Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Шифрование папки с автомонтированием  (Прочитано 4177 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Vail

  • Автор темы
  • Новичок
  • *
  • Сообщений: 41
    • Просмотр профиля
Суть проблемы такова. В некой папке есть данные, с которыми работает система после перезагрузки. Система грузится без GUIя и шуршит себе скриптами потихоньку. Данные не сильно секретные, но от посторонних глаз скрыть не мешало-бы. Надо создать зашифрованную папку, которая будет расшифровываться при старте системы без входа под пользователем. Делается это для того, чтобы злоумышленник, снявший жесткий диск и подрубивший к своему компу не увидел этих данных. И при этом система, загрузившись после рестарта, могла свободно работать с этими данными без вмешательства человека. Как решить задачу? З.Ы. От злоумышленников, получивших физический доступ к устройству данные будут защищены пользовательским логином/паролем.

Оффлайн ARTGALGANO

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 1936
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #1 : 11 Май 2017, 12:46:59 »
зашифровать - encfs
и автомаунт настроить можно, но пароль в файле сохранить в открытом виде, а это не гуд.
 

alexxnight

  • Гость
Re: Шифрование папки с автомонтированием
« Ответ #2 : 12 Май 2017, 11:04:44 »
Сделать отдельный раздел диска, зашифровать, создать файловую систему, прописать в /etc/crypttab, создать и подключить к точке монтирования, прописать в /etc/fstab
После этого, при старте системы будет запрошен пароль для расшифровки раздела и автоматическое монтирование

Оффлайн Vail

  • Автор темы
  • Новичок
  • *
  • Сообщений: 41
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #3 : 26 Май 2017, 08:59:55 »
Сделать отдельный раздел диска, зашифровать, создать файловую систему, прописать в /etc/crypttab, создать и подключить к точке монтирования, прописать в /etc/fstab
После этого, при старте системы будет запрошен пароль для расшифровки раздела и автоматическое монтирование
Всё это понятно. А теперь, внимание - вопрос. Кто будет вводить пароль, если по условиям задачи цитирую "система, загрузившись после рестарта, могла свободно работать с этими данными без вмешательства человека". Где прописать пароли, чтобы их не могли прочитать посторонние, и при этом могла читать система.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #4 : 26 Май 2017, 09:47:15 »
Смысл шифровать раздел, если пароль будет находиться в той же системе?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн scsiman

  • Активист
  • *
  • Сообщений: 344
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #5 : 26 Май 2017, 10:31:18 »
Примерные наброски костыля (полное описание несложно гуглится):

printf "%s" $MOUNT_PASSWORD | ecryptfs-insert-wrapped-passphrase-into-keyring ${PATH_TO_wrapped-passphrase}

mount -t ecryptfs -o key=passphrase:passfile=${PASSFILE},ecryptfs_sig=${ECRYPTFS_SIG},ecryptfs_fnek_sig=${ECRYPTFS_FNEK_SIG},ecryptfs_cipher=${CIPHER},ecryptfs_key_bytes=${BYTES},ecryptfs_passthrough=n ${ENCRYPTED_VOLUME} ${MOUNT_POINT}

При этом $MOUNT_PASSWORD и ${PASSFILE} запрашиваются неким образом с некоего стороннего хоста (не храним все яйца в одной корзине).

Тем не менее, это не решение, ибо автор хочет невозможного:
1. Доступ к неважно_чему без участия человека при старте системы.
2. Товарищ майор не должен смочь получить доступ к этому неважно_чему.

Цитировать
Где прописать пароли, чтобы их не могли прочитать посторонние, и при этом могла читать система
Нигде. Назовите ключевое различие нормальной загрузки системы и загрузки "товарищем майором", тогда будем думать.
Dell Studio XPS 16, Ubuntu 16.04 LTS (Home).
HP nx6110, Ubuntu 8.04 LTS => 10.04 LTS (Home).

