Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Шифрование папки с автомонтированием  (Прочитано 5112 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Vail

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Суть проблемы такова. В некой папке есть данные, с которыми работает система после перезагрузки. Система грузится без GUIя и шуршит себе скриптами потихоньку. Данные не сильно секретные, но от посторонних глаз скрыть не мешало-бы. Надо создать зашифрованную папку, которая будет расшифровываться при старте системы без входа под пользователем. Делается это для того, чтобы злоумышленник, снявший жесткий диск и подрубивший к своему компу не увидел этих данных. И при этом система, загрузившись после рестарта, могла свободно работать с этими данными без вмешательства человека. Как решить задачу? З.Ы. От злоумышленников, получивших физический доступ к устройству данные будут защищены пользовательским логином/паролем.

Оффлайн ARTGALGANO

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 1936
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #1 : 11 Мая 2017, 12:46:59 »
зашифровать - encfs
и автомаунт настроить можно, но пароль в файле сохранить в открытом виде, а это не гуд.
 

alexxnight

  • Гость
Re: Шифрование папки с автомонтированием
« Ответ #2 : 12 Мая 2017, 11:04:44 »
Сделать отдельный раздел диска, зашифровать, создать файловую систему, прописать в /etc/crypttab, создать и подключить к точке монтирования, прописать в /etc/fstab
После этого, при старте системы будет запрошен пароль для расшифровки раздела и автоматическое монтирование

Оффлайн Vail

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #3 : 26 Мая 2017, 08:59:55 »
Сделать отдельный раздел диска, зашифровать, создать файловую систему, прописать в /etc/crypttab, создать и подключить к точке монтирования, прописать в /etc/fstab
После этого, при старте системы будет запрошен пароль для расшифровки раздела и автоматическое монтирование
Всё это понятно. А теперь, внимание - вопрос. Кто будет вводить пароль, если по условиям задачи цитирую "система, загрузившись после рестарта, могла свободно работать с этими данными без вмешательства человека". Где прописать пароли, чтобы их не могли прочитать посторонние, и при этом могла читать система.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #4 : 26 Мая 2017, 09:47:15 »
Смысл шифровать раздел, если пароль будет находиться в той же системе?

Оффлайн scsiman

  • Активист
  • *
  • Сообщений: 344
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #5 : 26 Мая 2017, 10:31:18 »
Примерные наброски костыля (полное описание несложно гуглится):

printf "%s" $MOUNT_PASSWORD | ecryptfs-insert-wrapped-passphrase-into-keyring ${PATH_TO_wrapped-passphrase}

mount -t ecryptfs -o key=passphrase:passfile=${PASSFILE},ecryptfs_sig=${ECRYPTFS_SIG},ecryptfs_fnek_sig=${ECRYPTFS_FNEK_SIG},ecryptfs_cipher=${CIPHER},ecryptfs_key_bytes=${BYTES},ecryptfs_passthrough=n ${ENCRYPTED_VOLUME} ${MOUNT_POINT}

При этом $MOUNT_PASSWORD и ${PASSFILE} запрашиваются неким образом с некоего стороннего хоста (не храним все яйца в одной корзине).

Тем не менее, это не решение, ибо автор хочет невозможного:
1. Доступ к неважно_чему без участия человека при старте системы.
2. Товарищ майор не должен смочь получить доступ к этому неважно_чему.

Цитировать
Где прописать пароли, чтобы их не могли прочитать посторонние, и при этом могла читать система
Нигде. Назовите ключевое различие нормальной загрузки системы и загрузки "товарищем майором", тогда будем думать.
Dell Studio XPS 16, Ubuntu 16.04 LTS (Home).
HP nx6110, Ubuntu 8.04 LTS => 10.04 LTS (Home).

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #6 : 26 Мая 2017, 11:15:45 »
Где прописать пароли, чтобы их не могли прочитать посторонние, и при этом могла читать система.
На флешке другого хоста с передачей по ssh... Короче моя фантазия сейчас может разбушеваться....

