From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,DKIM_SIGNED, DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM autolearn=ham autolearn_force=no version=3.4.1 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025; h=subject:to:references:from:message-id:date:user-agent:mime-version :in-reply-to:content-transfer-encoding:content-language; bh=pLcpH+Va1XSbHp9kPWEUagHVM14Jo+CQzhEkpKdBlbY=; b=mJC22OZVB3R6055bs5gN85Zp33TRfWAQf4A2TED+cu+UCWk38rK6GFzr6FzYYMvu4E GNEkD0V3tWMvvG1s3wZcaRGJgiRgNbTpyCsTjWSPhVp6tve/khfSL4VstWUuhWBINC5c xyB6jIm1IIKwZHe3jT3jVy+qHwQukABTGK3FDuRAgfoI5UjdRuFlfJgYP/SkhYfaDPaW +Mn2WE+dB//olEtdDz+G6rRhdFkZP71odbCjd1XUNOGSdIL9I51iYegEDYlc1CyQwokq UtrB1s+hJobxlwymPk6CtXUC3xSCKrK7RuWJFRDs1K8M237OU/NNY/+yidukmH/KhNcD znMg== X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20161025; h=x-gm-message-state:subject:to:references:from:message-id:date :user-agent:mime-version:in-reply-to:content-transfer-encoding :content-language; bh=pLcpH+Va1XSbHp9kPWEUagHVM14Jo+CQzhEkpKdBlbY=; b=Nnvy9UTcgKQx9RRWrYsHkNzQpZYMSra725PEcwuql62BNmH56VBVaXoYGAOKlcTITJ P6OMXxrA/xwb1ysO6IIlkVstfWR/yuRCXK+LDzalz9xo8fropI463wGFEk19RX/+3eP6 xjUB/SeSA68QgeKgHFXMexUY/B4z9r4E5fQ8Ze66XW0YMH3t7mJJKkoVeqDBgKbUJT6D FSNCDAVTwDATQZgYc5joct7JwXJn+Zx5opNwqITxORhlp0i3QdbjRwn+NqoizbPZtAjv VIHKlrQ6jpc4qS9MbR9wRs184h51jCBRDie1T8g02wZSJcSOuMwhNg6m9alOmnqTgzxA cLiw== X-Gm-Message-State: AOAM530nIdWAiOVUjaJp03owYMFlW5MWwEWno1l7gPIYNQPbbmXuLmIR zamC6TiAPjCLclqB4MHhk7+ZEY+qpkI= X-Google-Smtp-Source: ABdhPJxgnFJOQ/kkmDHqgmvFl9J2J3R1PO+ZPxuhX7x1v7hnhF/OSu4WiX6M0795SKISN/19GSDUFg== X-Received: by 2002:a19:2402:: with SMTP id k2mr8576146lfk.138.1616758079481; Fri, 26 Mar 2021 04:27:59 -0700 (PDT) To: devel@lists.altlinux.org References: <20210204163437.52dzrpmksaubrjho@example.org> <20210205105540.2lqnbywcbq7ddjyr@example.org> <20210317224349.GA20674@altlinux.org> <9291ce06-b0ec-88eb-1ef0-bbc3132311da@basealt.ru> <19dedb36-3d6d-c4ac-db49-40fda288ece8@basealt.ru> From: Leonid Krivoshein Message-ID: <6182bcb2-117e-3adc-9830-32167272fffe@gmail.com> Date: Fri, 26 Mar 2021 14:27:58 +0300 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Thunderbird/60.8.0 MIME-Version: 1.0 In-Reply-To: <19dedb36-3d6d-c4ac-db49-40fda288ece8@basealt.ru> Content-Type: text/plain; charset=koi8-r; format=flowed Content-Transfer-Encoding: 8bit Content-Language: ru Subject: Re: [devel] =?utf-8?b?ZHJhY3V0IChSZTog0KDQsNC30LTQtdC70LXQvdC40LUg?= =?utf-8?b?0LzQuNGA0L7QsiBzeXN0ZW1kINC4IHN5c3Yp?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 26 Mar 2021 11:28:04 -0000 Archived-At: List-Archive: List-Post: 26.03.2021 12:19, Anton Farygin пишет: > On 25.03.2021 22:36, Alexey Sheplyakov wrote: >> Добрый вечер! >> >> On 18.03.2021 02:43, Dmitry V. Levin wrote: >>> On Wed, Mar 17, 2021 at 11:00:08PM +0300, Alexey Shabalin wrote: >>> [...] >>>> 2) предлагаю под systemd перейти на dracut вместо make-initrd. >>> А зачем? >> Монтирование зашифрованной rootfs с использованием ключей из TPM 2.0, >> например. >> Чтобы можно было зашифровать весь диск с rootfs, и при этом >> (пере)загрузка ОС >> происходила без участия человека (и/или доступности ключей на съемных >> носителях). >> > Так это надо сделать, фича классная, но пока была никому не нужна. > Коллеги из Актива почти сами, но немного с нашей помощью реализовали загрузку с шифрованного корня на токене, используя новую фичу pipeline из make-initrd: https://github.com/lo1ol/make-initrd-flash-unlock/tree/master/flash-unlock , но с тем же успехом можно использовать LUKS1, LUKS2 (который понимает токены) и pipeline из make-initrd для загрузки с шифрованного корня. Кстати, Антон, а ты не знаешь ничего про патчи grub для загрузки с LUKS2? LUKS1 он и сейчас умеет. -- Best regards, Leonid Krivoshein.