diff options
Diffstat (limited to 'cs/using-d-i/modules')
| -rw-r--r-- | cs/using-d-i/modules/kbd-chooser.xml | 4 | ||||
| -rw-r--r-- | cs/using-d-i/modules/mdcfg.xml | 2 | ||||
| -rw-r--r-- | cs/using-d-i/modules/partman-crypto.xml | 353 | ||||
| -rw-r--r-- | cs/using-d-i/modules/partman.xml | 72 |
4 files changed, 404 insertions, 27 deletions
diff --git a/cs/using-d-i/modules/kbd-chooser.xml b/cs/using-d-i/modules/kbd-chooser.xml index 492e4b344..924feef96 100644 --- a/cs/using-d-i/modules/kbd-chooser.xml +++ b/cs/using-d-i/modules/kbd-chooser.xml @@ -1,5 +1,5 @@ <!-- $Id$ --> -<!-- original version: 28672 --> +<!-- original version: 38231 --> <sect3 id="kbd-chooser"> <title>Výběr klávesnice</title> @@ -49,7 +49,7 @@ nenastane. </para><para> Obejít to můžete tak, že instalátor zavedete s parametrem -<userinput>debconf/priority=medium</userinput>.<footnote><para> +<userinput>priority=medium</userinput>.<footnote><para> Nebo pokud jste již systém zavedli s výchozí prioritou, můžete na obrazovce s výběrem klávesových map použít tlačítko <userinput>Jít diff --git a/cs/using-d-i/modules/mdcfg.xml b/cs/using-d-i/modules/mdcfg.xml index aeaf247bb..b82921278 100644 --- a/cs/using-d-i/modules/mdcfg.xml +++ b/cs/using-d-i/modules/mdcfg.xml @@ -1,5 +1,5 @@ <!-- $Id$ --> -<!-- original version: 33725 --> +<!-- original version: 38703 --> <sect3 id="mdcfg"> <title>Nastavení vícediskových zařízení (Softwarový RAID)</title> diff --git a/cs/using-d-i/modules/partman-crypto.xml b/cs/using-d-i/modules/partman-crypto.xml new file mode 100644 index 000000000..fe785837e --- /dev/null +++ b/cs/using-d-i/modules/partman-crypto.xml @@ -0,0 +1,353 @@ +<!-- $Id$ --> +<!-- original version: 39224 --> + + <sect3 id="partman-crypto"> + <title>Nastavení šifrovaných svazků</title> +<para> + +&d-i; umožňuje nastavit šifrované oblasti. Každý soubor, který na +takovou oblast zapíšete, je na disk zapsán v šifrované podobě. Přístup +k šifrovaným datům je povolen pouze po zadání <firstterm>přístupové +fráze</firstterm>, kterou si zvolíte při vytváření šifrované +oblasti. Takto můžete chránit citlivá data v případě, že někdo ukradne +váš přenosný počítač nebo pevný disk. Zloděj sice získá fyzický +přístup k pevnému disku, ale bez znalosti přístupové fráze budou +šifrovaná data na disku vypadat jako změť náhodných znaků. + +</para><para> + +Největší smysl má šifrování oblasti s domovskými adresáři, kde se +nachází vaše soukromá data, a oblasti s odkládacím prostorem, kde +se mohou dočasně ocitnout citlivá data z operační paměti. Samozřejmě +vám nic nebrání šifrovat libovolnou jinou oblast, například +<filename>/var</filename>, kam si ukládají databázové servery své +databáze, poštovní servery poštu, tiskové servery frontu úloh, nebo +třeba adresář <filename>/tmp</filename>, kde se mohou nacházet +potenciálně zajímavá data (dočasné pracovní kopie vašich dokumentů). +Existují i lidé, kteří si šifrují celý systém. Jedinou výjimkou, která +musí zůstat nešifrovaná, je oblast obsahující +<filename>/boot</filename>, protože momentálně neexistuje způsob, jak +zavést jádro ze šifrované oblasti. + +</para><note><para> + +Rychlost čtení/zápisu ze šifrovaných oblastí bude o něco nižší než +rychlost na nešifrovaných oblastech, protože se data musí +odšifrovat/zašifrovat při každém čtení a zápisu. Konkrétní vliv na +rychlost závisí na výkonu procesoru, zvolené šifře a délce klíče. + +</para></note><para> + +Abyste mohli využívat šifrování, musíte vybrat stávající oblast, což +může být běžná oblast, logický svazek LVM nebo svazek RAID. (Pokud +ještě oblast neexistuje, musíte ji nejprve vytvořit z dostupného +volného místa.) V menu pro nastavení oblasti nastavte +možnost <menuchoice> <guimenu>Použít jako:</guimenu> </menuchoice> na +hodnotu <guimenuitem>fyzický svazek pro šifrování</guimenuitem>. +Zbytek menu se poté změní a bude obsahovat několik kryptografických +nastavení pro danou oblast. + +</para><para> + +&d-i; podporuje několik způsobů nastavení šifrování. Výchozí +je <firstterm>dm-crypt</firstterm> (součástí novějších linuxových +jader, schopný hostit fyzické svazky pro LVM), další se nazývá +<firstterm>loop-AES</firstterm> (starší, udržovaný mimo jádra). +Pokud nemáte vážné důvody tak neučinit, doporučujeme použít výchozí +variantu. + +<!