.20, InuYasha (??), 14:36, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    > требуется верифицированная загрузка всей цепочки до монтирования ФС

    Спасибо, посмеялся. Интел - проприетарное г, ТПМ - проприетарное г, УЕФИ - проприетарное г, все прошивки - проприетарное г. Но нам нужно доверенное, да.

     
     
  • 2.27, жявамэн (ok), 14:44, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –5 +/
    кроме шуток
    назови мне хоть 1 ноутбук, на котором можно пользоваться ПОЛНОСТЬЮ открытым софтом.
    чтоб и загрузчик и фирмваря вся была попенсорс?
    и чтобы это не был некрошлак на коре2дуо
    хотя бы на 9-11 интоле 2-3 амудэ
     
     
  • 3.32, anonymous (??), 14:53, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не? https://system76.com/laptops/galago
     
     
  • 4.34, жявамэн (ok), 14:57, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    панголин я бы купил.
    но как его купить из РФ да еще и с русской клавой?
     
     
  • 5.45, Минона (ok), 15:19, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >BIOS
    >Winbond W25R256JW flash chip
    >WSON-8 form factor
    >Programmed with System76 firmware (non-open)
    >EC
    >ITE IT5571
    >Programmed with non-open EC firmware

    Там фирмварь закрытая.

     
  • 5.55, anonymous (??), 15:43, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > но как его купить из РФ да еще и с русской клавой?

    может еще купить за тебя? А то смотрю тебе слишком сложно

     
     
  • 6.155, Аноним (155), 21:42, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что еще можешь купить в забугорье?
     
  • 5.61, Аноним (33), 15:52, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Через клуб.
     
  • 5.274, Аноним (271), 23:26, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > но как его купить из РФ да еще и с русской клавой?

    Съездить с отпуск, на каникулы, конференцию.
    Отнести лазерным гравировщикам, наклеить и т.п.

     
  • 4.42, Минона (ok), 15:10, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не, там вайфай проприетарный 😏
     
  • 3.201, Ананимаз (?), 07:08, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    по твоей логике, если шо то проприетарное, то все пропало. Пароли, кредитки можно хранить в текстовом файлике и пользоваться адварью на винде.

    С софтом на уровне ОС и прикладного ПО подстав уже много, а в фирмварь еще придется извернуться, чтобы впихнуть.

     
     
  • 4.223, _kp (ok), 12:32, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Но доверенным узлом подобное не может быть, и более того, даже наоборот.
     
  • 3.275, Аноним (271), 23:28, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > назови мне хоть 1 ноутбук, на котором можно пользоваться ПОЛНОСТЬЮ открытым софтом.

    IBM ThinkPad X60, X61 заапрувлен Столманом, насколько помню.

    Другое дело, что примерно 20 лет той модели...

     
  • 2.44, Минона (ok), 15:14, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А кто у нас занимается производством OpenHardware?
     
  • 2.114, Kuromi (ok), 18:55, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Под "доверенным" тут подразумевается что недоверенным\сомнительным объектом по умолчанию является пользователь, который должен всячески доказать что он это он и компуктер его. А вот изготовителю положено доверять автоматически.
     
  • 2.154, maximnik0 (?), 21:38, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >УЕФИ - проприетарное г

    Интел регулярно спеки выкладывает.Так что есть свободные реализации UEFI хотя бы для qemu и виртуалбокса.Ну еще какой то проект выкидывал свободную реализацию для пару ноутбуков и материнских плат,давно было как бы не 8 лет назат.

     

  • 1.25, Аноним (25), 14:43, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    шифрация это хлорошо  : не только чтобы не прочитать чужое  , столько чтобы добрые люди не подкинули какую нибудь  хрень  - потом  доказывай что не твоё
     
     
  • 2.39, Вася (??), 15:07, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    те добрые люди, что могут подкинуть, они тебе так и так подкинут, не переживай, их совершенно не будут такие мелочи беспокоить.
     
     
  • 3.89, Аноним (89), 17:08, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    именно. Этим "добрым людям" необязательно файлы на комп подкитывать. Можно в карман что-то осязаемое подложить. А потом журналистам говорить, что "взяли с поличным".
     
     
  • 4.128, пох. (?), 20:11, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас за осязаемое срок дают меньше, да еще и возможность стать героем.

    А за то что тебе подкинут неосязаемо - пятнашечка без шансов на досрочное.

     
     
  • 5.203, Sw00p aka Jerom (?), 08:36, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кек, зачем подкидывать, когда могут твои же на карту себе скинуть и оформить как спонсирование терраформирование сирии какой-то :)
     
  • 4.276, Аноним (271), 23:30, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ваще-то Федора - это другие страны.
     
  • 2.40, Аноним (40), 15:09, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а как ты докажешь, что не твое, если они просто поставят туда винду и подкинут все, что нужно?
     

  • 1.28, xsignal (ok), 14:44, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    А зачем по умолчанию-то? Кому надо - тот включит, но в большинстве случаев шифрование диска ни к чему.
     
     
  • 2.71, пох. (?), 16:14, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И, что не так? Кавонада и включил. Просто это не тебе надо и не ты включил - вот и бесишься.

    А не будешь шифровать - отключим газ!

     
     
  • 3.204, Sw00p aka Jerom (?), 08:37, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сед диски уже не в моде?
     
