Upgrade to Pro — share decks privately, control downloads, hide ads and more …

タブレットLinuxで暗号化ファイルシステム(dm-crypt)をアンロック

Kenichiro MATOHARA
October 14, 2023
Technology
0
92

 タブレットLinuxで暗号化ファイルシステム(dm-crypt)をアンロック

source: https://gitlab.com/matoken/tokaido-2023.10/-/blob/main/slide/slide.adoc
event:: 東海道らぐ名古屋 2023年10月オフな集まり https://tokaidolug.connpass.com/event/297991/

Kenichiro MATOHARA

October 14, 2023
Tweet

More Decks by Kenichiro MATOHARA

See All by Kenichiro MATOHARA
asciinema playerで大きな端末録画を共有する
matoken
0
14
ターミナルを共有するいろいろ
matoken
0
11
textlintで日本語をまともに(Neovim/VS Code)
matoken
0
20
TUI Bluetooth マネージャーの bluetuith
matoken
0
24
Galene用SpeachToTextのgalene-sttを試す
matoken
0
13
ターミナルでプレゼンテーション その3-presentermを試す-
matoken
0
51
国立国会図書館デジタルコレクションの本をオフラインで読む
matoken
0
45
WebKitベース時代の Midori フォークの Raphael
matoken
0
26
各種 Fediverse TUI クライアントの Servitor を試す
matoken
0
51

Other Decks in Technology

See All in Technology
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
200
VideoMamba: State Space Model for Efficient Video Understanding
chou500
0
190
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
3
940
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.3k
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
870
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
170
誰も全体を知らない ~ ロールの垣根を超えて引き上げる開発生産性 / Boosting Development Productivity Across Roles
kakehashi
1
220
透過型SMTPプロキシによる送信メールの可観測性向上: Update Edition / Improved observability of outgoing emails with transparent smtp proxy: Update edition
linyows
2
210
SSMRunbook作成の勘所_20241120
koichiotomo
2
120
フルカイテン株式会社 採用資料
fullkaiten
0
40k
The Rise of LLMOps
asei
5
1.2k
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k

Featured

See All Featured
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
10 Git Anti Patterns You Should be Aware of
lemiorhan
654
59k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
Being A Developer After 40
akosma
86
590k
A Modern Web Designer's Workflow
chriscoyier
693
190k
How to Ace a Technical Interview
jacobian
276
23k
RailsConf 2023
tenderlove
29
900
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k
Side Projects
sachag
452
42k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k

Transcript

  1. タブレットLinuxで 暗号化ファイルシ ステム(dm-crypt)をア ンロック Kenichiro Matohara(matoken) <[email protected]> 1

  2. matoken 南隅から参加(鹿児島の右下) 好きなLinuxディストリビューションはDebian 鹿児島らぐもやってます → Next 2023-10-22(sun) map: © OpenStreetMap

    contributors Kenichiro Matohara(matoken) https://matoken.org https://inari.opencocon.org/@matoken https://www.kagolug.org/ 2

  3. 少し前にWindowsタブレット入手 Fujitsu ARROWS Tab Q508/SE CPU Atom x7-Z8700, RAM4GB, eMMC

    128GB, screen 10.1inch/WUXGA(1920×1200), 防水防塵 IPX5/IPX7/IPX8/IP5X イオシスにて7k程 https://iosys.co.jp/review/arrowstab_q508se 3

  4. mobian で遊んでいたけど日本語入力がうまく行かずDebian に変 更(レジュームや画面回転が遅くなった?) dm-crypt(LUKS) で暗号化fs 再起動時に有線Keyboard が無いと起動できないな?外出時に 困る…… 🤔

    https://www.mobian.org/ モバイル向けLinuxディストリビューションのMobianを Widownsタブレットで試す 4

  5. bios on screen keyboard GRUB 編集は可能だけど,Linux 起動が始まると利用不可 5

  6. dm-crypt Linux向けの暗号化ファイルシステムLUKS(Linux Unified Key Setup ) の実装 基本的に /boot(とefi) 以外を暗号化

    パスフレーズや鍵ファイルを使ってアンロック(複数登録可能) AES-NI のあるcpu(Core2Duo/GeodeLX)+ssd でデスクトッ プ用途だと体感で暗号化fs無しとほぼ変わらなく (それ以前にdm-crypt + eCryptfs + HDD で運用していて少 し重かった……) 自分の持ち運びPCやリモートの端末は有効にしている 6

  7. dm-crypt unlock キーボードでパスフレーズ入力 ssh(dropbear)経由(有線LANが必要) USBメモリに鍵を保存して起動時に接続 7

  8. 以下未検証 BIOS on screen Keyboard 利用→GRUBには使えるがLinux 起動後は利用不可(GRUBからkernel引数に?) bluetooth HID 利用(initramfsに組み込み)

    TPM に鍵を格納(Windows やUbuntu 23.10のFDE で採用) PostmarketOS 由来のosk-sdl(on screen keyboard) を利 用(initramfs に組み込み) → 今回試した 8

