"PGP Disk под Linux" / системы шифрования
Существует простая и замечательная программка – PGP Disk, я использую версию 6.0.2i. Знает ли кто-нибудь способы монтирования *.pgd -файлов под Linux ? (хоть под какую-нибудь версию). Сейчас живу на 98-й винде, но про Линукс не раз задумывался. Переезду мешает отсутствие ряда программ, и PGP Disk в их числе. Кто что думает по этому поводу ?
комментариев: 510 документов: 110 редакций: 75
система Ubuntu 9.04 (jaunty)
В папке /usr/scr/ лежат следующие папки:
linux-headers-2.6.28-11 размером 33,7 Мб
linux-headers-2.6.28-11-generic размером 1,7 Мб
Команда uname -r дает вывод:
2.6.28-11-generic
Насколько я понимаю в моем ядре то же включена поддержка только хешей и от ключена поддержка шифров? Могу ли я использовать какой-либо способ шифрования средствами файловой системы без перекомпиляции ядра?
комментариев: 9796 документов: 488 редакций: 5664
Установите пакеты, связанные с dm-crypt и LUKS и всё практически само настроится.
комментариев: 10 документов: 2 редакций: 1
У меня вопрос по алгоритмам шифрования cryptsetup/LUKS.
По умолчанию LUKS шифрует aes-cbc-essiv:sha256, и рекомендует именно такую связку.
Достаточно ли надежен такой вариант?
Возможен ли вариант twofish-xts-essiv:sha256 или twofish-xts-essiv:sha512?
Предпочтительнее ли режим шифрования XTS перед CBC для шифрования всего диска?
Какие Best practices и рекомендации в этой области?
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 10 документов: 2 редакций: 1
Внятных описаний допустимых комбинаций алгоритмов и режимов шифрования я не нашел, кроме разве что вот этого:
http://hightechsorcery.com/200.....24-and-later-kernels
Встречал варианты с экзотическими длинами ключей "-s 384", "-s 512":
http://www.linuxposts.com/linu.....thod-best-speed.html
, это лажа?
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 10 документов: 2 редакций: 1
Содержимое файла /etc/crypttab:
При загрузке в лог /var/log/dmesg пишет:
Если вместо twofish взять aes:
, то в логе:
swap-раздел подключается нормально.
Насколько критичны эти сообщения?
ОС Ubuntu 9.04, поставленная через wubi поверх винды.
комментариев: 11558 документов: 1036 редакций: 4118
Второе означает, что в ядре включена поддержка аппаратных криптоускорителей, но в Вашей системе таких устройств нет. Это простое информационное сообщение.
Кстати, использовать в качестве источника ключевого материала /dev/random не обязательно, подойдёт и /dev/urandom, к тому же он не будет расходовать ценную чистую энтропию, собранную системой.
Кстати-2, помимо свопа желательно шифровать эфемерным ключом и раздел /tmp, там тоже за время работы скапливается немало интересного мусора.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 10 документов: 2 редакций: 1
Теперь задача максимум – шифрование корневого раздела.
Напомню, что я использую wubi-инсталляцию Ubuntu 9.04, т.е. корневой раздел лежит в файле C:\ubuntu\disks\root.disk на ntfs-разделе под виндой.
После загрузки виндовый раздел монтируется в каталог /host, т.е. корневой раздел виден как /host/ubuntu/disks/root.disk
Я использовал следующие источники:
http://blog.uptimebox.ru/2007/05/debian-gnulinux-4.html
http://wiki.eeeuser.com/ru:get.....ие_корневого_раздела
http://www.c3l.de/linux/howto-.....u-6.10-edgy-eft.html
Вопрос: что писать в /etc/crypttab, чтобы после сборки update-initramfs initramfs увидел файл /host/ubuntu/disks/root.disk как loopback-устройство на этапе загрузки?
Я пробовал писать
, а также
, но при загрузке пишет, что устройство не найдено.
Для незашифрованной системы синтаксис grub в menu.lst такой:
Возможны ли в принципе такие выкрутасы?
Я понимаю, что достаточно зашифровать только раздел /home, и я скорее всего так и сделаю, просто интересна принципиальная возможность.
комментариев: 11558 документов: 1036 редакций: 4118
Посмотрите это монстроподобное руководство. Там есть инструкции для создания достаточно универсального образа initramfs именно для системы с зашифрованным корнем. Возможно, с некоторыми адаптациями найдёте её для себя полезной.
1. В системе Ubuntu 9.10, при установке, предусмотрен режим шифрования домашней папки. Данный режим устанавливается на стадии установки системы, включением опции шифрования паролем входа в систему.
Однако при дальнейшем создании дополнительных пользователей, в уже установленной системе, их домашние папки оказываются не защищенными. В меню создания пользователей опции шифрования просто нет. Есть ли способ решить данную проблему – сделать домашние папки других пользователей зашифрованными таким же образом?
2. Для Ubuntu есть пакет ecryptfs-utils, создающий шифрованную папку Private в домашнем каталоге. Но не могу понять, можно ли сделать управление шифровкой/расшифрокой этого каталога независимо от пароля пользователя. Пока добился только работы автоматической расшифровки при входе в систему и соответственно зашифровки при выходе. А вот как сделать независимо, по моей отдельной команде?
комментариев: 11558 документов: 1036 редакций: 4118
С другой же стороны другие пользователи имеют свои уникальные пароли на вход в свои учетные записи, поэтому если бы шифровался весь /home с помощью пароля первой учетной записи, то другие пользователи просто не могли бы пользоваться машиной.
Вот такое наблюдение. Как быть, что нужно сделать, что бы паролем вторичного пользователя можно было шифровать свою /home/user2?
комментариев: 11558 документов: 1036 редакций: 4118
Как сделать это кошерно с точки зрения дистрибутива, Вам только другие пользователи Ubuntu подскажут. Я бы покопался в стартовых скриптах и поспрашивал гугл.
Как более универсальное решение, можно сделать файл-контейнер (или LVM slice, если он используется для управления разделами) под /home/user2, а в самой /home/user2 создать .bashrc, который будет монтировать зашифрованный контейнер/раздел в этот каталог при каждом логине пользователя.