From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mike@altlinux.org>
Date: Tue, 31 May 2016 14:05:31 +0300
From: Michael Shigorin <mike@altlinux.org>
To: sysadmins@lists.altlinux.org
Message-ID: <20160531110531.GT17728@imap.altlinux.org>
Mail-Followup-To: sysadmins@lists.altlinux.org
References: <CAD5JXrnWeOU0R5Sb-Zn2v1gnfS6+J_ynm1F1BPotek_tPMhdFw@mail.gmail.com>
 <20160530112834.GH17728@imap.altlinux.org>
 <CAD5JXrkNSoqBFDSj4WgjkYYqB7r+kb3AnpZHW7xgkYyszMMheA@mail.gmail.com>
 <20160530143939.GJ17728@imap.altlinux.org>
 <CAD5JXrk6mUbBQ=o=4DvGB-L67ti9TwBsRJeYk3dZvd+y839=Zg@mail.gmail.com>
 <20160530165005.GL17728@imap.altlinux.org>
 <CAD5JXrkqmJ1Y_3ytxGK_b6YQtZz1o6LNz9_PUs0HK4W61TKvvQ@mail.gmail.com>
 <20160531081954.GR17728@imap.altlinux.org>
 <CAD5JXrkVdUmvLLHNAzyWXysTsCwrG8aAmv6LSQiL3tvWwqHzcw@mail.gmail.com>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <CAD5JXrkVdUmvLLHNAzyWXysTsCwrG8aAmv6LSQiL3tvWwqHzcw@mail.gmail.com>
User-Agent: Mutt/1.5.23.88.hg577987ca2d02 (2014-03-12)
Subject: Re: [Sysadmins]
 =?koi8-r?b?28nG0s/Xwc7JxSDLz9LOxdfPx88g0sHaxMXMwQ==?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmins' discussion <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
 <mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
 <mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 31 May 2016 11:05:31 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/20160531110531.GT17728@imap.altlinux.org/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

On Tue, May 31, 2016 at 01:22:08PM +0300, Serge R wrote:
> >>Не шифрованный /boot как то может влиять на взлом шифрованных разделов?
> >Теоретически это тоже стартовая площадка, практически же такую
> >работу я бы пытался начинать скорее со своего загрузочного
> >носителя.
> Планируется ли реализация в дистрибутиве шифрованного /boot?

Мной пока не планируется за отсутствием видимого смысла --
если кто-либо заинтересован сделать, видимо, начинать надо
будет с выяснения текущей ситуации поддержки в grub2.

> Появилось еще пара вопросов по шифрованию:
> 1) При шифровании с aes-xts-plain64 нет поддержки этого
> алгоритма при загрузки системы.  Как добавить этот модуль
> в initrd? (работает только с aes cbc-essiv:sha256)

Например, указать в MODULES_ADD в /etc/initrd.mk

> 2) Можно ли реализовать ввод пароля только на корневом разделе,
> а остальные разделы расшифровываются по ключу?

Это надо смотреть документацию cryptsetup и, возможно,
https://bugzilla.altlinux.org/show_bug.cgi?id=28255#c41
-- сам не сталкивался.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info