проблема с GELI

[mike345]

Код: Выделить всё

dd if=/dev/random of=/mnt/ad0s2d.key bs=64 count=1
geli init -P -s 4096 -K /mnt/ad0s2d.key -e Blowfish -a hmac/sha512 -l 384 /dev/ad0s2d
geli attach -p -k /mnt/ad0s2d.key /dev/ad0s2d
dd if=/dev/random of=/dev/ad0s2d.eli bs=1m

dd: /dev/ad0s2d.eli: Operation not permitted
1+0 records in
0+0 records out
0 bytes transferred in 0.110338 secs (0 bytes/sec)

На первую консоль сыпятся ошибки:

Код: Выделить всё

GEOM_ELI: Crypto WRITE request failed (error=1) 
GEOM_ELI: ad0s2d.eli 4096 bytes corrupted at offset 4096

Последняя строка повторяется несколько раз с разными значениями цифр...
Дело происходит на варе.
У кого-нибудь такое было? Что делать?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

ставить на реальную машину.
для начала.

[nava.fient]

замер сектора вместо 4096 поменяй на 512

[mike345]

Спасибо получилось.

Но, размер стал в 2 раза меньше, почему-то...
Так и должно быть?

Код: Выделить всё

dd if=/dev/random of=/mnt/ad0s1f.key bs=64 count=1
geli init -P -s 512 -K /mnt/ad0s1f.key -e Blowfish -a hmac/sha512 -l 384 /dev/ad0s1f
geli attach -p -k /mnt/ad0s1f.key /dev/ad0s1f
dd if=/dev/random of=/dev/ad0s1f.eli bs=512

newfs /dev/ad0s1f.eli
#/dev/ad0s1f.eli: 5.0MB (10236 sectors) block size 16384, fragment size 2048
#        using 4 cylinder groups of 1.25MB, 80 blks, 192 inodes.
#super-block backups (for fsck -b #) at:
# 160, 2720, 5280, 7840

mount /dev/ad0s1f.eli /opt

df -h
/dev/ad0s1f.eli    4.6M    3.4M    890K    79%    /opt

Размер партиции 10mb, а стал 5...

[zingel]

должно

[mike345]

Вот новая трабла:
Делаю шифрованный swap по статье http://www.lissyara.su/?id=2155
При загрузке в первую консоль и лог сыпяться сообщения (штук 20):

Код: Выделить всё

label/swapFS.eli 8142 bytes corrupted at offset xxxxxxx

Такие же сообщения но на зашифрованном разделе пропадали после его... ну форматирования чтоли, не знаю как выразиться точнее...
вроде после после newfs...

Как проделать newfs на swap? Или как по другому от этого избавиться?

[mike345]

Народ, кто использует шифрованный swap, посмотрите у вас также или нет?

[Neus]

да нафик он этот swap не нужен

[maxx-com]

хм, а подскажите как примонтировать отдельный раздел шифрованный geli при автозагрузке?

[iZEN]

хм, а подскажите как примонтировать отдельный раздел шифрованный geli при автозагрузке?

В /etc/fstab обычно это делается, приписыванием суффикса ".eli" к зашифрованному разделу. При автомонтировании запросится пароль или потребуется файл с ключом (с флэшки, например).

[mike345]

Вот только думается мне что при отсутствии того, кто может ввести пароль, или вставленной флешки, загрузка остановится.
А если оставлять все время флешку в сервере, то и шифрование не нужно...

Я делаю автомотирование флешки и автоматическое выполнение скрипта монтирования geli-раздела с нее, с последующим размонтированием флешки.
Тем самым сохраняется возможность перезагрузки, и в случае чего, можно руками примонтировать раздел через ssh.

[mike345]

*Автомонтирование при вставке флешки.