-- TODO: link to the "Debian block device encryption guide" + once Max writes it :-) --> + +</para><para> + +Nejprve se podívejme na možnosti, které jsou k dispozici, pro +šifrování přes <userinput>Device-mapper (dm-crypt)</userinput>. Znovu +opakujeme: Pokud jste na pochybách, ponechejte výchozí hodnoty, +protože byly zvoleny s ohledem na bezpečnost. Neuvážená kombinace +voleb může způsobit nízkou kvalitu šifrování, které tak vytváří pouze +falešný pocit bezpečí. + +<variablelist> + +<varlistentry> +<term>Šifrování: <userinput>aes</userinput></term> + +<listitem><para> + +Touto volbou můžete vybrat šifrovací algoritmus +(<firstterm>šifru</firstterm>), jež se použije pro šifrování dat na +dané oblasti. &d-i; nyní podporuje tyto +šifry: <firstterm>aes</firstterm>, <firstterm>blowfish</firstterm>, +<firstterm>serpent</firstterm> a <firstterm>twofish</firstterm>. +Kvalita jednotlivých šifer přesahuje záběr této příručky, nicméně vám +v rozhodování může pomoci informace, že v roce 2000 byla šifra +<emphasis>AES</emphasis> zvolena americkým úřadem pro standardizaci +jako standardní šifrovací algoritmus pro ochranu citlivých dat +v 21. století. + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Velikost klíče: <userinput>256</userinput></term> + +<listitem><para> + +Zde můžete zadat délku šifrovacího klíče. Obvykle platí, že čím delší +klíč, tím větší odolnost šifry proti útokům. Na druhou stranu také +delší klíč většinou znamená menší výkon (výjimkou jsou třeba šifry +blowfish a twofish). Dostupné velikosti klíče se liší v závislosti na +konkrétní šifře. + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Algoritmus IV: <userinput>cbc-essiv:sha256</userinput></term> + +<listitem><para> + +<firstterm>Inicializační vektor</firstterm> nebo též algoritmus +<firstterm>IV</firstterm> se používá v kryptografii pro zajištění, že +aplikováním šifry na stejný <firstterm>nezašifrovaný text</firstterm> +za použití stejného klíče vždy dostaneme jiný <firstterm>šifrovaný +text</firstterm>. Cílem je zabránit útočníkovi v odvození informací na +základě opakujících se vzorků v šifrovaných datech. + +</para><para> + +Z nabízených alternativ je <userinput>cbc-essiv:sha256</userinput> +momentálně nejméně zranitelný vzhledem ke známým útokům. Ostatní +možnosti používejte pouze v případě, kdy potřebujete zaručit zpětnou +kompatibilitu s dříve instalovaným systémem, který neumí používat +novější algoritmy. + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Šifrovací klíč: <userinput>Přístupová fráze</userinput></term> + +<listitem><para> + +Zde si můžete zvolit typ šifrovacího klíče pro tuto oblast. + + <variablelist> + <varlistentry> + <term>Přístupová fráze</term> + <listitem><para> + +Šifrovací klíč bude vypočítán<footnote> +<para> + +Použití přístupové fráze jako klíče momentálně znamená, že oblast bude +používat <ulink url="&url-luks;">LUKS</ulink>. + +</para></footnote> na základě textové fráze, kterou zadáte později. + + </para></listitem> + </varlistentry> + + <varlistentry> + <term>Náhodný klíč</term> + <listitem><para> + +Nový šifrovací klíč bude vytvořen z náhodných dat pokaždé, když se +pokusíte tuto šifrovanou oblast použít poprvé od startu +systému. Jinými slovy po každém vypnutí/restartu systému