Используем encfs для "прозрачного" шифрования данных в облаках

[Spect]

oermolaev,
а я что допер - мой контейнер 3-5 раз за день "обновляется".. А дропбокс хранит цепочку "файлы предыдущих версий" То есть файл-постоянно-ежедневно-обновляемый - палится как "контейнер"

[oermolaev]

Палится перед кем? Перед спецслужбами? Возможно. Одна из причин почему в EncFS имена файлов предлагается не шифровать.

[Spect]

Спецслужб как-то я не особо опасаюсь.. Как писали на хабре, одна из типовых точек зрения "я ничо такого не делаю, я им на фиг сдался" - это про меня А вот когда знакомый сдавал некриптованый винт - точнее, комп в сервайс  и винт не снял, и все учетки поперли хз кто - типа вот такая ситуация, мне неприятно.
Более интересна мне схема синхры данных "по трем облакам". Как я упоминал, одно облако может в любой момент удалить мою учетку. В течении последних лет пяти такое происходило и даже случаи запрета и отключения "всего сервиса" были. Если я хочу построить схему какого-то "резервирования конфиденциальной моей инфы" в облаках - тут я создаю каталог "cloud", утром и вечером - синхра последовательно по трем облакам - это кажется существенно надежней.
Эта тема становится актуальной почему? Развивается интернет-банкинг. Параллельно - развивается фишинг. Одно дело "мои фотки", "мои игрушки", а другое дело "мои деньги". Есть разница?

[oermolaev]

Spect,
на счет трех облаков: у меня только дома три компьютера сихнронизируют одно и тоже облако Дропбокса, да на рабочем компе ещё.. Даже если сам Дропбокс крякнет - у меня данные останутся хоть на каком то компьютере. Мне кажется что дублироваться в облаках резона нет. Ведь всегда вторая копия имеется локально.
Другое дело Облако майл.ру 100 гб: "ПРОСТО, БЕСПЛАТНО, НАВСЕГДА" - его слоган - позволяет именно освободить свои носители от особо громоздкой информации. Например, складывать туда полные бекапы - ведь маловероятно что локальная система рухнет одновременно с облачным сервисом? Но в этом плане мне больше нравится яндекс с его поддержкой webdav.

(Нажмите, чтобы показать/скрыть)

Кстати, из всей инфы что у меня есть, для меня дороже всего "Мои фотки" - я для них даже программный райд поднял на домашнем компе. А за "мои деньги" мне переживать особо не приходится (в смысле у меня их не много )

[Sly_tom_cat]

Против "палиться" самое хорошо спрятанное должно лежать прямо перед носом интересующихся.
Берем контейнер (желательно такой как в TrueCrypt - где содержимое никак не идентифицируется и больше всего похоже на случайный поток байт), делаем у него не кратный размер, кладем в файл с каким-то ни о чем не говорящим (в первую очередь виндузодно-ориентированному разуму) расширением в кучу других файлов с подобными расширениями. И не забываем обновлять вместе с контейнером еще выборочно некоторые файлы в своем облаке.
Даже понять что это ваш криптоконтейнер - будет трудно. А лежит он в облаке, на "видном месте".

[Spect]

Вот, кстати, попалось - совпадает с моими выводами про "документы в облаке" 5 самых распространенных мифов об инсайде

[oermolaev]

При добавлении третьего компьютера для синхронизации, столкнулся с некоторыми сложностями с облаком mail.ru, о чём записал в конце статьи.

[oermolaev]

По скольку эта тема затевалась в первую очередь ради использования облака mail.ru, то надо сказать что автоматической синхронизации в нем пока нет. Поэтому, при изменении содержимого локальных каталогов без синхронизации и последующей перезагрузке компьютера, приложение cloud уже не запустится пока не синхронизируем каталоги через web-сайт. Что бы не попасть в такую ситуацию, надо перезапускать синхронизацию перед окончанием работы.
Как временное решение, создал на рабочем столе кнопку запуска скрипта

Код: [Выделить]

#!/bin/bash
killall cloud
./cloud &
exit 0
которой запускаю синхронизацию вручную по необходимости.
Но использовать killall не правильно - в облаке образуется каша из конфликтующих версий файлов.
Надо использовать корректный выход из приложения.

[ArcFi]

Надо использовать корректный выход из приложения.

Помимо SIGKILL, можно попробовать SIGTERM и SIGQUIT.

[oermolaev]

(Нажмите, чтобы показать/скрыть)

ArcFi,
проверил "kill -3" и "kill -15". Результат тот же. Пока только использование корректного выхода в меню приложения позволяет правильно синхронизировать файлы.
В программе для windows есть специальный пункт в меню. В техподдержке mail.ru обнадежили:

Наши разработчики занимаются
расширением функционала ПК клиента для Linux.

Пользователь решил продолжить мысль 01 Декабря 2013, 18:12:00:Пытаюсь разбираться с синхронизацией mail.ru. Установил что сама синхронизация в принципе работает, но не синхронизируется папка ~/.privat Возможно здесь проблема или в символьных ссылках, или в названии файла с точкой.
Пересоздал ссылку без точки:

Код: [Выделить]

ln -s ~/.private ~/<cloud>/privatemailruне помогло

Пользователь решил продолжить мысль 01 Декабря 2013, 20:08:05:Итак, разобрался. Проблема была в символьной ссылке. Перенес секретную папку непосредственно в каталог облака - всё теперь работает как надо. Исправил в шапке темы и отредактировал статью в wiki.
Пользователь решил продолжить мысль 01 Декабря 2013, 23:38:25:Замечены проблемы с синхронизацией больших файлов. А именно, изменяется его размер и работоспособность. Проверено на файле mini.iso и самом файле cloud от mail.ru. Хотя тот же mini.iso открывается в архиваторе как настоящий. Размеры файлов значительно меньше ограничения максимального размера синхронизируемых файлов:

(Нажмите, чтобы показать/скрыть)

Через данный клиент, файлы на Вашем компьютере будут синхронизированы с
облаком. Обратите особое внимание на то, что максимальный размер файла,
который Вы можете синхронизировать через клиент для ПК, не должен превышать 32 Гб.

да и напрямую, минуя EncFS эти же файлы синхронизируются в целости.
Может это проблема самой EncFS?

[oermolaev]

Изменил описание настройки EncFS на других компьютерах участвующих в синхронизации файлов.

[Виктор Перестукин]

Если включен автологин в систему в файле «/etc/lightdm/lightdm.conf», то монтирование шифрованного каталога в «~/private» автоматически осуществляться не будет. Оно и понятно. Но не сразу.

Почему?

[oermolaev]

Потому что при автологине пароль не вводился пользователем. При автологине порой и другие сервисы не включаются пока не введешь пароль пользователя(или пароль связки ключей). Например wifi.
Уже не помню какую ошибку он при этом пишет, но её можно было увидеть в консоли (Ctrl+Alt+F1)
Таким же образом не получится использовать автологин на шифрованных разделах.
Ну и чисто по смыслу - раз мы шифруем данные паролем пользователя, значит он должен его хотя бы раз ввести.

[Виктор Перестукин]

Для автомонтирования пароль encfs должен совпадать с паролем входа в систему?

[Spect]

Теоретически, можно ввести файл-ключ (на флехе, или спрятан в чем-то). Для контейнеров - это просто. (Для енсфс - не выяснял).