Оффлайн Vail

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #7 : 29 Мая 2017, 09:18:37 »
Нельзя на флешке. Придет человек, вынет флешку, узнает пароли - и смысла в шифровании не будет. По SSH тоже не вариант, равно как и с другим хостом. Система должна работать автономно, даже если нет интернета.

Оффлайн Azure

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 6017
  • Windows10, i3wm on Debian9, Manjaro20.0
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #8 : 29 Мая 2017, 10:09:04 »
Назовите ключевое различие нормальной загрузки системы и загрузки "товарищем майором", тогда будем думать
В Линукс можно сделать ВСЁ что угодно, достаточно знать КАК !

Оффлайн ALiEN175

  • Администратор
  • Старожил
  • *
  • Сообщений: 6598
  • 20% Cooler
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #9 : 30 Мая 2017, 00:57:24 »
Нельзя на флешке. Придет человек, вынет флешку, узнает пароли

Нужна перезагрузка (включение) - приходит человек, вставляет флешку, затем вынимает - система шуршит до следующей перезагрузки. Если заново - читай сначала.   
🖥 AsRock B550M Pro4 :: AMD Ryzen 5 3600 :: 16 GB DDR4 :: AMD Radeon RX 6600 :: XFCE
💻 ACER 5750G :: Intel Core i5-2450M :: 6 GB DDR3 :: GeForce GT 630M :: XFCE

Оффлайн Vail

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #10 : 30 Мая 2017, 05:11:32 »
Нужна перезагрузка (включение) - приходит человек
Вероятно я не очень хорошо объяснил. Устройств более 200, а будет более 1000. Сейчас по всей России, а будет и в Европе и в Китае. Трудновато будет приезжать с флешкой на каждую перезагрузку.

Оффлайн scsiman

  • Активист
  • *
  • Сообщений: 344
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #11 : 30 Мая 2017, 09:39:15 »
Vail, поставленная в текущей формулировке задача не имеет решения. Или меняйте условия. Объясняю. Как хотите вы:
1. Штатный режим работы. Система загружается, расшифровывает котиков нужные данные и работает.
2. Режим товарища майора. Система нужные данные не расшифровывает.
Каким образом система должна понять, что загрузка нештатная? Что изменилось по сравнению с нормальным режимом?
Когда сформулируете критерий, будем думать над решением.

Dell Studio XPS 16, Ubuntu 16.04 LTS (Home).
HP nx6110, Ubuntu 8.04 LTS => 10.04 LTS (Home).

Оффлайн Vail

  • Автор темы
  • Новичок
  • *
  • Сообщений: 43
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #12 : 31 Мая 2017, 09:42:32 »
1. Штатный режим работы. Система загружается, расшифровывает котиков нужные данные и работает.
2. Режим товарища майора. Система нужные данные не расшифровывает.

1. Лбая загрука ШТАТНАЯ! От майора защищает только пароль пользователя.

Надо создать зашифрованную папку, которая будет расшифровываться при старте системы без входа под пользователем.

Я не знаю как объяснить проще.

Оффлайн Azure

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 6017
  • Windows10, i3wm on Debian9, Manjaro20.0
    • Просмотр профиля
Re: Шифрование папки с автомонтированием
« Ответ #13 : 31 Мая 2017, 10:28:31 »
Лбая загрука ШТАТНАЯ!
Тогда какой смысл в шифровании? Злоумышленник запускает систему и получает к данным полный доступ.
В Линукс можно сделать ВСЁ что угодно, достаточно знать КАК !

alexxnight

  • Гость
Re: Шифрование папки с автомонтированием
« Ответ #14 : 31 Мая 2017, 21:45:15 »
Для товарища майора
Есть одна фишка, называется nuke
При шифровании раздела создается пароль, введя который стирается вся информация на диске (точнее head зашифрованного тома)

 

Страница сгенерирована за 0.04 секунд. Запросов: 25.