  • 2.260, Роман (??), 12:17, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    эта вот вера в "по умолчанию" она конечно впечатляет..в среднем по больнице, даже "технари" - немного технически подкованные пользователи (бэкенд, фуллстек и прочие разрабы) - не справляются с задачей приватные ключи от ссх паролем защитить, не то что рассчитывать, что по умолчанию они и диск пошифруют. Гонору конечно у них больше всех при этом.

    Поделитесь из опыта - как принято в линуксах уже на установленной системе шифрование включать? В одной из прошлых контор на винде ITSec/CorpIT выкатили всем битлокер корпоративненько без переустановок ОС, а тут уже  два года жду когда выкатят на ноут с линуксом, может не умеют, конечно.

     
     
  • 3.264, пох. (?), 17:11, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Поделитесь из опыта - как принято в линуксах уже на установленной системе шифрование включать?

    никак.
    Сбэкапь, пяток раз поперезапиши диск нулями (а не то прочитают не нули), включи шифрование и восстанови бэкап.

    Но эту проблему решить федориному горю не по чину (а разработчики вечнонедоделанной btrfs заняты более важными им делами) - поэтому мы тебе просто при установке все позашифруем нахрен, нравится тебе это или нет.

    Причем проклятая венда-то при попытке включить шифрование внятно так намекает - "сделай-ка себе шифропанк бэкапчик ключей на флэшку и сбереги понадежнее", а тут будет - как всегда.

     
     
  • 4.290, Роман (??), 10:59, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Поделитесь из опыта - как принято в линуксах уже на установленной системе шифрование включать?
    > никак.
    > Сбэкапь, пяток раз поперезапиши диск нулями (а не то прочитают не нули),
    > включи шифрование и восстанови бэкап.

    Вопрос был к эксперту опеннета, у вас опыт за пределами локалхоста прослеживается, так не честно.

    > Но эту проблему решить федориному горю не по чину

    я на этом ресурсе и в других интернетах видел отзывы экспертов о том, что Федора не есть труъ дистрибутив/система, для ламерья всякого, поэтому и спросил "в линуксах" - допускаю что в труъ всё есть. Осталось узнать где этот тру и какой там еще MDM прилагается.

     
     
  • 5.305, пох. (?), 21:09, 09/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    там даже эксперты локалхоста справились бы, потому что ты будешь ржать но именно... большой текст свёрнут, показать
     
     
  • 6.309, Роман (??), 22:12, 09/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С реинсталлом своего локалхоста то конечно, это даже я смогу, хоть и не эксперт ... большой текст свёрнут, показать
     
  • 6.310, Роман (??), 22:19, 09/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тут вот https://news.ycombinator.com/item?id=35415758 вендупоганую в очередной раз хоронят - не так конечно как FreeBSD хоронят, Фряху скорее оживлять пора, хоронить уже и не надо, местами интересно.
     
     
  • 7.311, пох. (?), 23:06, 09/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    да ну нах, опять недотыкомки купившие хомеось вместо про ноют что с ними и обращаются  как с т-пыми хомяками.

    Оно для таких и предназначено. Поэтому все пароли - в облаке, сам юзверь их через пять минут уже не может вспомнить, и все остальное в том же ключе.

     

  • 1.30, Аноним (30), 14:47, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    То есть пароль шифрования мне знать не дадут, зато его смогут узнать хакеры, которые взломают TPM? А можно мне пожалуйста оставить пароль?
     
     
  • 2.69, Самый умный из вас (?), 16:12, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Перечитай новость ещё раз, с акцентом на системный и домашний разделы
     

  • 1.41, аНОНИМ (?), 15:10, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Посмотрим-посмотрим, как они таки наконец запилят файловое шифрование в бтрфс. А то в OpenZFS оно уже давным давно есть.
     
     
  • 2.215, InuYasha (??), 12:14, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А чем это лучше FDE? Или, например, наоборот - файла-контейнера.
     
     
  • 3.249, аНОНИМ (?), 12:48, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    FDE 1 не обеспечивает контроль целостности но тут на помощь приходит сама бтр... большой текст свёрнут, показать
     
     
  • 4.250, аНОНИМ (?), 12:53, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ещё, применительно к OpenZFS (и наверное btrfs, хз как там делают) появляется возможность частичного шифрования. Например рут не зашифрован а home зашифрован. Конкретно это делается применением шифрования по отдельности к разным dataset'ам (терминология openzfs) или subvolume'ам (терминология btrfs), которые живут в пределах одного физического раздела, диска или массива дисков.
     

  • 1.43, Вася (??), 15:11, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    а что с производительностью? Сейчас шифрование даже с AES-NI это все равно компромисс, целиком шифровать носитель имеет практический смысл разве что на HDD, т.к. скорости будут сносные. С NVME это примерно как отказаться от всех плюшек его покупки. Про TGC Opal в курсе, но минусов полно.
     
     
  • 2.72, аНОНИМ (?), 16:17, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С учётом того, что бтрфс сама по себе медленная, может оказаться незаметно. Ну и всё же шифрование на уровни ФС -- это не то же самое, что шифрование на уровне блочного устройства.
     
  • 2.93, Аноним (91), 17:33, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы прикалываетесь? На моем допотопном железе 2696v3:
       Algorithm         Key        Encryption        Decryption
       aes-xts           256b       2364.6 MiB/s      2384.3 MiB/s
       aes-xts           512b       1898.2 MiB/s      1900.1 MiB/s

    P.S. Используется только одно ядро.

     
     
  • 3.99, Вася (??), 17:41, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >[оверквотинг удален]
    >    Algorithm        
    > Key        Encryption  
    >      Decryption
    >    aes-xts        
    >   256b       2364.6 MiB/s
    >      2384.3 MiB/s
    >    aes-xts        
    >   512b       1898.2 MiB/s
    >      1900.1 MiB/s
    > P.S. Используется только одно ядро.