bude obsah +oblasti ztracen, protože se klíč z oblasti smaže. (Samozřejmě že se +můžete pokusit uhádnout klíč hrubou silou, ale pokud v šifrovacím +algoritmu není nějaká neznámá slabina, během našeho života se to +nepodaří.) + + </para><para> + +Náhodné klíče se hodí pro odkládací oblasti, protože se pak nemusíte +trápit s pamatováním další přístupové fráze, nebo s ručním mazáním dat +z odkládací oblasti před každým vypnutím počítače. Na druhou stranu to +také znamená, že <emphasis>nebudete</emphasis> moci využít vlastnost +<quote>uspání na disk</quote>, která je součástí novějších linuxových +jader, protože při následujícím startu nebude možno obnovit obsah +operační paměti, který byl odložen fo odkládací oblasti. + + </para></listitem> + </varlistentry> + </variablelist> + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Smazat data: <userinput>ano</userinput></term> + +<listitem><para> + +Určuje, zda se má před samotným zašifrováním oblasti přepsat její +obsah náhodnými znaky. Je doporučeno tuto možnost povolit, protože +jinak by mohl útočník rozpoznat, které části oblasti se používají +a které ne. Kromě toho tím ztížíte vydolování dat, která mohla v +oblasti zůstat po předchozí instalaci<footnote><para> + +Obecně se ví, že agenti z třípísmenných agentur umí obnovit data z +magnetooptických médií i po několika přepsáních. + +</para></footnote>. + +</para></listitem> +</varlistentry> + +</variablelist> + +</para><para> + +Zvolíte-li pro nastavení šifrování možnost <userinput>Loopback +(loop-AES)</userinput>, menu se změní následovně: + +<variablelist> +<varlistentry> +<term>Šifrování: <userinput>AES256</userinput></term> + +<listitem><para> + +Na rozdíl od dm-cryptu je u loop-AES volba šifry a velkosti klíče +sloučena do jediné otázky, takže je vybíráte současně. Bližší +informace o šifrách a velikostech klíčů naleznete v předchozí části. + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Šifrovací klíč: <userinput>Soubor s klíčem (GnuPG)</userinput></term> + +<listitem><para> + +Zde si můžete zvolit typ šifrovacího klíče pro tuto oblast. + + <variablelist> + <varlistentry> + <term>Soubor s klíčem (GnuPG)</term> + <listitem><para> + +Šifrovací klíč bude vytvořen během instalace z náhodných dat. Tento +klíč bude dále zašifrován pomocí <application>GnuPG</application>, +takže abyste jej mohli používat, budete muset zadávat přístupovou +frázi (budete o ni požádáni později během instalace). + + </para></listitem> + </varlistentry> + + <varlistentry> + <term>Náhodný klíč</term> + <listitem><para> + +Přečtěte si prosím část o náhodných klíčích výše. + + </para></listitem> + </varlistentry> + </variablelist> + +</para></listitem> +</varlistentry> + +<varlistentry> +<term>Smazat data: <userinput>ano</userinput></term> + +<listitem><para> + +Přečtěte si prosím část o mazání dat výše. + +</para></listitem> +</varlistentry> + +</variablelist> + +</para><note><para> + +<emphasis>Grafická</emphasis> verze instalačního systému má stále +nějaká omezení ve srovnání s textovou verzí, což pro kryptografii +znamená, že zatím můžete vytvářet šifrované svazky, kde se jako +šifrovací klíče používají <emphasis>přístupové fráze</emphasis>. + +</para></note><para> + +Po výběru požadovaných parametrů vaší šifrované oblasti se vraťte zpět +do hlavního rozdělovacího menu, kde by měla nově přibýt položka +nazvaná <guimenu>Nastavit šifrované svazky</guimenu>. Po jejím výběru +budete požádáni o povolení smazat data na oblastech, které jste dříve +označili pro smazání. U větších oblastí může mazání dat trvat poměrně +dlouho. + +</para><para> + +Dále budete dotázáni na zadání přístupové fráze (pokud ji používáte). +Dobrá fráze by měla být delší než 8 znaků, měla by se skládat z +písmen, číslic a dalších znaků a neměla