Upgrade to Pro — share decks privately, control downloads, hide ads and more …

タブレットLinuxで暗号化ファイルシステム(dm-crypt)をアンロック

Kenichiro MATOHARA
October 14, 2023
Technology
0
37

 タブレットLinuxで暗号化ファイルシステム(dm-crypt)をアンロック

source: https://gitlab.com/matoken/tokaido-2023.10/-/blob/main/slide/slide.adoc
event:: 東海道らぐ名古屋 2023年10月オフな集まり https://tokaidolug.connpass.com/event/297991/

Kenichiro MATOHARA

October 14, 2023
Tweet

More Decks by Kenichiro MATOHARA

See All by Kenichiro MATOHARA
シンプルな TUI VoIP の VoRS
matoken
0
3
シンクライアント端末をシンクライアントホスト的に利用
matoken
0
10
軽量テキストエディタの Lite-XL を試しています
matoken
0
14
パスワードマネージャーのKeePassXC でPassKey!
matoken
0
12
WordPress をActivityPub 対応に
matoken
0
9
GadgetBridge 経由でスマートウォッチで天気,アクティビティ記録
matoken
0
36
ターミナルプレゼンその2(Sixel編?)
matoken
0
30
X(old Twitter)の軽量フロントエンドのNitterをゲストアカウントで利用
matoken
0
250
ownCloud Infinite Scale をお試し中
matoken
0
76

Other Decks in Technology

See All in Technology
EM完全に理解した と思ったけど、 やっぱり何も分からなかった話 / EM Night Fukuoka #1
hirutas
0
130
Azure Container Apps + Bicep 〜 こんな感じで運用しています
kaz29
3
590
生産性向上チームの紹介
cybozuinsideout
PRO
1
900
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
910
ワールドカフェI /チューターを改良する / World Café I and Improving the Tutors
ks91
PRO
0
140
家族アルバム みてねにおけるGrafana活用術 / Grafana Meetup Japan Vol.1 LT
isaoshimizu
1
870
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
2.1k
web-application-security
matsuihidetoshi
1
180
プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8
taishin
1
380
現代CSSフレームワークの内部実装とその仕組み
poteboy
8
3.7k
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
4
16k
On Your Data を超えていく!
hirotomotaguchi
2
730

Featured

See All Featured
What’s in a name? Adding method to the madness
productmarketing
PRO
17
2.7k
Building a Scalable Design System with Sketch
lauravandoore
457
32k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
Fontdeck: Realign not Redesign
paulrobertlloyd
76
4.9k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
10
1k
Large-scale JavaScript Application Architecture
addyosmani
504
110k
Embracing the Ebb and Flow
colly
80
4.2k
Designing for Performance
lara
602
67k
Visualization
eitanlees
137
14k
10 Git Anti Patterns You Should be Aware of
lemiorhan
649
58k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
323
20k
In The Pink: A Labor of Love
frogandcode
138
21k

Transcript

  1. タブレットLinuxで 暗号化ファイルシ ステム(dm-crypt)をア ンロック Kenichiro Matohara(matoken) <[email protected]> 1

  2. matoken 南隅から参加(鹿児島の右下) 好きなLinuxディストリビューションはDebian 鹿児島らぐもやってます → Next 2023-10-22(sun) map: © OpenStreetMap

    contributors Kenichiro Matohara(matoken) https://matoken.org https://inari.opencocon.org/@matoken https://www.kagolug.org/ 2

  3. 少し前にWindowsタブレット入手 Fujitsu ARROWS Tab Q508/SE CPU Atom x7-Z8700, RAM4GB, eMMC

    128GB, screen 10.1inch/WUXGA(1920×1200), 防水防塵 IPX5/IPX7/IPX8/IP5X イオシスにて7k程 https://iosys.co.jp/review/arrowstab_q508se 3

  4. mobian で遊んでいたけど日本語入力がうまく行かずDebian に変 更(レジュームや画面回転が遅くなった?) dm-crypt(LUKS) で暗号化fs 再起動時に有線Keyboard が無いと起動できないな?外出時に 困る…… 🤔

    https://www.mobian.org/ モバイル向けLinuxディストリビューションのMobianを Widownsタブレットで試す 4

  5. bios on screen keyboard GRUB 編集は可能だけど,Linux 起動が始まると利用不可 5

  6. dm-crypt Linux向けの暗号化ファイルシステムLUKS(Linux Unified Key Setup ) の実装 基本的に /boot(とefi) 以外を暗号化

    パスフレーズや鍵ファイルを使ってアンロック(複数登録可能) AES-NI のあるcpu(Core2Duo/GeodeLX)+ssd でデスクトッ プ用途だと体感で暗号化fs無しとほぼ変わらなく (それ以前にdm-crypt + eCryptfs + HDD で運用していて少 し重かった……) 自分の持ち運びPCやリモートの端末は有効にしている 6

  7. dm-crypt unlock キーボードでパスフレーズ入力 ssh(dropbear)経由(有線LANが必要) USBメモリに鍵を保存して起動時に接続 7

  8. 以下未検証 BIOS on screen Keyboard 利用→GRUBには使えるがLinux 起動後は利用不可(GRUBからkernel引数に?) bluetooth HID 利用(initramfsに組み込み)