    современный 12700kf
            aes-xts        256b      5777,6 MiB/s      5788,3 MiB/s
            aes-xts        512b      5327,0 MiB/s      5285,7 MiB/s

    А теперь глянь обзоры на современные nvme ssd где на чтение только 7000 тыщ, не говоря уже об установке в raid0 двух подобных накопителей.

     
     
  • 4.104, Аноним (91), 18:08, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы правда считаете, что все время будете "долбиться" в этот потолок? Допустим что так, отдатите три ядра на шифрование - в чем проблема? Вы не в себе...
     
     
  • 5.174, Вася (??), 22:49, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Вы правда считаете, что все время будете "долбиться" в этот потолок? Допустим
    > что так, отдатите три ядра на шифрование - в чем проблема?
    > Вы не в себе...

    3 женщины родят ребенка за 3 месяца, да?

     
  • 4.175, Аноним (155), 23:17, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/

    # Тесты, использующие практически только память (без ввода-вывода на хранилище)
     
  • 3.105, Аноним (102), 18:11, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это ты оперативку шифруешь. Процессор в это время просто отдыхает?
     
  • 2.277, Аноним (271), 23:32, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > С NVME это примерно как отказаться от всех плюшек его покупки.

    Не ощущается потерь. Почему-то.

     
     
  • 3.296, Вася (??), 14:19, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    если у тебя проц быстрее носителя, то их и не будет. Вернее, будут, но ты их не заметишь, пока не загрузишь проц на 100%
     

  • 1.60, Аноним (60), 15:50, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    У вас экран входа не масштабируется на hidpi мониторах и дробного масштабирования нет в интерфейсе до сих пор, а они херней занимаются.
     
     
  • 2.109, Аноним (108), 18:30, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Откуда на сервере hidpi монитор и зачем там масштабировать интерфейс?!
     
     
  • 3.225, _kp (ok), 13:36, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Откуда на сервере hidpi монитор и зачем там масштабировать интерфейс?!

    Откуда на сервере Fedora? Который предназначен для десктопного использования.

     
     
  • 4.243, Валерий (??), 03:18, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    поисковик: Fedora Server
     
  • 2.116, Kuromi (ok), 19:00, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это потому что hidpi это простым юзверам надо, а внедреж TPM - это кого надо пожелания.
     
  • 2.179, Аноним (179), 23:28, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > У вас экран входа не масштабируется на hidpi мониторах и дробного масштабирования нет в интерфейсе до сих пор

    Че, реально в макоси такие проблемы с hidpi? 😲


     
     
  • 3.216, Аноним (216), 12:20, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    у макбуков очень маленькое разрешение по сравнению с нормальными ноутами, какое там hidpi
     
     
  • 4.217, Аноним (216), 12:22, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    они даже сами для своих дисплеев уничижительный термин придумали - ретина
     

  • 1.62, Аноним (62), 15:54, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >ключи шифрования планируют хранить в TPM-модуле

    Все логично. Ну не будет-же массовый юзер использовать LUKS, когда система и home уже зашифрованы. Ни кто даже не задумается, что NSA и FBI умеют доставть ключи из TPM.
    По мне - это заказуха.

     
  • 1.64, Аноним (25), 15:56, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    если все  набежали и фу-фу , никому не нужно.. и тд...  ...  значит  правильно   - надо так делать  : так держать  Fedora !
     
     
  • 2.66, Аноним (26), 16:08, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очень хорошая логика, которая позволяет оправдать вообще все. Ведь, если так подумать, то и воровство не так уж и плохо...
     
     
  • 3.70, Аноним (25), 16:13, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не передёргивай(те)  , тут обсуждают  полезность шифрации данных  простых  юзверей
     
     
  • 4.82, Аноним (26), 16:40, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > тут обсуждают  полезность шифрации данных  простых  юзверей

    Это вы не передергивайте. Аргументы в духе "X - хорошо, потому что от нее у многих бомбит" я вижу почти под каждым постом и если заменить слово "шифрование"(которого в оригинальном посте даже не было, лол) на другое слово, то смысл высказывания не изменится. Да и в своем посте я поставил под сомнение валидность такой аргументации, а не полезность шифрации для юзверей.

     
  • 3.81, Аноним (81), 16:37, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так всё воруют, а я чо?
     
     
  • 4.167, Аноним (167), 22:20, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Какова вероятность, при том что все воруют, а сядешь ты?
     

  • 1.76, Аноним (76), 16:27, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Продолжение идеи UKI. Сначала слепят initrd.img и vmlinuz в один файл и будут грузить через efistub (ответную часть UEFI в ядре Linux).

    Btrfs удивил, это же alpha 0.0.0.0.1 experimental с кучей багов.

     
  • 1.80, Аноним (81), 16:37, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Думают как сделать компы ещё медленнее.
     
     
  • 2.168, Аноним (167), 22:22, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Естественно! Куда девать избыточную производительность?
    Нужно нагрузить проц и "сожрать" эту производительность
     

  • 1.86, pashev.ru (?), 16:59, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > установленный атакующим загрузчик может притвориться оригинальным загрузчиком и запросить пароль расшифровки

    Просто пусть напишут его на Wayland )

     
     
  • 2.87, Аноним (87), 16:59, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А вяленого перепишут на Раст
     
     
  • 3.90, Аноним (26), 17:14, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А раст на самый безопасный язык в мире - Паскаль.
     
