Установка Libreboot , полнодисковое шифрование Luks2+argon2id включая раздел boot

sudo cast SakuraKun

Зранее отвечаю

Более интересно, что за трэш со знаками препинания.

grub не поддерживает шифрование раздела boot

Давно уже поддерживает. Криокамера протекла?)

Давно уже поддерживает

Разве оно поддерживает Argon2?

Но вообще шифровать /boot смысла нет.

Лия Роу ведущий разработчки Libreboot , а так же профессионалы в области защиты данных и шифрования не согласна с тобой и теми кто так считает https://libreboot.org/news/argon2.html

Вы не внимательно прочли заголовок , давно Luks2+argon2id раздел boot ? Ваш grub на вашем PC с которого вы сейчас пишите не зашифрует раздел boot той схемой о которой я написал

https://mdleom.com/blog/2022/11/27/grub-luks2-argon2/

Два года скоро как.

because it’s harder to compromise a machine that has encrypted /boot (containing the linux kernel) than if it were unencrypted like on most LUKS setups

Передай им там от меня клоуна: 🤡 Специалисты по безопасности, блин.

Ссылку которую вы дали , там вот такая схема ))

Partition Filesystem Mount Encrypted /dev/nvme0n1p1 FAT32 /boot/efi No /dev/nvme0n1p2 Btrfs / LUKS1

Я писал вооообще о другом , во-первых про Libreboot ,а не про проприетарный UEFI или BIOS да еще Manjaro.

Если не хватает мозгов понять, что это всего лишь сетап для UEFI/GPT, а не BIOS/MBR (которую так же можно использовать в случае неободимост), то конечно, за такие сложные материи лучше не браться.

А зачем бут то шифровать, его можно просто подписать…

Вот это вот. А то обколются своими libreboot’ами и начинают путать аутентификацию с конфиденциальностью.

Поясняю , потому что вижу что мозги не включаются у котов. Видимо эмоции и пенка под губами блокируют сознание.

Ваша ссылка это полный отстой и не по теме моего вопроса от слова совсем ! Идем и еще раз читаем название заголовка !

Какой лять сетап ? Какой лять /boot/efi ? Причем здесь это ?

я Grub даже не устанавливаю в ситсему.

я Grub даже не устанавливаю в ситсему.

Меньше пафоса, господин дилетант. Grub есть grub, собери да зашей.

дилетант это ты, раз пишешь такую чушь не вникая в суть вопроса. Подумай, потом напиши , эмоции оставь при себе. Я тебе два раза написал что ты не прав ,ты все равно продолжаешь писать не по теме вопроса!

Есть тема вопроса ,зачем мне ссылки про пропиетарный UEFI и BIOS ? Про тему которая не имеет отношения к теме вопроса.

Повторю тебе еще раз , касательно grub. Ничего ты не соберешь. Очередная чушь! Поддержка Fat32 была удалена в Libreboot , GRUB в ПЗУ (ROM)

Советчик со своими ссылками не в тему …

Повторю тебе еще раз , касательно grub. Ничего ты не соберешь. Очередная чушь! Поддержка Fat32 была удалена в Libreboot , GRUB в ПЗУ (ROM)

То есть ты не в курсе, что Libreboot можно собирать из исходников, как и Grub для него, и собирать это всё в образ прошивки? Мда, клиника. А апломба-то сколько…

Соотношение пробелов и запятых в этом очень «грамотном» (нет) посте: https://cs11.pikabu.ru/post_img/big/2020/02/17/6/1581927904178628729.jpg

🔥 Спасибо, сохранил.

это ты так решил сейчас оправдать свои предыдущие сообщения не в тему ?

Да, можно. А для чего Libreboot проект ? Есть готовые релизы , скачал -установил , если нужно внедрил блоб-обьекты ( к сожалению) для определнных моделей PC . Если бы тема была про сборку из исходников , я бы согласился , но тема совершенно другая .

Не вижу смысла мерится х…. Если я тебя чем-то обидел , извини !

Есть готовые релизы , скачал -установил

Так я тебе сразу и написал - не для средних умов то, что ты хочешь. «Скачал - установил» - это тебе на винфак.

Привет. Согласен , да это не тревиальная процедура.

вот здесь есть инструкция по полнодисковому для coreboot+SeaBIOS - https://wiki.artixlinux.org/Main/InstallationWithFullDiskEncryption . Если собираешь coreboot под безблобовый комп, то он будет как libreboot, так что инструкция справедлива и для твоего случая

SakuraKun Приветсвую. Спасибо , видел данную инструкцию ( полезная и интересная и качественная) Есть моменты )) Я бы однозначно заменил это serpent-xts-plain64 на aes-xts-plain64 , далее cryptsetup –verbose –type luks1 на –type luks2 . Это SWAP то же лишнее.. И это -sudo , есть opendoas и конечно Artix Linux: Full Disk Encryption with UEFI Зачем нам проприетарный UEFI и BIOS ))

И скажу мне ближе Parabola c linux-libre-headers )) дистро со свободным ядром по умолчанию в отличии от Trisquel с SysytemD и очищенным ядром Ubuntu . Luk Смит (luke Smith) тоже любит Artix https://larbs.xyz/ и она/он кстати минималистична что есть хорошо на мой взгляд.

