Выключение и шифрование фс

[emlen]

Очень не хватает на кинетике этих двух функций? Может есть уже варианты решения? В идеале что-то типа halt -p или что тут предусмотрено повесить на аппаратную кнопку, а шифрование хоть какое нибудь (dm-crypt, LUKS, cryptsetup, encfs) для внешнего носителя. Просто если уж подключать не флешку а винт, то как-то неправильно чтобы столько данных в открытую валялись...

[TheBB]

Нет!!! Роутер должен выполнять свои прямые обязанности. Всё, что "сверху" - приятный (или не очень) бонус.

+

@emlen , какое-то невнятное описание фичи. Хотите заманить клиента, сделайте краткое описание боевого применения. Глядишь, народ потянется.

Второй пункт голосования непонятный. Зачем мне форматировать носитель, если на нём нет криптоконтейнеров. Хватило бы просто: 1 - да, хочу; 2 - нет, не хочу (или подобное что-то)

Изменено 30 марта, 2017 пользователем TheBB
+

[Sfut]

Не хватит процессора, его то на туннели толком не хватает.

[TheBB]

чтоб "... столько данных в открытую..." не валялись, почему бы не складывать их в запароленых архивах или криптоконтейнерах, а при необходимости, забирать на комп и работать локально, ибо, столь конфиденциальные данные должны храниться в другом месте? Тут, ув. Zyxmon, затеял замеры "папугаев", перспектива не очень...

[emlen]

чтоб "... столько данных в открытую..." не валялись, почему бы не складывать их в запароленых архивах или криптоконтейнерах, а при необходимости, забирать на комп и работать локально, ибо, столь конфиденциальные данные должны храниться в другом месте? Тут, ув. Zyxmon, затеял замеры "папугаев", перспектива не очень...

у меня на смарте стареньком флешка криптуется трюкриптом и вообще ни разу не тупит :-/

[Le ecureuil]

чтоб "... столько данных в открытую..." не валялись, почему бы не складывать их в запароленых архивах или криптоконтейнерах, а при необходимости, забирать на комп и работать локально, ибо, столь конфиденциальные данные должны храниться в другом месте? Тут, ув. Zyxmon, затеял замеры "папугаев", перспектива не очень...

у меня на смарте стареньком флешка криптуется трюкриптом и вообще ни разу не тупит :-/

Можем добавить модули ядра для LUKS и dm-crypt, а дальше сами разбирайтесь.

[Le ecureuil]

Очень не хватает на кинетике этих двух функций? Может есть уже варианты решения? В идеале что-то типа halt -p или что тут предусмотрено повесить на аппаратную кнопку,

Это невозможно.

Кнопка "Выключение" работает чисто аппаратно, разрывая линии питания.

Выключить роутер программно невозможно, только перезагрузить.

[S_A]

Наверное автор имел ввиду возможность назначить на кнопку ф-цию корректного завершения работы (останов работы с дисками и т.д., ну и прекращение работы.). Чтобы потом физическое выключение не вызывало проблем.

[emlen]

Можем добавить модули ядра для LUKS и dm-crypt, а дальше сами разбирайтесь.

Было бы здорово!

[emlen]

~ # cryptsetup tcryptOpen /dev/sda crypt
Enter passphrase:
Required kernel crypto interface not available.

Это же заработает тогда?

[emlen]

Наверное автор имел ввиду возможность назначить на кнопку ф-цию корректного завершения работы (останов работы с дисками и т.д., ну и прекращение работы.). Чтобы потом физическое выключение не вызывало проблем.

Именно!

[Le ecureuil]

~ # cryptsetup tcryptOpen /dev/sda crypt
Enter passphrase:
Required kernel crypto interface not available.

Это же заработает тогда?

Да, должно.

[Le ecureuil]

Наверное автор имел ввиду возможность назначить на кнопку ф-цию корректного завершения работы (останов работы с дисками и т.д., ну и прекращение работы.). Чтобы потом физическое выключение не вызывало проблем.

Именно!

Это невозможно, поскольку после полной остановки системы происходит автоматическая перезагрузка по watchdog.

[S_A]

Разве его нельзя отключить перед выключением? Он совсем не программируемый чтоль?

[Le ecureuil]

Разве его нельзя отключить перед выключением? Он совсем не программируемый чтоль?

У процессора роутера в отличие от компьютерного нет расширенных режимов энергосбережения и ACPI, который используется для отключения системы.

Он может только жарить на 100%, и все. А из-за отсутствия ACPI (или его аналога) программное управление питанием системы не предусмотрено (кроме USB-портов, где можно снять / подать питание).

[emlen]

~ # cryptsetup tcryptOpen /dev/sda crypt
Enter passphrase:
Required kernel crypto interface not available.

