CitarBuenas de nuevo Burt !!
Me alegro de que le hayas sacado partido a todo lo comentado en el hilo y que la instalacion se realizara sin contratiempo, te ha quedado fino, a disfrutar!
Un saludo y de nada!
Re: Cifrar discos y particiones en LINUX, LVM, VG, LV
Muy buenas @UltimaNeurona.
Más que nada y para que no pienses que todo el currazo que te pegaste en el hilo ha caído en saco roto, te informo que aprovechando que estoy de vacaciones he reinstalado en mi PC principal mi S.O. siguiendo los pasos para el cifrado con LUKS del disco, con LV, VG etc...todo ha ido fantástico!!
Te muestro como ha quedado. He usado solo la mitad de capacidad del disco nvme y la otra mitad la dejo por si lo quiero usar para lo que sea
Todavía me queda instalar cosas, pero a día de hoy está así, por eso me sobra tanto espacio en el VG.
Un saludo y muchas gracias!
Última edición por Burt; 11/08/2023 a las 01:19
Re: Cifrar discos y particiones en LINUX, LVM, VG, LV
Buenas de nuevo Burt !!
Me alegro de que le hayas sacado partido a todo lo comentado en el hilo y que la instalacion se realizara sin contratiempo, te ha quedado fino, a disfrutar!
Un saludo y de nada!
Re: Cifrar discos y particiones en LINUX, LVM, VG, LV
Hola de nuevo. Por si a alguien le interesa:
TPM-backed Full Disk Encryption is on its way to Ubuntu!
Get ready for a smoother, more secure experience and say goodbye to manual passphrases during boot.
Lo que no entiendo muy bien es esto de que para desbloquear el dispositivo ya no será necesaria la frase de contraseña
Un saludo.This means that passphrases will no longer be needed on supported platforms, and that the secret used to decrypt the encrypted data will be protected by a TPM and recovered automatically only by early boot software that is authorised to access the data
Re: Cifrar discos y particiones en LINUX, LVM, VG, LV
Iniciado por Burt
Buena noticia Burt.
La mayoria de distros apuestan actualmente por fde que es el cifrado completo de disco. Esto es lo que hemos estado haciendo en este hilo con dm-crypt y luks. Para desbloquear el disco cifrado passphrase (contraseña) o key.
En un entorno con tpm, si se utiliza este modulo (no es obligatorio), es este chip el que almacena y protege la contraseña de desbloqueo para descifrar los datos. Esto se realiza de forma automatica y transparente para el usuario sin tener que introducir una password. A mi este metodo no me gusta mucho, ya que al arrancar, se desbloquea/descifra el disco automaticamente y lo primero que ves es la pantalla de login.
Esto que comento ya lo hace windows con bitlocker+tpm. Tras instalar windows podemos cifrar el disco de sistema con bitlocker.
Para facilitar las cosas, el comportamiento por defecto de bitlocker en equipos uefi que cuentan con tpm, es almacenar las claves en este chip. Debido a esto, al encender el ordenador el disco duro se desbloquea automaticamente y no te pide contraseña. Es decir, al encender llegaras hasta la pantalla de logueo como habitualmente sin notar nada.
Este comportamiento por defecto se puede cambiar en windows mediante politicas de grupo para que bitlocker no use solo tpm, sino que utilice medidas adicionales como tpm+pin, tpm+key o tpm+key+pin. Lo ideal es requerir autenticacion adicional durante el arranque.
Si roban el equipo y no pide pin, el ordenador encenderia hasta la pantalla de logueo. Auqnue aqui el bypass del usuario es mas complejo ya que tpm y secure boot se encarga de estas cosas, por ejemplo no dejandote arrancar desde un usb.
Esta autenticacion adicional: Pre-boot authentication with BitLocker is a policy setting that requires the use of either user input, such as a PIN, a startup key, or both to authenticate prior to making the contents of the system drive accessible. The Group Policy setting is Require additional authentication at startup and the corresponding setting in the BitLocker CSP is SystemDrivesRequireStartupAuthentication.
Hasta ahora, para hacer uso de tpm habia que recurrir a software, modulos, sus correspondientes configuraciones, etc. Cuando todo esto este implementado de forma nativa en ubuntu supongo que sera out of the box y que tambien se podra configurar como en el caso de windows.
Un saludo!.
Re: Cifrar discos y particiones en LINUX, LVM, VG, LV
Buenas. Ayer se actualizó el kernel de mi distro (KDE neon) y al arrancar el PC hoy me ha dado un bonito kernel panic...
La versión del kernel anterior es 6.2.0-35-generic con la que sigo pudiendo arrancar pero con la que se ha actualizado 6.2.0-36-generic no puede abrir /dev/root. Tener en cuenta que mi disco está cifrado con LUKS 2.
Si intento ir a las opciones de recuperación a través del GRUB me indica que no puede acceder o abrir el Volum Group (VG)
He mirado que los UUID de las particiones coincidan entre fstat y lo que me dice blkid y no hay incongruencias.
Así que, ¿alguien sabría como puedo solucionar esto o mejor elimino el último kernel y tiro con el anterior que no da problemas?
Un saludo!
P.D.: Pues igual no es culpa del último kernel, veo que se instaló el 9 de octubre y durante este tiempo ha funcionado. Ha sido después de alguna actualización de otras cosas lo que habrá causado el problema. Extraño.