[maxx-com]

так и сделал.
но при загрузке системы не монтируется файл .eli
то есть не срабатывает /etc/rc.d/geli
так как при
$ geli attach -p -k /key/my.key /dev/mfid0p4
geli: Cannot lock memory: Operation not permitted.
либо /etc/rc.d/geli start
geli: Cannot lock memory: Operation not permitted.
$ /etc/rc.d/geli start
Configuring Disk Encryption for mfid0p4.
geli: Cannot lock memory: Operation not permitted.
Attach failed; attempt 1 of 3.
geli: Cannot lock memory: Operation not permitted.
Attach failed; attempt 2 of 3.
geli: Cannot lock memory: Operation not permitted.
Attach failed; attempt 3 of 3.
то же самое

то есть запускать нужно от рута.
естественно при загрузке он не запускается.
а так как я в fstab уже прописал .eli то система крашилась при запуске
а руками вводить
$ sudo geli attach -p -k /key/my.key /dev/mfid0p4
либо sudo /etc/rc.d/geli start
и
sudo mount /dev/mfid0p4.eli /dba
как то не по феншую!
хотелось бы чтобы система сама монтировала его при перезапуске
geli настроен по ключу на флешке без пароля

[BirdGovorun]

После загрузки системы, вставляю флэшку с ключом и стартую скрипт:

Код: Выделить всё

#!/bin/sh
/usr/local/etc/rc.d/samba stop
mdconfig -at vnode -f /data/doc
mount -t msdosfs /dev/da0s4 /mnt
geli attach -p -k /mnt/md0.key /dev/md0
mount /dev/md0.eli /usr/samba/doc
/usr/local/etc/rc.d/samba start
umount /mnt

Далее было намерение сделать авто монтирование\размонтирование
т.е. если флэшка есть, то монтировать с geli, если нет, то просто грузить систему
и далее мысль была, если нет ключа не грузить систему уходить в halt,
но лень сделала своё дело
Поискать по инету, есть статьи про geli c автомоунтом флэшки.
В среднем приходиться раз в 7 месяцев ключ подставлять, по разным причинам.
Ключ (флэшка) отдаётся директору, где он храниться неизвестно.

[maxx-com]

а что будет с eli разделом при перезагрузке машины без предварительного geli detach?

[BirdGovorun]

а что будет с eli разделом при перезагрузке машины без предварительного geli detach?

Система сама корректно размонтирует.
На будущее, fsck на .eli не работают, надо fsck_ffs,
бывает такое когда электричество пропадает,
такая тема на форуме была.
Есть скрипт для размонтирования, бывает нужно, если надо выложу.

[maxx-com]

да в инете полно всяких "решений" с кучей нерабочих ссылок на скрипты автозагрузки.
проблема то как раз в том что сам скрипт не отрабатывает
то есть если руками его запустить то всё монтируется. а если его прописать в rc.conf то нет.
видимо та же проблема что и выше где я писал про sudo

[BirdGovorun]

Как-то занимался хернёй, в стартовые скрипты samba, ipfw вставлял свои куски,
всё работало, можно в какой нибудь стартовый скрипт втавить,
тут важен порядок старта скриптов.
Почему у вас не стартует скрипт разбираться надо,
обычно я помещал скрипт в /usr/local/etc/rc.d, делал его исполняемым и всё работало.

[maxx-com]

так вот в этом то и проблема у меня
скрипт вручную отрабатывается на ура

Код: Выделить всё

sudo /etc/rc.d/geli start

но это не правильно так как он и без sudo должен работать
если запускать просто

Код: Выделить всё

$ /etc/rc.d/geli start
Configuring Disk Encryption for mfid0p4.
geli: Cannot lock memory: Operation not permitted.
Attach failed; attempt 1 of 3.
geli: Cannot lock memory: Operation not permitted.
Attach failed; attempt 2 of 3.
geli: Cannot lock memory: Operation not permitted.
Attach failed; attempt 3 of 3.

выходит такая шляпа

[mike345]

а что будет с eli разделом при перезагрузке машины без предварительного geli detach?

А вот тут интересно получается. Если раздел делать на adXsXd, то после ребута без отмонтирования, больше ничего не монтировалось у меня. И по моему даже раздел пропадал. Однако, если под раздел geli выделить целый физический диск, то все работало.


