Создание и использование в облаке криптоконтейнера LUKS (dm-crypt)

[ivanrus]

Да, это определенно создает проблемы:

возникает автоматическое ограничение на хранение файлов с очень длинными именами

[Uzer22]

Да, у меня домашняя директория зашифрована ecryptfs-utils (eCryptFS) с помощью cryptsetup.

Путаница из-за - "Для создания LUKS-совместимых шифрованных дисков предназначена утилита под названием cryptsetup-luks, которая в отдельных дистрибутивах (например, Ubuntu) ловко замаскирована под обычную cryptsetup."

На счёт ограничения в 150 символов не знаю, у меня файл с заглавием книги в десяток или чуть более слов уже не влезает.

Но вроде можно и домашний раздел зашифровать с помощью LUKS.

Вот что видел где-то в интернете:

"Собственно, сами команды:

/dev/sdaN - раздел, который будет зашифрован и станет домашним;
name - имя, эдакая метка зашифрованного раздела.

В моём случае N=3; name=home; файловая система - ext3; текстовый редактор - vim


0. apt-get install dmsetup cryptsetup fuse-utils

1. mkfs -t ext3 /dev/sdaN

2. dd if=/dev/urandom of=/dev/sdaN

3. cryptsetup -c aes-cbc-essiv:sha256 -s 256 luksFormat /dev/sdaN


YES

вводим два раза пароль для зашифровки раздела

4. vim /etc/crypttab
добавляем строчку:

name /dev/sdaN none luks,cipher=aes-cbc-essiv:sha256


5. /etc/init.d/cryptdisks restart

6. mkfs -t ext3 /dev/mapper/name

7. vim /etc/fstab

комментируем строку с /home, если она была;
добавляем другую:
/dev/mapper/name /home ext3 defaults


8. mkdir /mnt/home; mount /dev/mapper/home /mnt/home


9. cp -rfax /home/* /mnt/home/


10. reboot
когда очередь дойдёт до монтирования файловых систем, автоматически запустится служба cryptdisks и попросит ввести пароль от зашифрованного домашнего раздела:

11.Enter LUKS passphrase:

Введя правильный пароль, раздел подмонтируется.
При вводе неправильного пароля предложение о вводе пароля будет выводиться снова и снова.
Но если монтировать зашифрованный раздел не требуется, то достаточно нажать ctrl-d при предложении ввести пароль - загрузка системы продолжится без монтирования зашифрованного раздела."

Что вы думаете по этому поводу?

[Spect]

Я несколько лет шифрую home (выделяя под него отдельный раздел), как при инсталле (было в алтернате), так и можно это после установки сделать(а начиная с 13.04 это включено в decktop-образ штатно). Есть подробная дока в вики и множество тем на форуме.
Но к данной теме это не имеет отношения. Хотите обсуждать - создавайте отдельную тему.

[Spect]

Попалась статья https://help.ubuntu.com/community/ResizeEncryptedPartitions, проверю при случае вопрос "изменение размера контейнера". Тут изложено "для раздела". По описанию, все просто.

[Dfg]

Не совсем понял, сам контейнер откуда  монтируется? Из облака или локально?

[Spect]

Для дропбокса - естественно, локально. Иное - пробуй
Пользователь решил продолжить мысль 28 Июня 2014, 03:53:22:Увеличить размер контейнера.

(Нажмите, чтобы показать/скрыть)

Первоначальный размер, был в статье - 50м. При смонтированом контейнере посмотреть место:
df -h | grep container 
Файл.система           Размер Использовано  Дост Использовано% Cмонтировано в
/dev/mapper/container     43M         802K   41M            2% /home/user/private

   1. Все отключено.
   2. Увеличим развер файла-контейнера (на 50M)
dd if=/dev/urandom bs=1M count=50 >> /home/user/.private/container.crt
   3. открываем

(Нажмите, чтобы показать/скрыть)

sudo cryptsetup luksOpen /home/user/.private/container.crt -d /home/user/keys/container.key container

      увеличиваем размер контейнера (на все добавленное место)
sudo cryptsetup resize container
   4. проверка ФС
sudo e2fsck -f /dev/mapper/container
   5. увеличение размера ФС (на все добавленное место)
sudo resize2fs -p /dev/mapper/container

(Нажмите, чтобы показать/скрыть)

Вывод примерно такой:
user@user:~$ sudo e2fsck -f /dev/mapper/container
e2fsck 1.42 (29-Nov-2011)
Проход 1: Проверка inodes, блокs, а также размеров
Pass 2: Checking каталог structure
Pass 3: Checking каталог connectivity
Pass 4: Checking reference counts
Pass 5: Checking группа summary information
container: 14/12288 files (7.1% non-contiguous), 6455/49152 blocks

user@user:~$ sudo resize2fs -p /dev/mapper/container
resize2fs 1.42 (29-Nov-2011)
Resizing the filesystem on /dev/mapper/container to 100352 (1k) blocks.
Begin pass 1 (max = 7)
Увеличение таблицы inod'овXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
The filesystem on /dev/mapper/container is now 100352 blocks long.

