шифрование /home или всего кроме /boot средствами ubuntu. Пара уточнений

[dismal]

Для начала - да, я параноик!
Много гуглил и нарыл много ответов, но осталось пара темных пятен для меня. Прошу не кидать тапок и по возможности дать ответ.
ПС: имеется в виду шифрование домашнего каталога паролем первого пользователя, которое можно выбрать при установке системы(там радиобаттон спрашивать пасс\не спрашивать\ спрашивать и шифровать этим паролем дом. каталог) Речь идет об 3-ем варианте.
Итак.
1. Можно ли + имеет ли смысл: шифровать корень? как это сделать и какие есть проблемы(если есть) с этим? Это нужно выбрать при разбивке разделов в gparted? Какой пароль используется + на каком этапе он спрашивается?

2. Вопрос основной: не будет ли проблем с таким шифрованным домашним каталогом при восстановлении системы, к примеру, когда начинает сыпаться винт? Можно ли подмонтировать шифрованный дом. каталог с лайв-сд(если знать пароль разумеется)?

3. Нашел один из способов такого "монтирования" с лайв сд.
Скопирую его сюда

(Нажмите, чтобы показать/скрыть)

Скрипт монтирования зашифрованного домашнего каталога вручную:



sudo -i

LOGIN="________имя_пользователя________"

WRAPPED_PASSPHRASE_FILE="/home/$LOGIN/.ecryptfs/wrapped-passphrase"
ecryptfs-unwrap-passphrase $WRAPPED_PASSPHRASE_FILE

PASSPHRASE="________парольная_фраза________"

printf "%s" "$PASSPHRASE" | ecryptfs-add-passphrase --fnek -
MOUNT_PASSPHRASE_SIG_FILE="/home/.ecryptfs/$LOGIN/.ecryptfs/Private.sig"
ECRYPTFS_SIG="$(sed -n 1p $MOUNT_PASSPHRASE_SIG_FILE)"
ECRYPTFS_FNEK_SIG="$(sed -n 2p $MOUNT_PASSPHRASE_SIG_FILE)"

mount.ecryptfs /home/.ecryptfs/$LOGIN/.Private /mnt \
-o ecryptfs_passthrough=n,\
ecryptfs_cipher=aes,\
ecryptfs_key_bytes=16,\
ecryptfs_enable_filename_crypto=y,\
ecryptfs_sig=$ECRYPTFS_SIG,\
ecryptfs_fnek_sig=$ECRYPTFS_FNEK_SIG,\
passphrase_passwd=$PASSPHRASE

Такой вариант сработает при восстановлении системы с не просто упавшей системой а с поврежденной файловой системой или с присутствием битых секторов?

спасибо(помните про просьбу о тапках!  )

[666joy666]

1 Да, какой то смысл имеет (у меня вторая система на шифрованном root) Выбрать нельзя...все ручками, пароль не обязательно, можно юзать key-file на USB, к примеру, есть просто пароль, он будет спрошен ДО начала монтирования root раздела (Да, я имею ввиду luks)
2.Зная пароль, проблем не будет, не знаешь, скажи всему пока...если будет сыпаться, проблемы будут такие же как и при обычном разделе (да, снова luks, блочное устройство, и поверх любая ФС) . Да, зная пароль и имея нормальный live-cd можно спокойно смонтировать.
3. Судя по всему, это монтирование каталога средством стандартной утилиты шифрования ubuntu, она шифрует на уровне файлов...если luks, тоже можно через live-cd, но опять, все ручками но там иначе, и в чем то даже проще.

[dismal]

спасибо за ответ. Как я понял - если хочу шифровать корень, то копать в сторону luks. С свопом как я понимаю дело обстоит также?
Возник один вопрос - как(точнее когда) происходит шифрование?
на ходу? при выключении?
Т.е. если комп работает, я его выключаю кнопкой без предварительного завершения работы системы - то все файлы остаются шифрованными?