По поводу скриптов. У меня нормально отрабатывает при вставке флешки. Те в devd записал команду автомонтирования флешки _И_ команду монтирования geli используя ключ с флешки.
Если загрузится с вставленной флешкой, то монтирование тоже происходит нормально.

[maxx-com]

а можешь выложить свой скрипт автомонтирования? его тоже попробую
не понимаю просто где я накосячил

[mike345]

devd

Код: Выделить всё

########### Automount umass devices (MY)###########
attach 10 {
match "device-name" "umass[0-9]+";
action "/etc/rc.m/mounte.sh";
};

detach 10 {
match "device-name" "umass[0-9]+";
action "/etc/rc.m/umount.sh";
};
######################### END #####################

/etc/rc.m/mounte.sh

Код: Выделить всё

#!/bin/sh

TERM=${TERM:-cons25r}
export TERM


terminal1="/dev/console";
remove() {
/sbin/umount /etc/rc.m/mnt 2> $terminal1
sleep 4
/usr/bin/clear  > $terminal1
sleep 1
echo 'УДАЛИТЕ ФЛЕШ КАРТУ!!!' > $terminal1
exit;
}
errmount () {
/usr/bin/clear  > $terminal1;
echo "ОШИБКА 2! ФЛЕШ КАРТА НЕ СМОНТИРОВАНА!" > $terminal1;
remove;
#/usr/bin/read k;
sleep 3;
}
/usr/bin/clear  > $terminal1;
sleep 3
echo 'ПРОИЗВОДИТСЯ МОНТИРОВАНИЕ...' > $terminal1
sleep 1
/sbin/mount /dev/da0s2d /etc/rc.m/mnt 2> $terminal1 || errmount;
sleep 1
/etc/rc.m/mnt/q1 2> $terminal1
sleep 1
remove

q1 на флешке

Код: Выделить всё

#!/bin/sh

TERM=${TERM:-cons25r}
export TERM
terminal1="/dev/console";
reset_cons='echo -e \e[23;1H\e[0m'
/usr/bin/clear > $terminal1;
errorcriptomount() {
/usr/bin/clear > $terminal1;
$reset_cons;
echo "
ОШИБКА 1! МОНТИРОВАНИЕ ТОМА НЕ ПРОИЗВЕДЕНО!" > $terminal1;

#/usr/bin/read k;
}


err3() {
$reset_cons;
/usr/bin/clear > $terminal1;
echo "
ОШИБКА 3! ТОМ УЖЕ СМОНТИРОВАН!" > $terminal1;
}

criptomount() {
$reset_cons;
echo "
МОНТИРОВАНИЕ ПРОИЗВЕДЕНО!" > $terminal1;
}

/usr/bin/clear > $terminal1;
#echo 'TEST COMMANDS' > /dev/ttyv0;
if [ -e /files/_marker_files ];
    then
        err3
    else
        geli attach -p -k /etc/rc.m/mnt/keyfile /dev/ada1s1 > $terminal1;
        sleep 4
        mount /dev/ada1s1.eli /files > $terminal1 && criptomount || errorcriptomount;
        sleep 4;
fi
exit

[maxx-com]

Спасибо, ушёл проверять

[BirdGovorun]

а что будет с eli разделом при перезагрузке машины без предварительного geli detach?

А вот тут интересно получается. Если раздел делать на adXsXd, то после ребута без отмонтирования, больше ничего не монтировалось у меня. И по моему даже раздел пропадал. Однако, если под раздел geli выделить целый физический диск, то все работало.

Странно это, у меня под geli

Код: Выделить всё

# Device		Mountpoint	FStype	Options		Dump	Pass#
.....
/dev/mirror/gm0s1f		/data		ufs	rw		2	2

проблем нет.

[mike345]

У тебя он в fstab. Поэтому и размонтируется. У меня монтируется скриптами выше.
Я вроде потом размонтирование гдето тоже прописывал отдельно...
Хм...Хотя, если в fstab записать с noauto?
Но, думаю, все равно останется проблема при панике ядра или при отключении питания.

Сейчас новый сервак поднимаю, так что поэкспериментирую когда руки дойдут...