id: Гость   вход   регистрация
текущее время 21:34 28/03/2024
Автор темы: Гость, тема открыта 19/04/2015 14:20 Печать
Категории: криптография, приватность, инфобезопасность, защита дисков, симметричное шифрование, отрицаемое шифрование, операционные системы, модель угрозы
http://www.pgpru.com/Форум/UnixLike/ЧастныйСлучайУстановкиUbuntuDebianСПолнодисковымШифрованием
создать
просмотр
ссылки

Частный случай установки Ubuntu/Debian с полнодисковым шифрованием


Требуется решить конкретную задачу. Однако на этом сайте очень много инфы и не всегда, чаще всего, свести все воедино не хватает практических знаний.


1. Модель угрозы. Домашний комп может попасть в чужие руки. В таком случае, на дисках должно быть только бессигнатурное шифрование, чтобы противник не мог ни напрямую получить с дисков какую-либо информацию, ни доказать, что она там вообще есть. Все остальные угрозы опускаются.


2. Легенда. Затер диски рандомом, т.к. они мне не нужны и хочу отнести их в базар. Пользуюсь только live-CD.


3. Необходимое условие. Директории / и /home должны быть на разных физических дисках.


4. Грубый набросок решения.


  • Бессигнатурно шифруем два физических диска – один для /, второй для /home.
  • Поверх бессигнатурного шифрования создаем слой LUKS на обоих дисках.
  • Boot выносим на флешку так, чтобы ее можно было после старта ОС вынуть.

Прошу любых замечаний/советов/мыслей по поводу бредовости и сложности реализации такой задачи в связи с полнодисковым шифрованием двух дисков и выносом boot на флешку. В первую очередь, интересует техническая сторона вопроса. Заранее благодарю.


 
На страницу: 1, 2, 3 След.
Комментарии
— unknown (19/04/2015 22:16)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Может наоборот? Сначала LUKS, а поверх него слой бессигнатурки, чтобы заодно не мучаться со всякими оффсетами.

Попробовать можно примерно так. Поставить минимальную систему на флэшку штатным образом с обычным LUKS-сигнатурным шифрованием. Затем бессигнатурно зашифровать винчестеры. Внутри создать LUKS-разделы. Перенести таром файлы с флэшки, поправить UID'ы ФС, fstab, cryptab, пересобрать ramdisk. Вынести /boot на рабочую флэшку. Флэшку с промежуточной системой временно сохранить, затем стереть.

Возникнет такая проблема: рамдиск штатно не поддерживает бессигнатурки, а тем более выцепляние из под неё LUKS-разделов. Можно конечно поправить там скрипт, но это будет указывать, что используется бессигнатурка. Более рационально будет оставить скрипты initrd без изменений, но научиться там выходить в консоль с урезаным башем и вручную набирать команду для cryptsetup.
— Гость (20/04/2015 05:20)   <#>

Именно так и имелось ввиду. Я неправильно выразился.


В смысле зашифровать ее или просто убедиться, что там есть утилита?


А без него, в данном случае, не получится?
— Гость (20/04/2015 06:09)   <#>

Вангую, что это будет сложнее, чем установка сразу на бессигнатурный раздел.


Взаимоисключающие параграфы. Так откуда загрузка идёт, с флэшки или с LiveCD? Если хочется работать с реального кем-то сделанного стандартного LiveCD, можно пойти вообще другим путём: перенести его как-то на сам диск, сделать записываемым, а потом туда ставить софт. Впрочем, особого смысла я в этих извратах не вижу, проще свою систему установить сразу как надо.