     
  • 4.95, Аноним (95), 17:35, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А Паскаль перепишут на ChatGPT.
     
     
  • 5.125, Аноним (102), 19:49, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А chatgpt оставить общаться с местной публикой на недельку.
     
     
  • 6.169, Аноним (167), 22:23, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У нас нет столько клиник для лечения нервнобольных
     
     
  • 7.278, Аноним (271), 23:34, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нейронка сама себя полечит. )
     

  • 1.88, Аноним (88), 17:02, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >шифрования по умолчанию системных разделов

    Бесполезно - там ничего секретного нет, только из пакетов содержимое + конфиги. Шифрование рабочих каталогов полезно при потере ноута.

    >защита от атак на оставленные без присмотра устройства

    невозможно.

     
     
  • 2.127, пох. (?), 20:08, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Бесполезно - там ничего секретного нет, только из пакетов содержимое + конфиги.

    и если я тебе поставлю свой пакет (или просто поменяю конфиг) - ты ничего даже и не заметишь, как хорошо.

    > Шифрование рабочих каталогов полезно при потере ноута.

    а ноут твой тебе потом конечно вернут даже отказавшись от вознаграждения. Только вот рабочие каталоги у тебя теперь уплыли налево.

    Теперь начинает доходить для чего помимо шифрования используют еще и дополнительный слой не позволяющий подкинуть нечто что правильно расшифруется но не с тем содержимым что ты имел в виду, и для чего надо шифровать все, начиная прямо от процесса запуска ноута?

    Другое дело что так как это делают белки-истерички под мудрым руководством полных идиотов из rhbm, лучше бы они вообще не делали.

     
     
  • 3.170, Аноним (167), 22:25, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пациенту нечего скрывать, поэтому ему не страшно оставлять систему неприкрытой )
    Другое дело хомяк! ммм там весь цимес
     
     
  • 4.227, пох. (?), 15:11, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    дык - теперь не только уплыл хомяк, но и пароль от него, который может еще к чему-то в перспективе подойти.

     
  • 3.181, Аноним (181), 23:45, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если ты можешь поставить свой пакет - то у тебя уже есть привилегированный досту... большой текст свёрнут, показать
     
     
  • 4.209, пох. (?), 10:43, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    например ты на пару часов оставил свой комп вне поля зрения и мне не надо стра... большой текст свёрнут, показать
     
     
  • 5.236, Аноним (236), 20:18, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не путайте подсчёт хеша с HMAC.
     

  • 1.94, FixingGunsInAir (ok), 17:34, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    К этой схеме у меня есть серьёзная предъява... Почему нельзя задать свой пароль для шифрования системы? На случай пипца. Примерно тем же образом, как в LUKS можно задать несколько паролей.

    А вдруг что случится? Как мне вытаскивать данные с раздела из LiveCD?

     
     
  • 2.96, Аноним (95), 17:37, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Обращаешься в специальную организацию, у которых есть правильный лицензионный образ, говоришь им пароль, всё они все восстановят. Данные они конечно же заберут себе.
     
  • 2.118, FixingGunsInAir (ok), 19:12, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И вообще, я лично бросил быть шифропанком. Толку от этого ноль на домашнем компе. Всё что надо зашифровать, шифруется отдельно, пароли в KeePassXC, ключи на смарт-картах.

    Например, удалённо комп не перезагрузить и не включить, если что, застрянет на пароле (PiKVM ставить чтоль? Роскошь.).

    Носимые/портативные есть резон, особенно мобилу. А домашний ББ - нет.

     
     
  • 3.171, Аноним (167), 22:28, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это пока ты никому не нужен.. может это счастье с тобой продлится до конца жизни конечно..
    НО, когда внезапно потребуется эту ситуация исправить, я уверяю тея, будет уже поздно))
    А так, выбор конечно за тобой! )))
     
     
  • 4.180, anonymous (??), 23:36, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    так некоторые не хотят подвергаться терморектальному криптоанализу тем более и так понятно что с пентиума 2 только производитель знает что там на самом деле происходит (все давно у тебя и меня украдено запротоколированно и бигдада-чатгпт обработано для еще большего удобства)
     
  • 2.123, Аноним (102), 19:46, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зеркалить на не зашифрованный носитель)
     
  • 2.126, Аноним (124), 19:56, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там, скорее всего, помимо слота с tpm будет второй слот с длинным сгенерированным pin-ом. Ну и задать свой пароль в fscrypt тебе никто не мешает.
     
  • 2.297, Аноним (297), 17:26, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем тебе вытаскивать данные с раздела? Купил новый ноут, гуглдрайв сам тебе всё восстановит из облака.
     

  • 1.112, Kuromi (ok), 18:52, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    "Для системных разделов ключи шифрования планируют хранить в TPM-модуле и использовать в привязке к цифровым подписям, применяемым для проверки целостности загрузчика, ядра и initrd (т.е. на этапе загрузки системы пользователю не нужно будет вводить пароль для расшифровки системных разделов)."

    Ага, вот так благими намеренеями подьезжают требования к наличию TPM модуля и прочие приколы , а потом внезапно оказывается что у вас DRM изо всех щелей лезет, что ядро вы теперь только официальное ставить можете, что все и вся должно быть подписано.

     
     
  • 2.138, Canchezzz (?), 20:56, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Примеры из реальности будут?
     
