Шифрование для раздела/папки/файла: HowTo?

[amplua]

Докупил пару терабайт памяти -- повод переставить систему, задумался "а не зашифровать ли"?Как лучше зашифровать раздел (1-2 Тб)? 
Дабы обезопасить себя от возможности "стырить" кем-либо без разрешения.  Использовать диск хочется на лету (без подключений в терминали или ввода пароля при сохранении туда файла из левого приложения), а не как медленное но безопасное хранилище. шпионского и т.п. нету 

Спасибо за ссылки. Разбираюсь в eCryptfs -- ближайший вариант. 
Друзья, немного не в ту степь...  обобщаю интересующую всех задачу.

Как шифровать внешний жесткий / большую флешку (например) с условиями:
1) Кроме расшифровки ключом просмотреть данные нельзя (то есть файлы/разделы хранятся в зашифрованном виде)
2) Можно подключить к другой системе (если умерло железо / система, можно подключить к другой)
3) Данными можно "пользоваться" как папкой/разделом в Ubuntu, напр. через Nautilus (не требуется каждый файл вручную шифровать/дешифровать при копировании)


Кто подскажет? 

[vlrv]

В Ubuntu есть eCryptfs, можно включить шифрование домашней папки прямо во время установки или на любую другую папку после установки.

[Platon]

http://liberatum.ru/exclusive/prostoe-i-udobnoe-shifrovanie-dannykh-s-pomoshchyu-encfs
http://liberatum.ru/exclusive/promyshlennaya-kriptografiya-na-sluzhbe-u-linuksoida

http://www.truecrypt.org/

[amplua]

http://liberatum.ru/exclusive/prostoe-i-udobnoe-shifrovanie-dannykh-s-pomoshchyu-encfs
http://liberatum.ru/exclusive/promyshlennaya-kriptografiya-na-sluzhbe-u-linuksoida

http://www.truecrypt.org/

Спасибо за линки, перечитал. Но ищу что-то без кнопок "зашифровать" - "расшифровать". Тут алгоритм пользоваться как диском, а если диск вынять -- зашифровано )
Пользователь решил продолжить мысль 24 Июня 2012, 23:58:10:

В Ubuntu есть eCryptfs, можно включить шифрование домашней папки прямо во время установки или на любую другую папку после установки.

Шифрование домашней пробовал -- руки не дошли разобраться полностью. правда.
А можно подробнее (в двух словах) про шифрование любой другой потом?

[vlrv]

А можно подробнее (в двух словах) про шифрование любой другой потом?

http://www.ashep.org/2012/ecryptfs-i-shifrovanie-domashnego-kataloga-v-linux/

[Platon]

http://liberatum.ru/exclusive/prostoe-i-udobnoe-shifrovanie-dannykh-s-pomoshchyu-encfs
http://liberatum.ru/exclusive/promyshlennaya-kriptografiya-na-sluzhbe-u-linuksoida

http://www.truecrypt.org/

Спасибо за линки, перечитал. Но ищу что-то без кнопок "зашифровать" - "расшифровать". Тут алгоритм пользоваться как диском, а если диск вынять -- зашифровано )

В принципе, если на диск целиком(Использовать весь диск) поставить Linux, то  результат и без особых заморочек с шифрованием будет достигнут(стандартными средствами SELinux): из Win диск (без дополнительных утилит) будет видется как размеченный в неизвестный(нечитаемый) формат, а из другого линукса разделы будут видны, но /home без привелегий владельца (того кому он принадлежит или группе владельца) не просмотришь - в лучшем случае будут видны имена папок, сами папки будут открываться в соответствии с тем как были заданы права чтения => Любая папка =>Свойства=>Права.
Пользователь решил продолжить мысль 25 Июня 2012, 12:50:13:Установка Ubuntu на внешний HDD

[vlrv]

Platon, если подключить такой диск к другой линукс-системе или загрузиться с лив-сд вы получите полный доступ к любым файлам вне зависимости от выставленных прав. Так что называть это аналогом шифрования какбы слишком опрометчиво.