P.S. Есть коммент и дальнейшее обсуждение в том топике. Можно было бы спрашивать там же, а не плодить топики на одну и ту же тему.
— Гость (20/04/2015 14:02)   <#>

Вот и пользуйтесь. К чему весь огород? Зачем на домашнем компе вообще диски? Долой их. Внешние очень даже неплохо подсоединяются, как и шифруются очень замечательно и бессигнатурно.
— ressa (20/04/2015 15:11)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Господа, если будете делать, очень прошу – можно хотя бы поэтапность действий. Или ссылок, чтобы не тупо команды копипастить а понимать назначение того или иного действия. Спасибо.
Ну вот, к примеру:
У меня уже LUKS, как поверх него слой бессигнатурки сделать? OS – Mint.
— Гость (20/04/2015 15:35)   <#>

Никак. Это надо было делать сразу.
  1. Затираешь диск.
  2. Делаешь бессигнатурно шифрованный раздел (cryptsetup plain mode).
  3. В нём делаешь LUKS.
  4. Создаёшь на LUKS ФС, форматируешь её, переносишь данные.
— ressa (20/04/2015 15:46, исправлен 20/04/2015 16:06)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

Я так понял – это все в LiveCD делать, да? В штатном инсталляторе нет возможности выйти в консоль.
Или это только в Debian\Ubuntu? В производных от них дистрах нет выхода в консоль и расширенной версии инсталлятора.

— unknown (20/04/2015 16:10)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

В Debian она есть.
— ressa (20/04/2015 16:25, исправлен 20/04/2015 16:34)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

Офтоп: Правильно ли я понимаю, что перейдя на Debian – у меня не изменится ровным счетом ничего. То есть – все инструкции в случае косяка – равнозначны с Ubuntu, проблемы решаются так же, так же поставлю себе привычный Cinnamon и прочие офисы, громоптицы, виртуалбоксы и тд? Работа в консоли будет та же самая, только вместо apt-get будет aptitude и вместо sudo\gksudo – будет su. Все верно? Разница лишь в несовместимости пакетов?
Критично наличие манов на русском. Я его проще воспринимаю. А то, куда ни глянь – новичкам Gentoo советуют, зная Миллера – в лучшем случае забанит, в худшем заставит ему для РН проект НПЗ рисовать, из за приставаний с Гентой))

— unknown (20/04/2015 16:34)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

[K.O. mode]
Вместо apt-get будет apt-get.
Вместо aptitude будет aptitude.
Вместо sudo будет sudo.
Вместо gksudo будет gksudo.
Вместо su будет su.
[/K.O. mode]

Каких-то сомнительных плюшек Убунты не будет и пакеты будут более старые.
— ressa (20/04/2015 17:10)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Спасибо, unknown. Попробую на виртуалке для начала. А то смутно разницу вижу пока. Ну то есть не понимаю – что на что меняю.. Если только ради cryptsetup plain mode – то в консоль и инсталлятор Ubuntu умеет.
— Гость (20/04/2015 19:46)   <#>

Тут терминологическая путаница вышла. Самый нижний уровень — бессигнатурное шифрование. Выше него идёт LUKS. Выше LUKS'а — ФС. Т.е. правильнее сказать, что LUKS накатывается поверх бессигнатурки. Делать наоборот не имело бы никакого смысла.


В нормальных LiveCD есть поддержка cryptsetup'а. Впрочем, дебиановский штатный что-то там важное не умеет (кажется, LVM). Инсталляционные диски надо брать не стандартные, а специальные, так назывемые «netinstall». Такие диски есть и для Debian'а и для Ubuntu. В них, если всё делать правильно, будет возможность выйти в шелл и проделать нужные манипуляции, если это так надо. Читай обсуждение, там всё это в деталях освещалось.


В Debian testing (jessie) не такие уж и старые...
— Гость (21/04/2015 10:39)   <#>

Казалось, что моя тема – особый случай, не хотелось, при случае, засорять чужую ветку. Сорри.
— Гость (21/04/2015 17:33)   <#>
Вы задаёте вопросы, большая часть которых будут теми же, что обсуждались там. Прочитайте тот топик внимательно, там много информации о подводных камнях, с которыми вы так или иначе столкнётесь.
— Гость (21/04/2015 23:26)   <#>



На что влияет использование stable версии с проверенными пакетами? Быстродействие плохое, коли старые? Старые – это как б/у?
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3