Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: шифрование /home или всего кроме /boot средствами ubuntu. Пара уточнений  (Прочитано 3482 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн dismal

  • Автор темы
  • Любитель
  • *
  • Сообщений: 76
    • Просмотр профиля
Для начала - да, я параноик! :D
Много гуглил и нарыл много ответов, но осталось пара темных пятен для меня. Прошу не кидать тапок и по возможности дать ответ.
ПС: имеется в виду шифрование домашнего каталога паролем первого пользователя, которое можно выбрать при установке системы(там радиобаттон спрашивать пасс\не спрашивать\ спрашивать и шифровать этим паролем дом. каталог) Речь идет об 3-ем варианте.
Итак.
1. Можно ли + имеет ли смысл: шифровать корень? как это сделать и какие есть проблемы(если есть) с этим? Это нужно выбрать при разбивке разделов в gparted? Какой пароль используется + на каком этапе он спрашивается?

2. Вопрос основной: не будет ли проблем с таким шифрованным домашним каталогом при восстановлении системы, к примеру, когда начинает сыпаться винт? Можно ли подмонтировать шифрованный дом. каталог с лайв-сд(если знать пароль разумеется)?

3. Нашел один из способов такого "монтирования" с лайв сд.
Скопирую его сюда
(Нажмите, чтобы показать/скрыть)
Такой вариант сработает при восстановлении системы с не просто упавшей системой а с поврежденной файловой системой или с присутствием битых секторов?

спасибо(помните про просьбу о тапках!  :coolsmiley:)

Оффлайн 666joy666

  • Активист
  • *
  • Сообщений: 719
  • :wq
    • Просмотр профиля
1 Да, какой то смысл имеет (у меня вторая система на шифрованном root) Выбрать нельзя...все ручками, пароль не обязательно, можно юзать key-file на USB, к примеру, есть просто пароль, он будет спрошен ДО начала монтирования root раздела (Да, я имею ввиду luks)
2.Зная пароль, проблем не будет, не знаешь, скажи всему пока...если будет сыпаться, проблемы будут такие же как и при обычном разделе (да, снова luks, блочное устройство, и поверх любая ФС) . Да, зная пароль и имея нормальный live-cd можно спокойно смонтировать.
3. Судя по всему, это монтирование каталога средством стандартной утилиты шифрования ubuntu, она шифрует на уровне файлов...если luks, тоже можно через live-cd, но опять, все ручками но там иначе, и в чем то даже проще.

Оффлайн dismal

  • Автор темы
  • Любитель
  • *
  • Сообщений: 76
    • Просмотр профиля
спасибо за ответ. Как я понял - если хочу шифровать корень, то копать в сторону luks. С свопом как я понимаю дело обстоит также? :coolsmiley:
Возник один вопрос - как(точнее когда) происходит шифрование?
на ходу? при выключении?
Т.е. если комп работает, я его выключаю кнопкой без предварительного завершения работы системы - то все файлы остаются шифрованными?

Оффлайн 666joy666

  • Активист
  • *
  • Сообщений: 719
  • :wq
    • Просмотр профиля
спасибо за ответ. Как я понял - если хочу шифровать корень, то копать в сторону luks. С свопом как я понимаю дело обстоит также? :coolsmiley:
Возник один вопрос - как(точнее когда) происходит шифрование?
на ходу? при выключении?
Т.е. если комп работает, я его выключаю кнопкой без предварительного завершения работы системы - то все файлы остаются шифрованными?
Все просто, свап настроить на шифрование это минут 5...Проходит просто, к примеру тот же root..
1 Загружается ядро (и модули, зависит от настройки)
2 luks открывает раздел, требуя пароль или ключ..
3 Согласно fstab монтируется корневая ФС (на ubuntu возможно еще стоит посмотреть на /etc/crypttab )
4 Загружается обычная система
Выключение...оно отмонтирует все что можно, или если нет переведет в ro (read-only) и вырубит...в основном все зависит от ФС, остнутся файлы, или нет.
Еще интересный момент,  возможно падение скорости записи (вполне очевидно), например как это у меня...
root ~ #  cryptsetup status arch
/dev/mapper/arch is active:
  cipher:  serpent-cbc-essiv:sha256
  keysize: 256 bits
  device:  /dev/sda7
  offset:  2056 sectors
  size:    20480756 sectors
  mode:    read/write
root ~ #  hdparm -Tt /dev/mapper/arch

/dev/mapper/arch:
 Timing cached reads:   2170 MB in  2.00 seconds = 1085.40 MB/sec
 Timing buffered disk reads:   90 MB in  3.06 seconds =  29.45 MB/sec
root ~ #  hdparm -Tt /dev/sda3

/dev/sda3:
 Timing cached reads:   2218 MB in  2.00 seconds = 1108.44 MB/sec
 Timing buffered disk reads:  276 MB in  3.02 seconds =  91.49 MB/sec
На /dev/mapper/arch как ФС установлена ext3, на /dev/sda3 стоит btrfs, это так же играет роль, но разница все же заметна, что шифрованный раздел медленней...
Так же, я думаю, вам будет интересно почитать вот это.
« Последнее редактирование: 07 Августа 2010, 19:12:15 от 666joy666 »

Оффлайн dismal

  • Автор темы
  • Любитель
  • *
  • Сообщений: 76
    • Просмотр профиля
хороший мануал, читал его, но потом потерял и не смог найти. спасиб
по ходу возникло пару вопросов.
1. если шифровать свап случайным паролем - то как будет проходить гибернейт? озу сохранится в свап, а свап шифрованный и пароль не известен. Комп вырубается и ОЗУ обнуляется. Данные об сессии остаются в шифрованном свапе. Итого два варианта как я понимаю - свап остается мертвым грузом и уже не расшифровывается или пароль от свапа сохраняется где-то на винте, что не есть гуд.
Вы не в курсе как и что происходит в таком случае?

2. Пока склоняюсь к простой шифровке /home которая настраивается при установке системы. Для домашнего каталога как я понял это самый простой способ.
Я правильно понимаю, что ничего не меняется от того, что /home монтирован отдельным разделом?

3. Что из важной инфы хранится в корне? как я понимаю все пассы, логи и прочее хранится в дом. директории, это так? Если есть то, что нужно скрыть в корне - скажите что, поделитесь опытом, пожалуйста))

спасибо за ответы

ПС: файловой системой планируется ext4 с журналом

ППС: я правильно понял - при резком выключении компа из розетки часть инфы останется не зашифрованной?
« Последнее редактирование: 07 Августа 2010, 19:27:48 от dismal »

Оффлайн 666joy666

  • Активист
  • *
  • Сообщений: 719
  • :wq
    • Просмотр профиля
1 Увы, про гипернацию и все в этом духе не знаю, ибо мне это было не нужно  8)  А просто "почитать" можно тут
2 Да, это самый простой способ, а то что отдельным разделом это даже лучше.
3 Как это ? там все важно.... boot,bin.sbin.var,usr,opt,etc и прочие...

Цитировать
ППС: я правильно понял - при резком выключении компа из розетки часть инфы останется не зашифрованной?
Нет, они могут просто не сохраниться...
« Последнее редактирование: 07 Августа 2010, 19:52:41 от 666joy666 »

Оффлайн dismal

  • Автор темы
  • Любитель
  • *
  • Сообщений: 76
    • Просмотр профиля
понял:) спасибо за ответы
решил просто /home зашифровать и все.  +Блокировка экрана на хоткее - и для моей паранойи этого будет достаточно.:)
спасибо

 

Страница сгенерирована за 0.064 секунд. Запросов: 23.