     
  • 3.163, Адмирал Майкл Роджерс (?), 22:02, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всему своё время, сэр. Вы сможете ознакомиться с интересующими Вас сведениями по мере рассекречивания архивов, после истечения установленных законодательством США сроков секретности.
     
  • 3.279, Аноним (271), 23:37, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Андроид.
     
  • 2.144, ы (?), 21:04, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.gnu.org/philosophy/you-the-problem-tpm2-solves.html
     
  • 2.149, Kuromi (ok), 21:30, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да простой пример из жизни - условный Widewine которые защищает видосики в онлай... большой текст свёрнут, показать
     
     
  • 3.166, Аноним (87), 22:16, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Маленько путаете. Обязательным только для win 11. И никто не скупает эти чипы, так как даже в старых биосах есть эмуляция tpm 2.0 и никакой чип не надо. Да и собсно винду поставить вообще без какого либо упоминания о чипе в биосе можно..
     
     
  • 4.229, Kuromi (ok), 16:22, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Маленько путаете. Обязательным только для win 11. И никто не скупает эти
    > чипы, так как даже в старых биосах есть эмуляция tpm 2.0
    > и никакой чип не надо. Да и собсно винду поставить вообще
    > без какого либо упоминания о чипе в биосе можно..

    Спорить не буду, так как установкой видоус не увлекаюсь, но судя по тмоу же Озону очень даже покупают.

     
  • 3.182, Аноним (181), 23:50, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >в аппаратных хранилищах

    В TEE, а не в TPM. TPM 1.0 - это как раз TPM здорового человека. Просто хешировалка, управляемая программно + хранилище ключей, для DRM непригодная, ибо любой хэш туда может отправить любая программа. А TPM 2.0 - это программно реализованный TPM в TEE. TEE - это кого надо среда исполнения, изолированная от ручек всякого скота, чип с ним купившего, чтобы видео можно было расшифровать в анклаве, вывести на экран по шифрованному пути (ключи зашиты в железо и распространены между заинтересованными сторонами под NDA), чтобы нигде в доступной скоту на чтение памяти не было не ключей, ни самого видео.

     
  • 3.191, Аноним (-), 02:05, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Думаете просто так Виндушечка в 10-ке пыталась объявить TPM модуль обязательным? На том же ozon продаются модули (нужен модуль не любой, а подходящей к вашей материнке) и атм все комменты такие "купил для установки винды 10". Люди не понимают зачем это, им Винда сказала - вот они и ставят.

    Пенсионер, а знаешь ли ты, что в любом современном процессоре уже встроен TPM и покупают его только такие же луддисты возрастом 70+ как и ты. Более того, 11 винда прекрасно ставится штатными средствами без всех этих TPM и Secure Boot, достаточно лишь указать нужные ключи.

     

  • 1.136, Аноним (136), 20:49, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    TPM без разрешения пользователя - это троян. Может быть, ему и ядро доверяет?
     
     
  • 2.140, Canchezzz (?), 20:57, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В чём заключается этот троян? Опять таблетки не принял?
     
     
  • 3.165, Аноним (-), 22:08, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Троян это всё то что устанавливается и ведёт активность без моего ведома.
     

  • 1.142, Kirikekeks (ok), 21:02, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как длинно. Вытащи свой смартфон. И скажи, "Да это мой телефон". Я мечтаю, иметь такой же десктоп.
     
     
  • 2.151, Kuromi (ok), 21:31, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Как длинно. Вытащи свой смартфон. И скажи, "Да это мой телефон". Я
    > мечтаю, иметь такой же десктоп.

    Купи Макбук. Хоят постойте, сейчас их активировать без apple id нельзя, а в России и подавно...
    Хотите такого же в Линуксе?

     
     
  • 3.162, Аноним (-), 22:01, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > активировать без apple id нельзя

    Его не нужно активировать. Просто без id не будет доступен магазин (который кстати сказать нафиг не нужен, там всёравно всё платное). Всё так же как в андроиде если не зайти в гугл экаунт.

     
     
  • 4.172, Аноним (167), 22:34, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На что он годен голый без магаза?
    Звонилку с кнопками можно купить куда дешевле
     
     
  • 5.178, Вы забыли заполнить поле Name (?), 23:24, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Звонилку с кнопками можно купить куда дешевле

    Макбук - это не телефон.

     
     
  • 6.219, Аноним (216), 12:25, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    на самом деле макбук - это телефон
     
  • 5.189, Аноним (-), 01:14, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Звонилку с кнопками

    Куда ты собрался звонить с ноутбука? И зачем вообще ЗВОНИТЬ в 2023 году? Я лет 5 уже забыл как это звонить, все давно в мессенджеры перешли в текстово-стикерное общение.

     
     
  • 6.228, Аноним (228), 16:02, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Таких как ты единицы
    Можете легко объединится и кайфовать малым количеством
     

  • 1.173, Аноним (136), 22:38, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Какой дурак доверяет TPM?
     

  • 1.177, Вы забыли заполнить поле Name (?), 23:22, 04/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В установщике убунты ещё в 20.04 можно было выбрать шифрование.
     
     
  • 2.186, Аноним (152), 00:24, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Именно в таком формате?
    Вы почитайте порядок и способ шифрования
     
  • 2.195, Аноним (195), 02:14, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Емнип когда я ставил ubuntu 23.04 beta в виртуалку то в их новом установщике на flutter не было ни шифрования ни zfs по кнопке Advanced features.
     