[Platon]

Platon, если подключить такой диск к другой линукс-системе или загрузиться с лив-сд вы получите полный доступ к любым файлам вне зависимости от выставленных прав. Так что называть это аналогом шифрования какбы слишком опрометчиво.

Я и не называл это полноценным аналогом шифрования, однако у меня есть диск с системой во внешнем боксе(SELinux в нем настроен, таким образом, что просматривать содержимое /home и тем более изменять может только Platon, доступ на исполнение только к одельным папкам вроде Музыка) с Live-CD или из OpenSUSE(в ней судоер с др. именем и идентификатором) /home на внешнем виден, но при открывании - пустота(нет прав доступа на просмотр) при физ.доступе непосредственно к носителю можно: Соэдать одноименного пользователя с идентичным параметрами (UID и Pass) примонтировать диск и получить таки права, но это уже многоходовая последовательность. 

[vlrv]

Platon, зачем одноименый пользователь? Рут новой системы получит доступ ко всему.

[Platon]

Platon, зачем одноименый пользователь? Рут новой системы получит доступ ко всему.

Root владеет собственным /home, а я говорю о хомяке на внешнем носителе с предварительно настроенными опциями прав доступа

по-молчанию стоит право на просмотр и для остальных => выставляем НЕТ ДОСТУПА, теперь пока я не воссоздам под рутом новой системы своего пользователя - доступ будет закрыт(и для рута в числе прочих).

[censor]

рут в сторонней системе может изменить настройки прав доступа как ему это надо, так что это не вариант для защиты данных.
шифрование не дураки придумали если что.

[rapidsp]

А хранение ключа шифрования на смарт-карте/токене никто не пробовал?

[absent]

по-молчанию стоит право на просмотр и для остальных => выставляем НЕТ ДОСТУПА, теперь пока я не воссоздам под рутом новой системы своего пользователя - доступ будет закрыт(и для рута в числе прочих).

рут имеет все права (то есть вообще все). эти "НЕТ ДОСТУПА" только для обычных пользователей. и никто не мешает зайти от рута, переткнуть диск на другой компьютер либо загрузиться с LiveCD и просмотреть все Ваши тайные тайны.
так что только шифрование.

а, да, могу предложить ещё один замечательный способ - написать свою fs и паролей не надо, хотя raw доступ к диску всё равно никто не отменял.

[Platon]

ТС интересовался как обеспечить защиту раздела без запросов авторизации(crypt/descrypt), самым простым способом скрыть содержимое раздела или отдельной директории от любопытных обывателей был мой пример с встроенным SELinux(о его преимуществах и недостатках в сранении с шифрованием: созданием криптоконтейнеров с множественным дном, созданием фейковых ОС и прочих хитостей, спорить не буду), если обратили внимание я давал ссылки на алгоритмы промышленного шифрования и TrueCrypt, но, что касается скрытого (без парольного) запуска иденетификаторов "свой/чужой" - ИМХО они практически все специфически аппаратные(кей-стик с ЭЦП, фингерпринт, скан сетчатки). 
Пользователь решил продолжить мысль 25 Июня 2012, 17:42:26:

А хранение ключа шифрования на смарт-карте/токене никто не пробовал?

Плюсую

[Spect]

Пробовал несколько вариантов, имхо самое простое и "быстрое в работе" - LVM+LUKS, шустрее труекрипта. Если неохота "строить все" - ставить с альтернате-образа, мануал http://www.linuxbsdos.com/2011/05/10/how-to-install-ubuntu-11-04-on-an-encrypted-lvm-file-system/2/ и для 12.04 все точно так же.
Можно криптовать раздел, можно "все" и оставить загрузчик+кей+бут "на флешке".  Правда, после обнов /boot - каждый раз снимать копию флехи Потеряешь - ничем не откроешь сам потом.