Это же заработает тогда?

Да, должно.

А как эти модули подтянуть в v2.05(AAFS.5)C4 стабильную прошивку на GIGA II ?

Еще в репозитории entware нашел пакет e2fsprogs с e2fsck, где бы найти бинарник fsck_msdos для fat? Только самостоятельная сборка, только хардкор?

[S_A]

Я имел ввиду отключить watchdog. А про "жарить", ну во-первых все таки корректно завершим работу перед выключением питания (a-la Win95 с nonATX). Во-вторых, некоторые процы (вот не могу сказать про роутерные) имеют сильно разное потребление на полезных командах/на nop/на halt. Так что возможно и потребление в этом случае будет гораздо меньше.

Я очень давно не занимался этой темой, но у старых интелов, самой "экономичной" командой был halt, а классическая схема останова работы:

l1: hlt
   jmp l1

[zyxmon]

... а шифрование хоть какое нибудь (dm-crypt, LUKS, cryptsetup, encfs) для внешнего носителя...

Проверяйте encfs - viewtopic.php?f=3&t=530

[emlen]

В 25.06.2016 в 23:32, Le ecureuil сказал:

Да, должно.

А cryptsetup совсем выпилили чтоли?

[Le ecureuil]

16 часов назад, emlen сказал:

А cryptsetup совсем выпилили чтоли?

Нет, просто не добавили из-за других дел наверное 

В 2.06 уже все, поздно, она вышла в stable и добавления не будет.

Однако можем добавить в 2.08, если нужно. Отпишитесь в таком случае.

[emlen]

нужно)
 

Изменено 25 ноября, 2016 пользователем emlen

[Le ecureuil]

Пока всего один голос, этого откровенно мало, чтобы добавлять его на все устройства всем юзерам.

Подождем, нужно ли это еще кому-то, или всем достаточно encfs.

[emlen]

В 24.11.2016 в 17:26, Le ecureuil сказал:

Нет, просто не добавили из-за других дел наверное 

В 2.06 уже все, поздно, она вышла в stable и добавления не будет.

Однако можем добавить в 2.08, если нужно. Отпишитесь в таком случае.

ЕЩЕ АКТУАЛЬНО:
Required kernel crypto interface not available.
Ensure you have algif_skcipher kernel module loaded.

 

[Le ecureuil]

9 часов назад, emlen сказал:

ЕЩЕ АКТУАЛЬНО:
Required kernel crypto interface not available.
Ensure you have algif_skcipher kernel module loaded.

 

Ради одного человека добавлять компоненты в сборку немного жирновато, не считаете?
Я жду еще голосов.

[emlen]

С помощью cryptsetup можно монтировать многие криптоконтейнеры, в том числе старые truecrypt - овые зашифрованные диски. Полезна ли Вам возможность монтировать такие носители информации прямо на кинетике?

[r13]

Неа, зачем на винте подключенном к роутеру хранить что-то ценное, что требует шифрования.

Изменено 30 марта, 2017 пользователем r13

[TheBB]

@r13 , хранить-то можно, а вот работать с содержимым...

[emlen]

44 минуты назад, Sfut сказал:

Не хватит процессора, его то на туннели толком не хватает.

 

11 минуту назад, TheBB сказал:

@r13 , хранить-то можно, а вот работать с содержимым...

не хочу никого обидеть, просто выражаю свое, пускай и "чисто потребительское" имхо - про encfs тоже были подобные страшилки, однако работает на ура с тех пор как уважаемый zyxmon тему создал. А сейчас еще альтернатива появилась.. Ну и я писал, что на телефоне стоит бинарник truecrypt под андроид и тормоза вообще не чувствуются... Так что сначала тесты - потом выводы..

[TheBB]

хе-хе, а ресурсами-то озаботились, интересовались, что больше/меньше жрёт. "Синтетические" тесты нами проводились, но не в реальных боевых условиях (работа роутера под нагрузкой - торренты, медиа, сервера и т.д. и т.п.).

[Sfut]

7 минут назад, emlen сказал:

что на телефоне стоит бинарник truecrypt под андроид и тормоза вообще не чувствуются

На телефоне ARM несколько ядер, как минимум 4, с частотой около 1,5 ГГц. А на кинетике? Даже если взять ULTRA2 то 2 ядра MIPS с частотой 880 МГц. А если взять EXTRA2 - 1 ядро c частотой 580 МГц. Сравните также количество памяти.  Поинтересуйтесь сколько может прокачивать самая мощная ULTRA2 например через OpenVPN.

[vadimbn]

Возможность такая есть - и ладушки, и забыли о ней. Не нужно оно, на мой взгляд. Ладно было бы отдельное хранилище, но на роутере, на USB-носителях... Дома...