     
  • 3.220, Аноним (216), 12:26, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  в их новом установщике на flutter

    жесть. я думал, хуже снапа уже не будет, а тут это

     
     
  • 4.280, Аноним (271), 23:44, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Снэпики это только ступенька на лестнице в свой вендор-лок на магазинчик. Всего лишь ступенька на середине лесенки.

    Будет ещё развитие, будет.

     
  • 3.238, Вы забыли заполнить поле Name (?), 00:47, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Емнип когда я ставил ubuntu 23.04 beta в виртуалку то в их
    > новом установщике на flutter не было ни шифрования ни zfs по
    > кнопке Advanced features.

    Про 23.04 не знаю, в 22.04 одна из первых ссылок в поиске https://linuxconfig.org/ubuntu-22-04-enable-full-disk-encryption

     

  • 1.194, Аноним (195), 02:12, 05/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Головы разработчиков базовой системы, а именно пакетов ядра, были уже давно зашифрованы руководством Федоры. Но желание шифрануться никуда не делись. По этому добрались до пользователей.
     
  • 1.202, Аноним (202), 08:31, 05/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Как будут спасать данные при серьезном падении системы? Впаянный SSD, некоторые реализации UEFI, что еще придумают, чтобы 100% гарантировать потерю пользовательских данных при невозможности загрузки со встроенного носителя? Ну если, конечно, пользователи не откажутся от синхронизации с дырявым облаком, доступ к которому может быть прикрыт в любое время по желанию его владельца.
     
     
  • 2.233, пох. (?), 18:50, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Как будут спасать данные при серьезном падении системы?

    Систему переустановят, данные с бэкапа восстановят, как везде.

    Спасать неудачника которому некуда, некогда, облаков панически боится а внешний диск очень дорого и одичалым не продают - ну, не будут. Человечество ничего не потеряет с твоей порнухой.

    В этой части вообще не вижу никакой катастрофы.

     
     
  • 3.239, sena (ok), 00:57, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > данные с бэкапа восстановят

    А как бэкапить есть домашний каталог зашифрован?

     
     
  • 4.247, пох. (?), 11:49, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    уровень опеннета...

     
  • 4.281, Аноним (271), 23:48, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А как бэкапить есть домашний каталог зашифрован?

    Зашифрованное и бекапить. Если нет др. пути.

    По любому придётся дополнять ценой внешних накопителей объёма условно 2х от основного диска. Но даже при нешифрованных дисках это всё равно обязательная трата, если данные нужны.

    Если не нужны, то какая разница как их терять. С шифровкой, да, чаще будут терять. Но терять ненужное.

     
     
  • 5.287, sena (ok), 07:44, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> А как бэкапить есть домашний каталог зашифрован?
    > Зашифрованное и бекапить. Если нет др. пути.

    А в каком виде зашифрованный домашний каталог будет виден руту? Я вижу как минимум 3 варианта

    №1 В виде файла/раздела/блоба (типа luks)
    №2 В виде зашифрованных отдельных файлов, но с зашифрованными именами (типа ECryptfs/EncFS)
    №3 В виде зашифрованных отдельных файлов, но с исходными именами (не знаю где такое есть)

    Выборочно бэкапить и главное восстанавливать файлы можно только с №3.

     

  • 1.205, Tron is Whistling (?), 09:17, 05/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > ключи шифрования планируют хранить в TPM-модуле

    На этом можно и остановиться.

     
  • 1.213, pda (ok), 12:06, 05/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > ключи шифрования планируют хранить в TPM-модуле

    Теперь и Fedora, как и Windows 11 начнёт требовать обязательного наличия TPM.

     
  • 1.214, sena (ok), 12:06, 05/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Если шифровать домашний раздел логином пользователя, то как его потом бэкапить? Или бэкапы больше не нужны?
     
     
  • 2.226, mos87 (ok), 13:50, 05/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "This confuses our users" (c)
     
  • 2.244, Sw00p aka Jerom (?), 09:37, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >логином пользователя

    Кек, простите, а бекапить должен кто, собственно? Сосед?

     
     
  • 3.246, sena (ok), 11:17, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>логином пользователя
    > Кек, простите, а бекапить должен кто, собственно? Сосед?

    Обычно резервную копию создаёт приложение (либо специальный клиент, либо rsync, либо tar) в автоматическом режиме по расписанию с правами рута или специального пользователя для резервного копирования, у которого есть соответствующие права доступа (причём лучше всего это делать в нерабочее время). Но если файловая система зашифрована, то и доступа к ней не будет, независимо от прав доступа.

    Можно, конечно, поделиться ключом шифрования, но тогда теряется смысл...

     
     
  • 4.251, Sw00p aka Jerom (?), 23:18, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Но если файловая система зашифрована, то и доступа к ней не будет, независимо от прав доступа.

    Мы про FDE (фул диск энкрипшен) щас говорим? Если да, то все системные и не системные разделы диска шифруются, и не расшифровав система работать не будет, а раз она не работает, то с нее бекап не снять, ибо  там не запущен рсинк или другие бекап агенты.

     
     
  • 5.255, sena (ok), 02:37, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Мы про FDE (фул диск энкрипшен) щас говорим?

    Ты читал новость-то?

    "При шифровании домашних каталогов ключи планируют генерировать на основе логина и пароля пользователя (подключение зашифрованного домашнего каталога будет производиться во время входа пользователя в систему)."

    Как ты будешь бэкапить такое?