SOLUCIONADO:
Alguna cosa no debió ir bien durante la última actualización.
Normalmente yo actualizo mediante consola con estos comandos:
Así es como debe hacerse en 'KDE neon' y no se recomienda el típico método de Ubuntu:Código:sudo pkcon refresh sudo pkcon update
pese a que esta distro está basada y de hecho es un Ubuntu.Código:sudo apt update sudo apt dist-upgrade
Pero en esta ocasión he forzado hacerlo vía apt y me ha resuelto el problema
Un saludo
Última edición por Burt; 31/10/2023 a las 23:35
Re: Cifrar discos y particiones en LINUX, LVM, VG, LV
Me alegro Burt!
Seguramente lo que ocurrio es que tras la actualizacion del kernel via metodo neon, cuando se genera el initramfs y la actualizacion del grub, no se actualizo bien la linea root= que puedes ver en las entradas de /boot/grub/grub.cfg para cargar la raiz. En este archivo puedes ver las entradas de los kernels y la raiz que carga grub.
Ahora acabo de actualizar a 6.2.0-36-generic via apt update&apt upgrade y esa entrada apunta bien al root, root=/dev/mapper/sysvg-rootlv en mi caso.
Un saludo!
Re: ¿Como puedo encriptar el disco duro sin formatear?
Hola de nuevo @UltimaNeurona! A ver si llegas a ver mi mensaje.
Quería ejecutar máquinas virtuales a través de lxd. Hacerlo en mi distro KDE neon con VirtualBox me resulta farragoso y poco "ligero". Estoy mirando tutoriales e informándome y he instalado lxd pero cuando hago un listado de las distros disponibles conno aparece KDE neon. Quiero hacer unas pruebas en VM con mi distro actual . Justo me estoy introduciendo en esto de los contenedores virtuales y quizás me pierdo algo.Código:# lxc image list images:
El tema es, ¿hay alguna manera de crear un contenedor o VM en lxd con una imagen de una distro que no está listada?
Un saludo.
Última edición por Burt; 21/02/2025 a las 00:06
Re: ¿Como puedo encriptar el disco duro sin formatear?
Muy buenas Burt, un gusto saludarte de nuevo.
Un buen punto de partida es la documentacion oficial de lxd. Te dejo el enlace a la doc de la ultima version stable, la 5.21
Si entramos a la doc -> How to guides -> images -> remote image servers
Canonical ofrece diferentes servidores de imagenes. El servidor "images" es el que provee imagenes no oficiales, es decir, las de otras distribuciones que no sean ubuntu.
Lamentablemente kde neon no esta disponible por eso no la ves al hacer un listado de ese servidor con lxc image list <servidor> (donde servidor en este caso es "images". Puedes sustituir este servidor por otro, por ej., lxc image list ubuntu).
El resto de servidores (ubuntu, ubuntu-daily, etc) provee imagenes de ubuntu.
Seguramente el servidor de imagenes de linuxcontainers, que eran los encargados de lxd hasta que paso a canonical, funcione con lxd pero tampoco proporcionan kde neon. Linuxcontainers continuo con el proyecto con otro nombre, incus.
Ahora bien, puedes trabajar con una imagen iso propia como si se tratase de una VM standar.
Puedes hacer una VM vacia con lxd y adjuntarle una imagen iso de un sistema operativo, lanzar esta maquina e instalar dicho so.
Si quieres probar descarga la imagen de kde neon y:
1- Crea la maquina con lxc init <nombre-maquina> --empty --vm -c limits.cpu=4 -c limits.memory=4GiB -> Adaptar al gusto por ejemplo lxc init kde-neon --empty --vm -c limits.cpu=2 -c limits.memory=2GiB
Esto creara una maquina vacia, uefi, con 2 cpu y 2 GB ram. Si quieres un entorno CSM/BIOS agregar -c security.secureboot=false -c security.csm=true
Si lo requieres, agregar TPM con lxc config device add <nombre-maquina> vtpm tpm path=/dev/tpm0
2- Aumenta el espacio en disco por defecto con lxc config device override <nombre-maquina> root size=30GB -> Esto lo aumentaria a 30GB.
3- Monta la imagen descargada con lxc config device add <nombre-maquina> <nombre-que-le-des-al-dispositivo-que-albergara-la-imagen> disk source=/ruta/al/archivo/de/la/imagen.loquesea boot.priority=2
4- Arranca la maquina con lxc start <nombre-maquina> --console=vga
Tras este comando deberias acceder a la consola y la imagen iso cargarse. Instalar, hacer pruebas, etc
5- Quita el dispositivo que alberga la iso con lxc config device remove <nombre-maquina> <nombre-dispositivo-usado-anteriormente-para-la-iso>
6- Parar la maquina cuando termines con lxc stop <nombre-maquina>
Ya me cuentas, un saludo.
Re: Cifrar discos y particiones en LINUX, LVM, VG, LV
Fantástico @UltimaNeurona, he podido lanzar la VM gracias a tus instrucciones y mirarme un poco el How-to guides!
Muuuchas gracias!
Re: Cifrar discos y particiones en LINUX, LVM, VG, LV
Denada Burt!, me alegro que te sirviera.
Un saludo.
Permisos de publicación