[666joy666]

спасибо за ответ. Как я понял - если хочу шифровать корень, то копать в сторону luks. С свопом как я понимаю дело обстоит также?
Возник один вопрос - как(точнее когда) происходит шифрование?
на ходу? при выключении?
Т.е. если комп работает, я его выключаю кнопкой без предварительного завершения работы системы - то все файлы остаются шифрованными?

Все просто, свап настроить на шифрование это минут 5...Проходит просто, к примеру тот же root..
1 Загружается ядро (и модули, зависит от настройки)
2 luks открывает раздел, требуя пароль или ключ..
3 Согласно fstab монтируется корневая ФС (на ubuntu возможно еще стоит посмотреть на /etc/crypttab )
4 Загружается обычная система
Выключение...оно отмонтирует все что можно, или если нет переведет в ro (read-only) и вырубит...в основном все зависит от ФС, остнутся файлы, или нет.
Еще интересный момент,  возможно падение скорости записи (вполне очевидно), например как это у меня...

Код: [Выделить]

root ~ #  cryptsetup status arch
/dev/mapper/arch is active:
  cipher:  serpent-cbc-essiv:sha256
  keysize: 256 bits
  device:  /dev/sda7
  offset:  2056 sectors
  size:    20480756 sectors
  mode:    read/write
root ~ #  hdparm -Tt /dev/mapper/arch

/dev/mapper/arch:
 Timing cached reads:   2170 MB in  2.00 seconds = 1085.40 MB/sec
 Timing buffered disk reads:   90 MB in  3.06 seconds =  29.45 MB/sec
root ~ #  hdparm -Tt /dev/sda3

/dev/sda3:
 Timing cached reads:   2218 MB in  2.00 seconds = 1108.44 MB/sec
 Timing buffered disk reads:  276 MB in  3.02 seconds =  91.49 MB/sec
На /dev/mapper/arch как ФС установлена ext3, на /dev/sda3 стоит btrfs, это так же играет роль, но разница все же заметна, что шифрованный раздел медленней...
Так же, я думаю, вам будет интересно почитать вот это.

[dismal]

хороший мануал, читал его, но потом потерял и не смог найти. спасиб
по ходу возникло пару вопросов.
1. если шифровать свап случайным паролем - то как будет проходить гибернейт? озу сохранится в свап, а свап шифрованный и пароль не известен. Комп вырубается и ОЗУ обнуляется. Данные об сессии остаются в шифрованном свапе. Итого два варианта как я понимаю - свап остается мертвым грузом и уже не расшифровывается или пароль от свапа сохраняется где-то на винте, что не есть гуд.
Вы не в курсе как и что происходит в таком случае?

2. Пока склоняюсь к простой шифровке /home которая настраивается при установке системы. Для домашнего каталога как я понял это самый простой способ.
Я правильно понимаю, что ничего не меняется от того, что /home монтирован отдельным разделом?

3. Что из важной инфы хранится в корне? как я понимаю все пассы, логи и прочее хранится в дом. директории, это так? Если есть то, что нужно скрыть в корне - скажите что, поделитесь опытом, пожалуйста))

спасибо за ответы

ПС: файловой системой планируется ext4 с журналом

ППС: я правильно понял - при резком выключении компа из розетки часть инфы останется не зашифрованной?

[666joy666]

1 Увы, про гипернацию и все в этом духе не знаю, ибо мне это было не нужно    А просто "почитать" можно тут
2 Да, это самый простой способ, а то что отдельным разделом это даже лучше.
3 Как это ? там все важно.... boot,bin.sbin.var,usr,opt,etc и прочие...

ППС: я правильно понял - при резком выключении компа из розетки часть инфы останется не зашифрованной?

Нет, они могут просто не сохраниться...

[dismal]

понял:) спасибо за ответы
решил просто /home зашифровать и все.  +Блокировка экрана на хоткее - и для моей паранойи этого будет достаточно.
спасибо