     
     
  • 6.256, Sw00p aka Jerom (?), 08:46, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    При FDE система и остальные разделы остаются расшифрованными, после загрузки В ... большой текст свёрнут, показать
     
     
  • 7.257, Аноним (63), 09:13, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Допустим, что имеется рабочая станции, в которой посменно диспетчеры что-то делают. У каждого диспетчера имеется своя учётная запись. В добавок есть отдельные учётные записи для старшего диспетчера, начальника сметы и так далее. Каждая со своими правами и т п.

    В разные промежутки времени за рабочей станцией может быть тот или иной работник.

    Работа происходить в таком ключе. Работник входит в свою учётную запись, выполняет определенные действия, выходит из своей учётной записи.

    Как при такой системе производить плановые операции по резервированию, если их можно проводить в тот момент, когда рабочая станция простаивает, т.е. все пользователи вышли из системы?

     
     
  • 8.263, sena (ok), 14:48, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Такое было бы возможно, если бы шифровалось только содержимое файлов, а не катал... текст свёрнут, показать
     
  • 8.265, Sw00p aka Jerom (?), 17:37, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну как,как , все просто ждать когда наступит то самое событие т е все пользова... текст свёрнут, показать
     
     
  • 9.267, Аноним (63), 18:47, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема то в том, что они предлагают отдельные разделы для каждого пользователя... текст свёрнут, показать
     
     
  • 10.300, Sw00p aka Jerom (?), 20:40, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не вижу проблемы, события входа и выхода никто не отменял, и все действия связан... текст свёрнут, показать
     
  • 7.258, пох. (?), 10:24, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А бекап (файловый, от рута) при такой схеме конечно не сделаешь

    сделаешь если заставить юзера разблокировать до начала бэкапа.

    Ну или грамотно настроить несколько одновременных э... протекторов или как там этот бред они назвали( и надеяться что и в btrfs это работает а не как всегда)
    Но это не для опеннетовских экспертов конечно - те и х.. сломают и руки порежут.

    Возможно так же будет работать обычный btrfs send, но это неточно - оно так работает у zfs, не могли ж они назло уши-то не отоморозить себе?

     
     
  • 8.259, пох. (?), 10:33, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а, ну и до кучи надо проверять как в btrfs решена проблема хранения всех этих кл... текст свёрнут, показать
     
  • 7.262, sena (ok), 14:20, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если зашифровано только содержимое файлов, а всё остальное - имена файлов, их ат... большой текст свёрнут, показать
     
     
  • 8.266, Sw00p aka Jerom (?), 18:04, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Раз шифрование уровня разделов, то и бекап должен быть на уровне разделов, иначе... текст свёрнут, показать
     
     
  • 9.269, sena (ok), 21:51, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там непонятно сказано, говорится о шифровании домашнего каталога, который будет ... текст свёрнут, показать
     
     
  • 10.282, Аноним (271), 23:53, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо, речь про домашний каталог в контексте темы чего-то типа Ecryptfs и анало... текст свёрнут, показать
     
     
  • 11.286, sena (ok), 04:39, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, похоже это оно Видел что в Убунте есть, но не пробовал Почитал сейчас немн... текст свёрнут, показать
     

     ....большая нить свёрнута, показать (18)

  • 1.224, Пупсик (?), 13:11, 05/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Бесполезные, может даже вредные потуги, готовящие пользователей к тому что железо будет кривое косое как в телефонах, а доступ к файловой системе будет как в ios/android.

    Решается две проблемы:
    Обрезание избыточных мощностей и навязывание нового железа.

    В идеале они хотят впаривать что-то похожее на игровые приставки, как по апгреиду так и подходом к софту.

     
  • 1.237, Аноним (237), 22:50, 05/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Холоп должен быть в стойле))))

    Любая железка в компе не подконтрольная пользователю-это харам.


    Интересно, если  к ремонтникам отнести ноут с тпм, то смогут вынять без проблем?

     
     
  • 2.245, Sw00p aka Jerom (?), 09:42, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Любая железка в компе не подконтрольная пользователю-это харам.

    Увы и ах, и не было бы столько смертей от землетрясений, если бы каждый кирпичик дома, был бы под контролем жильцов

    пс: а кто виноват, что из гомна и палок можно сделать все, а юзер схавает?

     
     
  • 3.248, user (??), 12:45, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нет оснований доверять TPM.
     
     
  • 4.252, Sw00p aka Jerom (?), 23:20, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нет оснований доверять TPM.

    согласен, как и нет оснований доверять вашему утверждению, ибо надо проверить. С кого начнём?


     
     
  • 5.253, Аноним (136), 23:47, 06/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Q.E.D.
     
     
  • 6.254, Sw00p aka Jerom (?), 00:02, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Q.E.D.

    препринт на архиворг забыли выложить?

     
  • 5.285, Аноним (63), 02:12, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Главная причина на сегодня. Это не доверие к TPM, а его поддержка. Так у меня лишь через четыре года после выпуска материнской платы от ASUS появилась полноценная его поддержка в ядре. Хотя /dev/tpmX был виден в системе через три года, но его было невозможно задействовать. Около года была ошибка на ошибке.

    Завтра кушишь свежее железо, не годовалой, а то и двухгодовалый давности и жди его поддержку в ядре, месе и т.д. еще пару лет)

     
     
  • 6.288, пох. (?), 08:21, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    это линукс, чувак. Тут всегда было так.

    rhbm не собирается вкладывать деньги в разработку драйверов. Не для того брали чтоб бесплатно на тебя работать.