Буду изучать , смотреть ,спасибо за совет !

Здравствуй, sergeevich ! Благодарю за тёплые слова, но позвольте с вами не согласиться по некоторым вопросам ;-)

Я бы однозначно заменил это

Почему же? Rijndael в своё время победил в конкурсе и стал AES'ом просто потому что он оказался быстрее. А если важна именно криптостойкость, то AES - далеко не лучший вариант, может его как раз-таки и утвердили NSA в качестве стандарта потому что в нём математический бэкдор засел (погугли обсуждения про «nsa aes backdoor»)

luks1 на luks2

Ага, чтобы быть подверженным всяким уязвимостям вроде этой - https://www.opennet.ru/opennews/art.shtml?num=56513 . LUKS2 ещё «не устаканился» и - в отличие от LUKS1 - LUKS2 недостаточно хорошо поддерживается GRUB'ом и сторонним ПО вообще, так что для серьёзного использования он ещё не готов

SWAP тоже лишнее

Так этот SWAP тоже зашиферован) + всяко лучше свалиться в свап, чем если какая-то жирнопрога вылетит из-за недостатка памяти

sudo , есть opendoas

Согласен - doas лучше чем sudo, жаль что про doas не все знают... Правда, в случае этой инструкции - неважно что используется - но популяризировать doas разумеется стоит

«Artix Linux: Full Disk Encryption with UEFI»

Там эта отсылка просто как «Based on», а вся инструкция была переписана для coreboot+SeaBIOS

Parabola c linux-libre-headers )) дистро со свободным ядром по умолчанию

В зависимости от железа на котором ты сидишь, FSF'шный дистрибутив - и ядро linux-libre - по своему поведению могут быть абсолютно идентичны не-FSF'шным вариантам, ведь Linux не будет просто так использовать блобы. Это как если использовать коребут на железе поддерживающемся либребутом, или юзать OpenWRT на роутере поддерживающемся LibreCMC... А так, тебя наверняка может заинтересовать тема Artix Linux-libre, the ultimate distro и особенно ядро linux-libre-hardened

SakuraKun Приветсвую.

Касательно шифрования , позвольте с вами дружески поспорить)

Как нам сообщают полезные источники ( ссылк ниже) с названием «Weak cryptographic parameters in LUKS1»

https://tails.net/security/argon2id/index.en.html https://dys2p.com/en/2023-05-luks-security.html https://libreboot.org/news/argon2.html https://github.com/p-h-c/phc-winner-argon2

Поэтому однозначно Luks2+argon2id ! Для кучи пароль для Grub ))

Касательно SWAP без него все работает великолепно на свободном железе и со свободными программами ,никогда не испытывал проблем )) Напишите если у вас что-то происходило , будет интересно почитать.

Я читал эту тему https://forum.artixlinux.org/index.php/topic,3997.0.html и вообще их форум полезный .Да, можно ДОустановить свободное ядро (Linux-libre) ,а у Parabola это по умолчанию ))

The Security-Hardened Linux-libre kernel and modules => https://www.parabola.nu/packages/libre/x86_64/linux-libre-hardened/

# pacstrap /mnt linux-libre-hardened (и все дела))

Разумеется, LUKS2 на бумаге может быть лучше чем LUKS1 (иначе зачем бы придумывали эту новую версию), вопрос в том перевешивают ли сейчас достоинства LUKS2 его недостатки ;-) По крайней мере года три назад, многие схемы настройки этого всего - работали только с LUKS1, но может быть эти проблемы совместимости уже были решены и тогда вы правы

Касательно SWAP без него все работает великолепно на свободном железе и со свободными программами ,никогда не испытывал проблем ))

Проблемы возникнут если вы назапускаете много всего так что ваша оперативка станет заканчиваться: если есть SWAP, то в дополнение к оперативке начнёт юзаться жёсткий диск и будут просто тормоза, а если SWAP'а нету - то программы начнут «сваливаться» с ошибками что может привести к потере данных

Касательно LUKS2 и практики! Работает все очень хорошо ! Проверял лично , установка Libreboot ,далее шифрование как указано здесь https://wiki.parabola.nu/Installing_Parabola_on_Libreboot_with_full_disk_encryption_(including_/boot)#Modify_grub.cfg_inside_the_ROM,только заменяем Luks1 на Luks2, выглядит это так:

https://files.catbox.moe/x0yr7b.png

Касательно SWAP, нужно постараться загрузить например 16G оперативки )) Если легкие среды , не такие как Gnome и KDE )) И браузеры есть хорошие ))