  9.  再起動前にワンタイムキーをdm-crypt に登録してそれにより 一度だけパスフレーズ無しで起動できるものが リモートサーバのメンテナンスに便利そう Mark Collins / passless-reboot ·

    GitLab https://gitlab.com/Marcool04/passless-boot 9

  10. osk-sdl  Debian にはpkg あり https://gitlab.com/postmarketOS/osk-sdl Lightweight On-Screen-Keyboard based on

    SDL2 This keyboard is used to unlock the encrypted root partition in postmarketOS and other distributions. 10

  11. package version https://qa.debian.org/cgi-bin/madison.cgi? package=osk-sdl&table=debian&a=&c=&s=# $ rmadison -u udd osk-sdl osk-sdl

    | 0.62.1-2 | bullseye | source, amd64, arm64, armel, armhf, i386, mips64el, mipsel, pp osk-sdl | 0.67.1-2 | bookworm | source, amd64, arm64, armel, armhf, i386, mips64el, mipsel, pp osk-sdl | 0.67.1-3 | trixie | source, amd64, arm64, armel, armhf, i386, mips64el, ppc64el, osk-sdl | 0.67.1-3 | sid | source, amd64, arm64, armel, armhf, i386, mips64el, ppc64el, https://qa.debian.org/cgi-bin/madison.cgi? package=osk-sdl&table=ubuntu&a=&c=&s=# $ rmadison -u https://qa.debian.org/cgi-bin/madison.cgi?table=ubuntu osk-sdl osk-sdl | 0.62.1-1 | hirsute/universe | source, amd64 osk-sdl | 0.62.1-2 | impish/universe | source, amd64 osk-sdl | 0.66-4 | jammy/universe | source, amd64 osk-sdl | 0.67-2 | kinetic/universe | source, amd64 osk-sdl | 0.67.1-2 | lunar/universe | source, amd64 osk-sdl | 0.67.1-3 | mantic/universe | source, amd64 11

  12. osk-sdl 導入 $ sudo apt install osk-sdl 12

  13. osk-sdl 設定 crypttab での設定 grub での設定 どちらか片方の設定が必要  "Enable osk-sdl

    [SOLVED] - Debian User Forums" https://forums.debian.net/viewtopic.php? t=152140 13

  14. disk 状況 $ lsblk NAME MAJ:MIN RM SIZE RO TYPE

    MOUNTPOINTS mmcblk0 179:0 0 116.5G 0 disk ├─mmcblk0p1 179:1 0 512M 0 part /boot/efi ├─mmcblk0p2 179:2 0 488M 0 part /boot └─mmcblk0p3 179:3 0 115.5G 0 part └─mmcblk0p3_crypt 254:0 0 115.5G 0 crypt ├─tab--vg-root 254:1 0 108G 0 lvm / └─tab--vg-swap 254:2 0 7.5G 0 lvm [SWAP] mmcblk0boot0 179:256 0 4M 1 disk mmcblk0boot1 179:512 0 4M 1 disk 14

  15. crypttab 設定例 /etc/crypttab === オプション設定 /etc/osk.conf 見た目などの設定 === initramfs 更新

     osk-sdl の設定に失敗すると起動がうまく行かなくなったりす るのでUSB Linux などを用意しておくと安心 #mmcblk0p3_crypt UUID=feb5507b-2cb5-43ea-b2c8-69b69d9e86e9 none luks,discard mmcblk0p3_crypt UUID=feb5507b-2cb5-43ea-b2c8-69b69d9e86e9 mmcblk0p3_crypt \ luks,initramfs,keyscript=/usr/share/initramfs-tools/scripts/osk-sdl-keyscript,discard $ sudo update-initramfs -u 15

  16. initrd サイズ比較 osk-sdlなし osk-sdlあり 倍ほどに! $ ls -s /boot/initrd.img-`uname -r`

    63651 /boot/initrd.img-6.1.0-13-amd64 $ ls -s /boot/initrd.img-`uname -r` 126097 /boot/initrd.img-6.1.0-13-amd64 16

  17. osk-sdl でdm-crypt unlock 17

  18. gdm3 osk でlogin 18

  19. gsd-keyboard & Onboard 19

  20. まとめ タブレットLinux に暗号化fs を導入 osk-sdl をinitramfs に組み込むことでon screen keyboard でdm-crypt

    のパスフレーズ入力が可能に タブレット単体でも起動できるように :) 荷物が減らせる? でもterminal によく居るので物理キーボードは欲しいところ もっといい方法もありそう 20

  21. 発表時のツッコミなど Android端末をKeyboardとして使うといいのでは に鍵ファイルを格納す れば忘れることがないのでは マイコンやRaspberry Pi等でUSB HID を喋らせてパスフレーズを 入力 鍵型の物も

    は でssh 経由のunlock ができるらしい Keyring に付けるようなタイプのUSBメモリ 1 2 mkinitcpio-systemd-tool Wireless 21

  22. 奥付 発表 :revdate: 発表者 利用ソフトウェア ライセンス 東海道らぐ名古屋 2023年10月オフな集まり Kenichiro Matohara(matoken)

    Asciidoctor Reveal.js CC BY 4.0 22
  23. None