kubuntu 7.10 on IBM Thinkpad T23

Mon Jan 28 10:36:44 EET 2008

Alexandros Papadopoulos wrote:
> Μετά από ΑΚΟΜΑ ένα δίσκο τηγανισμένο (μα καλά *ένας* τους δε θα βγάλει
> την εγγύηση;) είπα αντί του παραδοσιακού full restore να κάνω
>   

Μα τί τους κάνεις; Σπάνια έχω χρησιμοποιήσει την εγγύηση για να αλλάξω 
δίσκο. Έχω μάλιστα έναν Maxtor 15 GB νομίζω που παίζει ακόμα σε 
all-day-on μηχάνημα (χμμμ, ίσως γι'άυτό) εδώ και 9 χρόνια...

> Ξεκινάμε με kubuntu 7.10 alternate cd [0]. Απαραίτητο εφόσον θέλω
> encrypted filesystems από τα γενοφάσκια (installer). Ο text installer
> (γνωστός από το Debian) δεν έχει κανένα απολύτως πρόβλημα και
> διορθώνει τις απροσεξίες μου. Φτιάχνω τα partitions, κάνει την
> εγκατάσταση, συνδέεται στο Internet κτλ και σύντομα έχω ένα φρέσκο
> kubuntu 7.10!
>   

Πάντως γίνεται και μετάβαση υπάρχοντος συστήματος σε full encrypted και 
έχω γράψει ένα σχετικό how-to. Mόλις δημοσιευτεί στο 
debian-administration θα το postάρω.

> Με το πρώτο boot διαπιστώνω πως τα encrypted filesystems θέλουν
> ξεκλείδωμα ΕΝΑ-ΕΝΑ κατά το boot και δεν υπάρχει κάποιος προφανής
> τρόπος να έχεις ένα "master passphrase" για όλα. Οπότε ξαναστήνω το
> λειτουργικό, αυτή τη φορά με partition layout πιο μινιμαλιστικό (μόνο
> / και swap) και έτσι έχω να πληκτρολογήσω το passphrase μόνο δύο φορές
> σε κάθε boot. Ευτυχώς που υπάρχει το sleep...
>   

Νομίζω η ενδεδειγμένη λύση για αυτό είναι να έχεις το passphrase σε ένα 
αρχείο στο root filesystem σου που είναι το πρώτο που ξεκλειδώνει όταν 
δίνεις την passphrase την πρώτη φορά κατά το boot. Μετά ρυθμίζεις κάπου 
κάτι (αν ψάξεις στο google θα το βρεις εύκολα) και το cryptsetup 
διαβάζει το passphrase από εκείνο το αρχείο αντί από το πληκτρολόγιο. 
Έτσι δίνεις πάντα την passphrase μόνο μια φορά - με το αντίτιμο ότι αυτή 
βρίσκεται σε ένα αρχείο στο filesystem σου (αν η NSA τρυπώσει στο 
σύστημά σου θα την διαβάσει, και όταν θα πας στο μπάνιο έχοντας σβύσει 
το laptop - για ασφάλεια - θα κάνει clone το δίσκο σου και θα φύγει). 
Δεν ξέρω αν βέβαια την ώρα που λειτουργεί το σύστημα αυτή τριγυρνάει 
κάπου στη RAM ώς έχει, ή απλώς τριγυρνάει κάποιο non-reversible hash της.

> Αλλά μετά από λίγο παρατήρησα ότι υπήρχε μια μικρή αλλά λίαν σπαστική
> καθυστέρηση κάθε φορά που άλλαζα. Ίσως το 1GHz δε φτάνει για να
> αλλάζει γρήγορα η σημαιούλα, τι να πω. Όπως και να'χει χρησιμοποίησα
> για ακόμα μια φορά τις οδηγίες του djart[1] και θυσίασα τη σημαιούλα
> του KDE για να έχω άμεσο layout switching απευθείας μέσω Χ. Eπίσης
> έτσι έχω και το σύμβολο του ευρώ (€) ενώ με το άλλο κόλπο του KDE δεν
> έπαιζε.
>
>   

Να πάρει. Και εγώ την ίδια μικρή σπαστική καθυστέρηση παρατηρώ, την 
οποία πλέον την έχω συνηθίσει, διότι ήθελα πολύ το feature του KDE για 
το per-window language keyboard... (τί lamer...)

> DISK ENCRYPTION
> ==================
> Τι να πω, δεν έχω θείο στην NSA να δοκιμάσει κατά πόσο είναι ασφαλές
> το συγκεκριμένο implementation του AES με 256 bits και το συγκεκριμένο
> passphrase μου. Πάντως το (k)ubuntu στο boot ζητάει ευγενικά το
>   

Είναι αρκετά καλό και ασφαλές ώστε όταν η CIA θέλει να αποκρυπτογραφήσει 
πράγματα από laptops υπόπτων, δεν τα δίνει στην NSA αλλά βάζει trojan 
keyloggers στα λειτουργικά...

> Στο μηχάνημά μου επίσης με δυσαρεστεί το ότι έχω ένα ωραίο process που
> λέγεται kcryptd/0  και μου τρώει κατά τη διάρκεια σοβαρού Ι/Ο από 5%
> έως 30% ! Δε το περίμενα τόσο βαρύ πεπόνι.
>   

Σιγά το πράμα! Θυσίασες λίγη ελευθερία της CPU σου και πήρες ασφάλεια σε 
αντάλλαγμα. Εδώ σε όλο τον κόσμο θυσιάζουμε αβέρτα ελευθερία και 
παίρνουμε περισσότερη ανασφάλεια...

> iostat εννοείται πως δε τολμάω καν να τρέξω για να μη πετάξω το laptop
> απ'το παράθυρο.
>   
Γιατί;;; Λογικά δεν θα δεις τίποτα διαφορετικό από ό,τι έβλεπες και πριν 
κάνεις encrypted το σύστημά σου. Χάνω κάτι;

Γ.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 6405 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20080128/281e5994/attachment.bin>