by obsahovat běžná slova ze +slovníku nebo informace, které se s vámi dají lehce spojit (jako +narozeniny, záliby, jména mazlíčků, jména členů rodiny nebo +příbuzných, apod.). + +</para><warning><para> + +Než budete zadávat samotnou frázi, měli byste se ujistit, že je +klávesnice nastavená správně a že generuje očekávané znaky. Může se +totiž stát, že se během instalace přepnete do jiného klávesového +rozložení, než budete mít k dispozici v nově nainstalovaném systému. +Doporučujeme si již dříve vyzkoušet různé klávesy v nějakém textovém +poli, případně se přepnout na druhou virtuální konzoli a napsat něco +do příkazového řádku. + +</para></warning><para> + +Pokud jste zvolili vytvoření šifrovacího klíče z náhodných dat, bude +nyní vytvořen. Protože během této časné fáze instalace ještě nemusí +mít jádro nasbíráno dostatek entropie, bude proces trvat hodně +dlouho. Proces můžete urychlit vytvořením nějaké entropie, například +mačkáním náhodných kláves, nebo přepnutím do shellu na druhé virtuální +konzoli a vytvořením síťového či diskového provozu (stahováním +nějakých souborů, kopírování velkých dat +do <filename>/dev/null</filename>, apod.). + +<!-- TODO: Mention hardware random generators when we will support + them --> + +</para><para> + +To bude zopakováno pro každou oblast označenou pro šifrování. + +</para><para> + +Po návratu do hlavního rozdělovacího menu uvidíte všechny šifrované +svazky jako další oblasti, které můžete nastavit úplně stejně jako +běžné oblasti. Následující příklad ukazuje dva různé svazky. První je +zašifrovaný pomocí dm-crypt, druhý pomocí loop-AES. + +<informalexample><screen> +Šifrovaný svazek (<replaceable>crypt0</replaceable>) - 115.1 GB Linux device-mapper + #1 115.1 GB F ext3 + +Lokální smyčka (<replaceable>loop0</replaceable>) - 515.2 MB AES256 keyfile + #1 515.2 MB F ext3 +</screen></informalexample> + +Nyní je čas přiřadit svazkům přípojné body a případně změnit ostatní +parametry, pokud vám nevyhovují (souborový systém, rezervované bloky, +atd.). + +</para><para> + +Jedna věc, kterou byste si zde měli poznačit do budoucna, jsou +kombinace identifikátorů v závorkách (v tomto +příkladu <replaceable>crypt0</replaceable> +a <replaceable>loop0</replaceable>) a přípojných bodů, které jsou ke +každému šifrovanému svazku připojeny. Tato informace se vám bude hodit +později, až budete zavádět svůj nový systém. Rozdíly mezi běžným +zaváděním systému a zaváděním se šifrovanými svazky bude včas popsáno +v kapitole <xref linkend="mount-encrypted-volumes"/>. + +</para><para> + +Až budete s rozdělením disku spokojeni, můžete pokračovat v instalaci. + +</para> + </sect3> diff --git a/cs/using-d-i/modules/partman.xml b/cs/using-d-i/modules/partman.xml index 200cd313b..f005f7cf0 100644 --- a/cs/using-d-i/modules/partman.xml +++ b/cs/using-d-i/modules/partman.xml @@ -1,5 +1,5 @@ <!-- $Id$ --> -<!-- original version: 30158 --> +<!-- original version: 38406 --> <sect3 id="partman"> <title>Rozdělení disků</title> @@ -19,12 +19,22 @@ z menu <guimenuitem>Ručně upravit tabulku oblastí</guimenuitem>. </para><para> -Pokračujete-li v automatickém rozdělování, můžete si vybrat z několika -připravených schémat rozdělení disku (viz tabulka níže). Všechny -možnosti mají svá pro a proti, některé argumenty jsou zmíněny -v dodatku <xref linkend="partitioning"/>. Pokud si nejste jisti, -zvolte první možnost. Pamatujte však, že asistované dělení vyžaduje -určitou minimální velikost volného místa, se kterým může +Zvolíte-li automatické rozdělování, měli byste mít na výběr dvě +možnosti: vytvořit oblasti přímo na disku (klasický způsob), nebo +použít Logical Volume Management (LVM). Ve druhém případě vytvoří +instalátor většinu oblastí uvnitř jedné veliké; výhoda je ta, že +oblasti uvniř této