Монтируем и смотрим.

(Нажмите, чтобы показать/скрыть)

sudo mount /dev/mapper/container /home/user/private
df -h дает
Файл.система           Размер Использовано  Дост Использовано% Cмонтировано в
/dev/mapper/container     91M         1,2M   88M            2% /home/user/private

[Spect]

Дописал в статью
1. Правки. При проверке статуса контейнера и открытии - вывод в сообщении "Занято: "`df -h | grep private | awk '{print $5}'` (сколько в процентах занято места)
2. Добавлен раздел Увеличение размера и в список литературы статья, указанная выше.

(Нажмите, чтобы показать/скрыть)

ээээ, подумал и поправил заголовок на "Увеличение размера (контейнера)", а то как-то так

[Spect]

Дополнено.
По просьбе. Раздел "Использование контейнера" добавлен пунктом меню "Открываем с паролем". При этом не используется файл-ключ, выдается окно терминала с запросом на ввод пароля.

[Spect]

Опция luksAddNuke - в cryptsetup-1.6.1 (эта версия в 14.04 идет изначально). Надо попробовать для контейнера.
Задействует "самоуничтожение" - происходит очистка keyslots и крипторазделу ква.
Для "облака" и контейнера - можно вытащить "последнюю модификацию". Пишут, есть вариант бекапа ключей (тогда можно восстановить).

Статьи
http://thecurrent.ru/entry/kali-linux-dobavlyaem-krasnuyu-knopku-dlya-samounichtozheniya-kali.html
http://www.linuxbsdos.com/2014/01/14/apply-the-nuke-patch-to-luks-cryptsetup-in-linux-mint-16-and-ubuntu-13-10/

[oermolaev]

Другими словами, появилась возможность добавить пароль, при вводе которого все данные будут уничтожены, а не расшифрованы.

При условии что вы не делали бекапов заголовков шифрованных томов 

[Spect]

oermolaev,
для контейнера - есть в облаке цепочка "старых версий", то есть можно "вернуть последнюю" Для  раздела - да, только  бекап

(Нажмите, чтобы показать/скрыть)

luksHeaderBackup <device> --header-backup-file <file>
              Stores binary backup of LUKS header and keyslot areas.
              WARNING:  Please  note  that  with  this  backup  file  (and old
              passphrase  knowledge)  you  can  decrypt  data  even   if   old
              passphrase was wiped from real device.
              Also note that anti-forensic splitter is not used during manipu‐
              lation with backup file.

luksHeaderRestore <device> --header-backup-file <file>
              Restores binary backup of LUKS header  and  keyslot  areas  from
              specified file.
              WARNING:  All  the  keyslot  areas  are overwritten, only active
              keyslots form backup file are available after issuing this  com‐
              mand.
              This  command  allows  restoring header if device do not contain
              LUKS header or if the master key size and data  offset  in  LUKS
              header on device match the backup file.

Подключил облако Copy. Все аналогично dropbox. Надо еще что-то третье и "синхрить оптом". Тогда имеем
- локальный контейнер
- три копии в разных "облаках".
При потере локала и внезапном исчезновении одного из облачных провайдеров - все равно остаются 2 копии Это уже представляется мне надежным.
- можно запутаться с синхронизацией

[oermolaev]

...Подключил облако Copy. Все аналогично dropbox. Надо еще что-то третье и "синхрить оптом"...

у тебя же в майле терабайт? не?

[Spect]

майл - имхо, стремноватый ресурс. Не для бекапов-контейнеров.

[oermolaev]

майл - имхо, стремноватый ресурс. Не для бекапов-контейнеров.

блин, но ведь тема шифрования как раз и интересна что бы было без разницы где хранить

[Spect]

Но требуется "отсуствие сбоев при синхронизации". Или уже майлру беспроблемно?