    TPM に鍵を格納(Windows やUbuntu 23.10のFDE で採用) PostmarketOS 由来のosk-sdl(on screen keyboard) を利 用(initramfs に組み込み) → 今回試した 8

  9.  再起動前にワンタイムキーをdm-crypt に登録してそれにより 一度だけパスフレーズ無しで起動できるものが リモートサーバのメンテナンスに便利そう Mark Collins / passless-reboot ·

    GitLab https://gitlab.com/Marcool04/passless-boot 9

  10. osk-sdl  Debian にはpkg あり https://gitlab.com/postmarketOS/osk-sdl Lightweight On-Screen-Keyboard based on

    SDL2 This keyboard is used to unlock the encrypted root partition in postmarketOS and other distributions. 10

  11. package version https://qa.debian.org/cgi-bin/madison.cgi? package=osk-sdl&table=debian&a=&c=&s=# $ rmadison -u udd osk-sdl osk-sdl

    | 0.62.1-2 | bullseye | source, amd64, arm64, armel, armhf, i386, mips64el, mipsel, pp osk-sdl | 0.67.1-2 | bookworm | source, amd64, arm64, armel, armhf, i386, mips64el, mipsel, pp osk-sdl | 0.67.1-3 | trixie | source, amd64, arm64, armel, armhf, i386, mips64el, ppc64el, osk-sdl | 0.67.1-3 | sid | source, amd64, arm64, armel, armhf, i386, mips64el, ppc64el, https://qa.debian.org/cgi-bin/madison.cgi? package=osk-sdl&table=ubuntu&a=&c=&s=# $ rmadison -u https://qa.debian.org/cgi-bin/madison.cgi?table=ubuntu osk-sdl osk-sdl | 0.62.1-1 | hirsute/universe | source, amd64 osk-sdl | 0.62.1-2 | impish/universe | source, amd64 osk-sdl | 0.66-4 | jammy/universe | source, amd64 osk-sdl | 0.67-2 | kinetic/universe | source, amd64 osk-sdl | 0.67.1-2 | lunar/universe | source, amd64 osk-sdl | 0.67.1-3 | mantic/universe | source, amd64 11

  12. osk-sdl 導入 $ sudo apt install osk-sdl 12

  13. osk-sdl 設定 crypttab での設定 grub での設定 どちらか片方の設定が必要  "Enable osk-sdl

    [SOLVED] - Debian User Forums" https://forums.debian.net/viewtopic.php? t=152140 13

  14. disk 状況 $ lsblk NAME MAJ:MIN RM SIZE RO TYPE

    MOUNTPOINTS mmcblk0 179:0 0 116.5G 0 disk ├─mmcblk0p1 179:1 0 512M 0 part /boot/efi ├─mmcblk0p2 179:2 0 488M 0 part /boot └─mmcblk0p3 179:3 0 115.5G 0 part └─mmcblk0p3_crypt 254:0 0 115.5G 0 crypt ├─tab--vg-root 254:1 0 108G 0 lvm / └─tab--vg-swap 254:2 0 7.5G 0 lvm [SWAP] mmcblk0boot0 179:256 0 4M 1 disk mmcblk0boot1 179:512 0 4M 1 disk 14

  15. crypttab 設定例 /etc/crypttab === オプション設定 /etc/osk.conf 見た目などの設定 === initramfs 更新

     osk-sdl の設定に失敗すると起動がうまく行かなくなったりす るのでUSB Linux などを用意しておくと安心 #mmcblk0p3_crypt UUID=feb5507b-2cb5-43ea-b2c8-69b69d9e86e9 none luks,discard mmcblk0p3_crypt UUID=feb5507b-2cb5-43ea-b2c8-69b69d9e86e9 mmcblk0p3_crypt \ luks,initramfs,keyscript=/usr/share/initramfs-tools/scripts/osk-sdl-keyscript,discard $ sudo update-initramfs -u 15

  16. initrd サイズ比較 osk-sdlなし osk-sdlあり 倍ほどに! $ ls -s /boot/initrd.img-`uname -r`

    63651 /boot/initrd.img-6.1.0-13-amd64 $ ls -s /boot/initrd.img-`uname -r` 126097 /boot/initrd.img-6.1.0-13-amd64 16

  17. osk-sdl でdm-crypt unlock 17

  18. gdm3 osk でlogin 18

  19. gsd-keyboard & Onboard 19

  20. まとめ タブレットLinux に暗号化fs を導入 osk-sdl をinitramfs に組み込むことでon screen keyboard でdm-crypt

    のパスフレーズ入力が可能に タブレット単体でも起動できるように :) 荷物が減らせる? でもterminal によく居るので物理キーボードは欲しいところ もっといい方法もありそう 20

  21. 発表時のツッコミなど Android端末をKeyboardとして使うといいのでは に鍵ファイルを格納す れば忘れることがないのでは マイコンやRaspberry Pi等でUSB HID を喋らせてパスフレーズを 入力 鍵型の物も

    は でssh 経由のunlock ができるらしい Keyring に付けるようなタイプのUSBメモリ 1 2 mkinitcpio-systemd-tool Wireless 21

  22. 奥付 発表 :revdate: 発表者 利用ソフトウェア ライセンス 東海道らぐ名古屋 2023年10月オフな集まり Kenichiro Matohara(matoken)

    Asciidoctor Reveal.js CC BY 4.0 22
  23. None