veliké oblasti pak můžete relativně jednoduše +zvětšovat a případně zmenšovat. Poznámka: LVM nemusí nemusí být +k dispozici na všech architekturách. + +</para><para> + +Pokračujete-li v automatickém rozdělování (klasickém nebo LVM), můžete +si vybrat z několika připravených schémat rozdělení disku (viz tabulka +níže). Všechny možnosti mají svá pro a proti, některé argumenty jsou +zmíněny v dodatku <xref linkend="partitioning"/>. Pokud si nejste +jisti, zvolte první možnost. Pamatujte však, že asistované dělení +vyžaduje určitou minimální velikost volného místa, se kterým může pracovat. Nemáte-li k dispozici zhruba 1GB volného místa (závisí na zvoleném způsobu dělení), asistované dělení selže. @@ -46,13 +56,13 @@ zvoleném způsobu dělení), asistované dělení selže. <entry>600MB</entry> <entry><filename>/</filename>, swap</entry> </row><row> - <entry>Desktopový počítač</entry> + <entry>Samostatná oblast pro /home</entry> <entry>500MB</entry> <entry> <filename>/</filename>, <filename>/home</filename>, swap </entry> </row><row> - <entry>Víceuživatelská pracovní stanice</entry> + <entry>Samostatné oblasti pro /home, /usr, /var a /tmp</entry> <entry>1GB</entry> <entry> <filename>/</filename>, <filename>/home</filename>, @@ -64,6 +74,12 @@ zvoleném způsobu dělení), asistované dělení selže. <para> +Pokud jste zvolili automatické rozdělení pomocí LVM, vytvoří se také +malá oblast pro <filename>/boot</filename>. Ostatní oblasti kromě +odkládací budou vytvořeny uvnitř LVM. + +</para><para> + Na další obrazovce se zobrazí tabulka rozdělení disku(ů) společně s informacemi o souborových systémech a přípojných bodech. Pokud jste provedli automatické rozdělení disku a jste s navrženým rozdělením @@ -88,23 +104,22 @@ začátku disku malá nenaformátovaná oblast pro zavaděč Seznam oblastí může vypadat třeba takto: -<!-- TODO: show some flags here (lightning, skull, smiley) --> <informalexample><screen> IDE1 master (hda) - 6.4 GB WDC AC36400L - 1. primární 16.4 MB ext2 /boot - 2. primární 551.0 MB swap swap - 3. primární 5.8 GB ntfs - pri/log 8.2 MB VOLNÉ MÍSTO + 1. primární 16.4 MB B f ext2 /boot + 2. primární 551.0 MB swap swap + 3. primární 5.8 GB ntfs + pri/log 8.2 MB VOLNÉ MÍSTO IDE1 slave (hdb) - 80.0 GB ST380021A - 1. primární 15.9 MB ext3 - 2. primární 996.0 MB fat16 - 3. primární 3.9 GB xfs /home - 5. logická 6.0 GB ext3 / - 6. logická 1.0 GB ext3 /var - 7. logická 498.8 MB ext3 - 8. logická 551.5 MB swap swap - 9. logická 65.8 GB ext2 + 1. primární 15.9 MB ext3 + 2. primární 996.0 MB fat16 + 3. primární 3.9 GB xfs /home + 5. logická 6.0 GB f ext3 / + 6. logická 1.0 GB f ext3 /var + 7. logická 498.8 MB ext3 + 8. logická 551.5 MB f swap swap + 9. logická 65.8 GB ext2 </screen></informalexample> Jak je vidět, v počítači jsou dva pevné disky rozdělené na několik @@ -147,7 +162,7 @@ obrazovky rozdělování disků. </para><para> -Pokud se rozhodnete, že chcete něco změnit na stávajícíc oblasti, +Pokud se rozhodnete, že chcete něco změnit na stávající oblasti, jednoduše ji vyberte a stiskněte &enterkey;. Ocitnete se ve stejné obrazovce jako při vytváření nové oblasti a tedy máte i stejné možnosti nastavení. Jedna věc, která nemusí být na první pohled zcela @@ -180,7 +195,16 @@ vás pokračovat. Jestliže budete ve vytváření své tabulky oblastí příliš kreativní a uvedete ji do nepoužitelného stavu, můžete se vždy vrátit do výchozího bodu volbou <guimenuitem>Vrátit zpět změny provedené na -oblastech</guimenuitem>. +oblastech</guimenuitem><footnote> + +<para> + +V určitých případech (jako je použití LVM) nebudete moci +vrátit <emphasis>všechny</emphasis> změny, protože některé z nich jsou +již zapsány na disku. Naštěstí vás však instalační program bude před +každou trvalou změnou varovat. + +</para></footnote>. </para><para> |