    И тем более оно неинтересно асусу. И еще менее интересно китайской лавчонке тот tpm выпускающей. (впрочем им обоим еще и некогда гоняться за stable nonsense в котором апи каждый день новые)


     
     
  • 7.295, Аноним (295), 14:13, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот по этому я спустя почти двадцать лет отказался от Linux как в качестве основы, так и в качестве второй оси. Стал стар для бесконечного "нашел баг,написал отчёт,увидел notabug". Теперь для дома только Windows, а Linux вижу где-то в датацентре и то через ssh.
     
     
  • 8.301, Sw00p aka Jerom (?), 20:47, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    20 лет процветания гнома пропустили ... текст свёрнут, показать
     
  • 8.306, пох. (?), 21:18, 09/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    да ты, как я погляжу, упоооорный Я все понял еще двадцать лет назад бывает кру... большой текст свёрнут, показать
     

  • 1.268, пох. (?), 21:39, 07/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    смишное выяснил тут (полезши разбираться, с горя, что ж там нах..вертели в вечнонедоделанной btrfs)

    оказываетсо, кто бы мог подумать да и было ли чем, одной из величайших проблем совр...простите, федориного горя с тотальным шифрованием хомяков паролем от хомяка - является...тадам - невозможнрсть нормально зайти на такую систему ssh с ключом.

    Ну вы сами легко догадаетесь, почему.

    С нетерпением ждем как именно через задницу федористы будут эту проблему побеждать.

     
     
  • 2.283, Аноним (271), 23:56, 07/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С Ecryptfs это решалось за 30 секунд. Существованием plain ~/.ssh/authorozed_keys на месте куда при входе юзера будет примонтирована зашифрованная папка.

    И тут чего-либо такое же.

     
     
  • 3.284, пох. (?), 00:17, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    юзер - добавляет новый ключ... удивляется результату... охреневает еще сильнее пытаясь понять, а как, собственно, добавить-то теперь?

    Еще интересней если это btrfs subvol как задумано разработчикам от рхбм, ибо вряд ли они догадаются создать его не ровно по этому же очевидному пути.

    Ну и это цветочек. В конце-концов можно извращаться и хранить ключи не в хомяке юзера. Ягодка - при входе юзера хрен что будет примонтировано. Догадайся, почему.

    Правильно - он же ж никакого своего пароля не вводил, расшифровать нечем.
    (Там есть гениальный костыль от разработчиков, не буду озвучивать)

    И вот так у вас - за что ни возьмись.

     

  • 1.289, Baz_Megodriver (?), 10:47, 08/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А вот вылез с коментами сотрудник техподдержки ....

    Даже мелкомягкие удалили систему шифрования из их дистра - забытые креды наше всё.
    К тому же - если диск побился / операционку перекосило - как вытягивать данные ? Учитывая, что массовый юзер лупит по нексту не задумываясь и не вчитываясь ...  

     
     
  • 2.302, Аноним (302), 22:18, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Куда, куда они убрали Битлохер?
     
  • 2.307, пох. (?), 21:21, 09/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > К тому же - если диск побился / операционку перекосило - как
    > вытягивать данные ?

    делай раз - поднимаешь руку вверх. Делай два, резко опускаешь произнося - "да и хрен с ними!"


    на самом деле это здорово разгрузило бы техподдержку от вредной и ненужной деятельности. Возможно именно в этом и заключается истиная задумка федорина горя, хотя некто Хэнлон вон из уголочка бритовкой помахивает...

     

  • 1.293, Аноним (293), 12:57, 08/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Шифрование это хорошо, но по умолчанию не нужно. Btrfs неплохо, но часто ломается. Шифрование в btrfs, настроенное по умолчанию, звучит очень опасно
     
     
  • 2.294, аНОНИМ (?), 13:16, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так про бтрфс говорят или те, кто ни разу ею не пользовались, или те, кто попользовались 10 лет назад, напоролись на баги и затаили обиду.

    У бтрфс есть проблемы, но точно не со стабильностью. Юзаю сабж на куче лаптопов и десктопов в качестве рута, а на некоторых даже и в качестве торрентопомойки. Полёт нормальный.

    Есть мнение, что порча в бтрфс происходит только тогда и у тех, когда/у кого железо врёт о завершении синхронных записей. Но в таком случае любая ФС, имеющая понятие о журналировании, тоже может подвести.

     
     
  • 3.299, Аноним (293), 20:26, 08/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть мнение, что порча в бтрфс происходит только тогда и у тех, когда/у кого железо врёт о завершении синхронных записей. Но в таком случае любая ФС, имеющая понятие о журналировании, тоже может подвести.

    У меня было несколько случаев, скорее в эту картину не вписывающихся: развалы были и при паниках, после которых у диска был вагон времени всего дописать, и на настолько старых hdd, что врать они будут крайне вряд ли.

    Поэтому я предпочитаю не держать там, где потеря раздела в моменте мне будет стоить слишком дорого, скажем, под корнем и хомяком на ноуте

     

  • 1.298, Аноним (297), 17:27, 08/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отлично. За шифрованием скоро последуют dm-verity и dm-integrity.
     
  • 1.304, Пенгуин (?), 14:22, 09/04/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему люди обсуждают это тут в опеннете, а не в самом обсуждении вместе с разработчиками Fedora?
     
     
  • 2.308, пох. (?), 21:22, 09/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему люди обсуждают это тут в опеннете, а не в самом обсуждении
    > вместе с разработчиками Fedora?

    а зачем что-то обсуждать с дол...еми? Мы обсуждаем тут между собой в основном - как нас с последствиями их бурной деятельности жить и чем оно еще может быть чревато.


    опенсорсе нынче такое вот...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру