Шифрование диска, или отдельного каталога?

[asp2chief]

Дратуйте. Собсно есть прицидент. Пробовал защифровать весь каталог и понял что вариант не подходит, так как шифруется весь LVM и получается что система даже не стартует пока не введешь заветный code. В конечном итоге интересует другой способ шифрования, особенно тот который позволит системе загружаться без ожидания на ввод пароля, если это целесообразно тогда вообще делать.

[pfg21]

Мож выделить место на диске или в lvm под шифрованный раздел, форматнуть, шифрануть, добавить соль по вкусу и подключить на место нужного каталога в fstab, получается каталог с шифрацией ??

[bezbo]

интересует другой способ шифрования

Код: [Выделить]

mount -t ecryptfs [SRC DIR] [DST DIR] -o [OPTIONS]
man ecryptfs

[AnrDaemon]

если это целесообразно тогда вообще делать.

Уточните, с какой вообще целью шифруете?

[asp2chief]

Я понял что выгодно шифровать только весь раздел целиком, либо вообще не шифровать, так как во всех остальных случаях шифрование не имеет смысла..

[pfg21]

asp2chief, неправильно. инструмент должен соотвествовать задуманному.
когда удобнее пофайлово шифровать, когда по раздельно,

[AnrDaemon]

Я понял что выгодно шифровать только весь раздел целиком, либо вообще не шифровать, так как во всех остальных случаях шифрование не имеет смысла..

В чём меряем выгоду?

[pfg21]

AnrDaemon, система шифрования отдельных файлов более проста и привычна, если так можно выразиться, т.е. результат шифрования помещается в файл который доступен обычным методам обработки.
к примеру, нормально работает файловый бекап без доступа к ключу шифрования, при этом без каких-либо доп.заморочек и со всеми плюшками типа инкремента.

бекап шифрованного раздела без ключа возможен только в оффлайн (хотя могу ошибаться).

плюс шифрованные файлы можно хранить в обычном файловом облаке или на удаленке без лишних заморочек и т.д. да и вообще место для хранения может собрано из нескольких файловых систем или облаков.

идеальных инструментов нет, есть правильное применение необходимого инструмента .

[AnrDaemon]

Инкрементальный бэкап зашифрованного файла? Ню-ню…
К тому же я задал другой вопрос… впрочем, вопрос вообще не об этом.

[pfg21]

Инкрементальный бэкап зашифрованного файла? Ню-ню…

пардон коль неполноценно высказался.
инкрементальный бекап набора файлов я имел ввиду. пример, на работе есть библиотечка файлов на пару гигабайт, множество мелких файлов с схемами и платами к ним. полный диф за месяц ни разу не капливался больше 100 мегабайт.

[asp2chief]

У меня цель шифровать весь диск, включая своп. Т.е. весь раздел. Такое требование, так скажем. По скольку полноценных способов, которые обеспечивают реальную безопасность - всего один, это когда шифруется весь LVM. Все остальные способы в принципе компрометируют весь процесс шифрования. Проблема в том что система не грузится автоматически в таком режиме, так как ждет магическую фразу. Остальные все нестандартные методы шифрования не имеют смысла быть использованы на объектах в безопасности которых я не уверен, а я не уверен в данный момент. Так как мало чего можно ожидать в наше время.

В общем нужно сделать так что бы потенциальный расшифровщик не мог получить доступ к информации на диске ни под каким предлогом, и так же главным образом ни в коем случае не иметь физической возможности каким либо образом получить ключ(которого по сути вообще не должно существовать физически на каких либо носителях).

[AnrDaemon]

Что-то вы какую-то пургу несёте.
Если что-то шифруется, это шифруется, и не важно, где и куда - результат один и тот же.
Если у вас зашифрован системный раздел, вполне естественно, что загрузиться, не введя, ключа не выйдет - иначе пропадает сам смысл шифрования раздела. Если кто угодно может расшифровать и загрузить систему, этот кто угодно может и прочесть все файлы.
Я понимаю, зачем нужно шифровать, скажем, своп. Но я совершенно не понимаю, зачем шифровать свободно доступные программы?… Процессорное время лишнее?

[snowin]

asp2chief, veracrypt не смотрел?

[asp2chief]

Но я совершенно не понимаю, зачем шифровать свободно доступные программы?

Смотря что за программы и какую роль они выполняют.

Процессорное время лишнее?

Скажем так: да!
Пользователь добавил сообщение 21 Апреля 2018, 10:20:00:

asp2chief, veracrypt не смотрел?

Смотрел.. сложно сильно. Не сталкивался, по этому прийдется изучат с нуля. На самом деле нечто подобное и нужно.

[AnrDaemon]

По мне, проще шифровать rootfs контейнера.