отдельно pf NAT в случае использовании несколько аплинков как в случае арендованных у аплинков IP, так и в случае своей автономки

маршрутизация еще возможно не поднимается

Добрый вечер. Скажите пожалуйста, есть ли возможность во фре 11 сделать аналог initramfs линуксовского? Нужно собрать veracrypt бинарь статический и засунуть его до подмонтирования / чтобы корень был полностью шифрованным. ключ брал с флешки, а контейнер veracrypt с жесткого диска, как файл /dev/loop0

А зачем так сложно?

а какие варианты зашифровать корень именно из контейнера и именно веракриптом?

так очень удобно бекапить и портировать с машины на машину

а зачем корень шифровать?

Это не linux

чтобы бинарники не подменили

Во фре все конфиги в /usr/local

хотя я смотрел в сторону чексама всех бинарников, но там тоже можно намудрить

Не подменили для чего? Рут монтируется в ro

Задачу можно поточнее?

ну его же можно загрузить с live_cd и смонтировать в rw

Задача "шифровать корень, отедльно хоум раздел. средствами veracrypt. держать корень шифрованный в одном файле, также как и home. Для удобства бекапа и безопасности"

у меня в генте так сейчас работает

При перезагрузке ключи где берутся?

с usb в виде файлов или yubi-key

кстати, хороший вариант с шифрованием корня от модификации.

осталось ещё secure boot врубить и влить свои ключи

Чем хороший?

Чем хороший?

ну вот хочу я систему устойчивую к внешним вмешательствам.

Всё что откуда-то берет ключи автоматом без участия человека - бесполезно

без вставления юсб или yubi-key у меня система просто не загрузится

Всё что откуда-то берет ключи автоматом без участия человека - бесполезно

да ну? тот же tpm

Ну тут речь про tpm не идет

осталось ещё secure boot врубить и влить свои ключи

тогда уже юзать ноут pursim и coreboot

Ну тут речь про tpm не идет

замени на любую смарткарту

тогда уже юзать ноут pursim и coreboot

зачем?

чтобы uefi в ноуте не отклонил ваш usb носитель с ключами для декрипта корня

чтобы uefi в ноуте не отклонил ваш usb носитель с ключами для декрипта корня

почему он отклонить должен?

Ну тут речь про tpm не идет

yubi-key хорошая альтернатива смарт-картам

почему он отклонить должен?

ну допустим модель атаки "злая горничная". а) сначала увидят что для загрузки нужны ключи б) потом модифицируют uefi от известных производителей допустим что могут быть закладки. и все usb-носители будут склонированы.

Не факт что veracrypt отработает

ну вот хочу я систему устойчивую к внешним вмешательствам.

откройте для себя секьюрите левелы и прочие BSM или как их там

ну так как, есть варианты создать какой-то ramdisk который будет с набором своих бинарников, дешифровать veracryptом корень, подмонтировать его, а потом переключить загрузку уже дальше из него?

а так корень вполне шифруется штатными средствами, правда сейчас в каренте немного из-за EFI ломают, но оно поправимо

Тут единственный вариант, когда бут с usb совмещенного с ключами. Бутнулось ведро, прошел анализ конфига машины, сравнили метки дисков. После этого поднялись ключи из закрытой области, в памяти расшифровался root и него прыгнули после расшифровки

т.е. ядро грузить с юсб, вместе с ключами?

должен быть загрузчик, который сможет понять текущий конфиг и считать ключи. например собрав deviceid и собрав из них ключ дешифровки

В любом другом случае это будет бесполезно imho

а шифровать корень средствами veracrypt почему вы считаете что может не отработать?

Либо трудозатратно с точки зрения реализации

Кто загрузит веру ? И откуда?

Вера если не имеет своего загрузчика - просто набор байтов

сорри, но я не очень понимаю этапы загрузки во фре. поэтому сложно сопоставить с линуксом.

а зачем тогда вам фря

смотрите как делаю на генте. ядро грузит initrams. там собран бизибокс статиком, в нем слинкованные нужные комманды через симлинки на бинарь бизибокса. также веракрипт статиком. веракрипт реквести ключи с внешнего USB находя и монтируя его по UUID. далее происходит монтирование рута в /newroot, а затем switch_root /newroot и пошла загрузка init уже из корня

блин, я ток 10 занес им, больше пока нет(

а зачем тогда вам фря

на всех серверах фря стоит. на рабочих компах тоже хочу на нее перейти. в 11ой норм появились фишки

пожалей работающих за компом

и? Кто мешает бутнуть систему по pxe, грузануть веру и взяв ключи расшифровать корень

а как взять ключи, если флешки рядом с ноутом нет?

она всегда со мной. загрузился, вытащил и убрал

ребутнул, будет pxe , но ключей не будет

пожалей работающих за компом

на рабочих работаю только я

И?

Берем geli шифруем раздел ключами

Ключи на usb

а gali в заголовках пишет тип шифрования и хеш-функции?

geli*

Нет

Там блочное шифрование

а для энтропии можно указывать внешний /dev/random?

блочный AES?

man geli

ERROR: S client not available

https://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/disks-encrypting.html

спс

сорри, но я не очень понимаю этапы загрузки во фре. поэтому сложно сопоставить с линуксом.

ну вот сначала может стоит подучить, а потом городить херню? тем паче в безопасности, которая вообще процесс.

Да и вообще что бы во фре не использовать системные механизмы, стоит подобрать факты покрепче чем, ой а я не знаю или видел в линуксе

дада, я знал что могут затыкать насмерть ) дело в том что во фре я не нуб, просто всегда приходилось работать с фаерволом и жейлами. во тпрям сидеть и ковырять от ядра на низком уровне не приходилось. в линуксе - да. во бсд нет. поэтому это не повод обвинять меня в дилетанстве по безопасности. погуглил чуток, гугл не помог. пришел в любимое коммьюнити )

Короче geli на рут и спи спокойно

а по geli делали ресерч кода? есть какие-то публикации на эту тему?

эээээ.

А на веракрипт делали?

Оно вообщет закрытое

да, делали. есть как приватные ресерчи, так же и опубликованные

Трукрипт только открытый был до 7.0a

даже bull ag делали на веракрипт

веракрипт тоже в сырцах

С учётом того что BSD в основном академическая система, тут сложно найти, то по чему ресёрч не делан

https://github.com/veracrypt/VeraCrypt

на этом ноуте хранятся ключи от запуска ядерных ракет?

Паранойя это хорошо, но предел должен быть.

это не параноя. регламент

госструктура?

аутсорс по иб

О боже

в плане это не для клиента )

регламент, на котором можно городить самостоятельную херню, не смешите мои тапочки

+1 :)

Каждый ...чит как он хочет?

весь мир не состоит из ГОСТов, поверьте )

ох уж ентот мир хипстеров

если вам удобно кодить в виме, вас нужно заставлять переезжать на эклипс?

Мне неудобно :) joe наше всё

Спать пора, уснул бычок :) всем снофф

бб