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #6 : 26 Май 2017, 11:15:45 »
Где прописать пароли, чтобы их не могли прочитать посторонние, и при этом могла читать система.
На флешке другого хоста с передачей по ssh... Короче моя фантазия сейчас может разбушеваться....
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Vail

  • Автор темы
  • Новичок
  • *
  • Сообщений: 41
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #7 : 29 Май 2017, 09:18:37 »
Нельзя на флешке. Придет человек, вынет флешку, узнает пароли - и смысла в шифровании не будет. По SSH тоже не вариант, равно как и с другим хостом. Система должна работать автономно, даже если нет интернета.

Оффлайн Azure

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 6015
  • Windows10, i3wm on Debian9, Manjaro20.0
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #8 : 29 Май 2017, 10:09:04 »
Назовите ключевое различие нормальной загрузки системы и загрузки "товарищем майором", тогда будем думать
В Линукс можно сделать ВСЁ что угодно, достаточно знать КАК !

Оффлайн ALiEN175

  • Модератор форума
  • Старожил
  • *
  • Сообщений: 4309
  • Capture the truth
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #9 : 30 Май 2017, 00:57:24 »
Нельзя на флешке. Придет человек, вынет флешку, узнает пароли

Нужна перезагрузка (включение) - приходит человек, вставляет флешку, затем вынимает - система шуршит до следующей перезагрузки. Если заново - читай сначала.   
ASUS P5K-C :: Intel Xeon E5450 :: 8 GB RAM :: Nvidia 8500GT :: XFCE
SAMSUNG N150 :: Intel Atom N450 :: 2 GB RAM :: Intel GMA3150 :: XFCE

Оффлайн Vail

  • Автор темы
  • Новичок
  • *
  • Сообщений: 41
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #10 : 30 Май 2017, 05:11:32 »
Нужна перезагрузка (включение) - приходит человек
Вероятно я не очень хорошо объяснил. Устройств более 200, а будет более 1000. Сейчас по всей России, а будет и в Европе и в Китае. Трудновато будет приезжать с флешкой на каждую перезагрузку.

Оффлайн scsiman

  • Активист
  • *
  • Сообщений: 344
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #11 : 30 Май 2017, 09:39:15 »
Vail, поставленная в текущей формулировке задача не имеет решения. Или меняйте условия. Объясняю. Как хотите вы:
1. Штатный режим работы. Система загружается, расшифровывает котиков нужные данные и работает.
2. Режим товарища майора. Система нужные данные не расшифровывает.
Каким образом система должна понять, что загрузка нештатная? Что изменилось по сравнению с нормальным режимом?
Когда сформулируете критерий, будем думать над решением.

Dell Studio XPS 16, Ubuntu 16.04 LTS (Home).
HP nx6110, Ubuntu 8.04 LTS => 10.04 LTS (Home).

Оффлайн Vail

  • Автор темы
  • Новичок
  • *
  • Сообщений: 41
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #12 : 31 Май 2017, 09:42:32 »
1. Штатный режим работы. Система загружается, расшифровывает котиков нужные данные и работает.
2. Режим товарища майора. Система нужные данные не расшифровывает.

1. Лбая загрука ШТАТНАЯ! От майора защищает только пароль пользователя.

Надо создать зашифрованную папку, которая будет расшифровываться при старте системы без входа под пользователем.

Я не знаю как объяснить проще.

Оффлайн Azure

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 6015
  • Windows10, i3wm on Debian9, Manjaro20.0
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #13 : 31 Май 2017, 10:28:31 »
Лбая загрука ШТАТНАЯ!
Тогда какой смысл в шифровании? Злоумышленник запускает систему и получает к данным полный доступ.
В Линукс можно сделать ВСЁ что угодно, достаточно знать КАК !

alexxnight

  • Гость
Re: Шифрование папки с автомонтированием
« Ответ #14 : 31 Май 2017, 21:45:15 »
Для товарища майора
Есть одна фишка, называется nuke
При шифровании раздела создается пароль, введя который стирается вся информация на диске (точнее head зашифрованного тома)

 

Страница сгенерирована за 0.146 секунд. Запросов: 25.