id: Гость   вход   регистрация
текущее время 02:53 29/03/2024
Автор темы: Гость, тема открыта 19/04/2015 14:20 Печать
Категории: криптография, приватность, инфобезопасность, защита дисков, симметричное шифрование, отрицаемое шифрование, операционные системы, модель угрозы
http://www.pgpru.com/Форум/UnixLike/ЧастныйСлучайУстановкиUbuntuDebianСПолнодисковымШифрованием
создать
просмотр
ссылки

Частный случай установки Ubuntu/Debian с полнодисковым шифрованием


Требуется решить конкретную задачу. Однако на этом сайте очень много инфы и не всегда, чаще всего, свести все воедино не хватает практических знаний.


1. Модель угрозы. Домашний комп может попасть в чужие руки. В таком случае, на дисках должно быть только бессигнатурное шифрование, чтобы противник не мог ни напрямую получить с дисков какую-либо информацию, ни доказать, что она там вообще есть. Все остальные угрозы опускаются.


2. Легенда. Затер диски рандомом, т.к. они мне не нужны и хочу отнести их в базар. Пользуюсь только live-CD.


3. Необходимое условие. Директории / и /home должны быть на разных физических дисках.


4. Грубый набросок решения.


  • Бессигнатурно шифруем два физических диска – один для /, второй для /home.
  • Поверх бессигнатурного шифрования создаем слой LUKS на обоих дисках.
  • Boot выносим на флешку так, чтобы ее можно было после старта ОС вынуть.

Прошу любых замечаний/советов/мыслей по поводу бредовости и сложности реализации такой задачи в связи с полнодисковым шифрованием двух дисков и выносом boot на флешку. В первую очередь, интересует техническая сторона вопроса. Заранее благодарю.


 
На страницу: 1, 2, 3 След.
Комментарии
— Гость (22/04/2015 08:15)   <#>

Плюс к безопасности и минус к фичам. Иногда фичи очень нужны. Иногда ещё старый софт не поддерживает железо.


Блондинко-стайл?
— Гость (26/04/2015 13:59)   <#>

Ирония-стайл.

Debian 8.0 Jessie has been released
— Гость (26/04/2015 17:00)   <#>

Вот это новость! Неплохо.

While it is designed as a drop-in sysvinit replacement and as such makes use of existing SysV init scripts, the systemd package can be installed safely alongside sysvinit and started via the init=/bin/systemd kernel option.

Как обновиться c Debian-testing (jessie) до нового стейбла и продолжить следовать только стейблу? apt-get update, upgrade и dist-upgrade будет достаточно?

Yes, but it is a one way process. You can go from stable --> testing --> unstable. But the reverse direction is not "possible". So better be sure if you are planning to install/upgrade to unstable.

But if the third field contains 'jessie' then you will be tracking stable (since jessie will then be the new stable distribution).

Последнее звучит более обнадёживающе, чем первое.
— Гость (26/04/2015 20:55)   <#>

На debian.org есть инструкция на русском как обновляться.
— Гость (27/04/2015 07:12)   <#>
Не нашёл. Я говорю не про обновление с wheezy до нового стейбла, а с тестинга до стейбла, тестинг которого и стоял. Вышеприведённые цитаты как раз о нужном, но звучит противоречиво. Про sid я понял, что при выходе релиза система не замораживается. Про jessie/testing напрямую про заморозку не сказано, но мне кажется, она должна быть.
— sentaus (27/04/2015 08:57)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Я говорю не про обновление с wheezy до нового стейбла, а с тестинга до стейбла, тестинг которого и стоял.

По идее должно быть достаточно исправить везде в /etc/apt/* testing на stable. А если там было jessie, то вообще ничего не надо делать. А затем да, apt-get update, upgrade и dist-upgrade. Хотя, не уверен, что последний обязателен в данном случае.
— Гость (27/04/2015 14:41)   <#>
Я в терминологии путаюсь. Проще так: есть sid (жутко нестабильный, он же unstable), jessie (просто нестабильный, он же testing) и stable (есть имена релизов). Вот я лох-то, только сейчас понял, что jessie — это не синоним для testing подобно sid'у, как я думал, а имя конкретного релиза 8.0. :) Да, было везде всегда написано jessie, при инсталле так прописалось автоматически, когда jessie был ещё testing'ом.
— гыук (26/06/2015 23:10)   профиль/связь   <#>
комментариев: 271   документов: 0   редакций: 0
Хелп !

Задам вопрос здесь, раз тут о полнодисковом шифровании.
Обновил cryptsetup с 1.4 до 1.6. Перестала грузится система (debian). Диск зашифрован полностью.
Как исправить?
— гыук (28/06/2015 11:03, исправлен 28/06/2015 11:06)   профиль/связь   <#>
комментариев: 271   документов: 0   редакций: 0

Щадящего решения не нашел. Чувствую, что проблема для знающих не проблема.
Открыл раздел в другой системе без вопросов. Можно установить новую систему и перенести содержимое раздела, но это в крайнем случае и правда нет опыта переноса с зашифрованного раздела.
Нужно же будет править fstab и crypttab и врядли этим обойдется.

— SATtva (28/06/2015 11:10)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Подключить разделы из другой системы, выполнить chroot и откатить версию cryptsetup.
— гыук (28/06/2015 11:45)   профиль/связь   <#>
комментариев: 271   документов: 0   редакций: 0
Спасибо. С виду просто. А как в гугле правильно вопрос задать? Откатить cryptsetup в системе которая не запущена – для меня сложновато. Читал что то на эту тему. Направление копания подскажите. Как правильно эту операцию обозвать?
— SATtva (28/06/2015 19:02, исправлен 28/06/2015 19:05)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

В сущности, Вам нужно сделать следующее:


  1. Подключить диск к системе с совместимой версией cryptsetup.
  2. Создать директорию, куда будете монтировать систему, допустим /mnt/crypt.
  3. Подключить зашифрованный раздел. Если этот раздел имеет имя sdb1, выполните cryptsetup luksOpen /dev/sdb1 crypt.
  4. Смонтируйте файловую систему зашифрованного раздела: mount -v /dev/mapper/crypt /mnt/crypt.

Если помимо корневого раздела в зашифрованной системе есть другие (например, /var или /usr находятся на самостоятельных разделах), Вам придётся повторить пункты 3-4, смонтировав их внутрь корневого (например, в случае /usr — в /mnt/crypt/usr).


Затем выполните следующее:



С этого момента Вы залогинены в подключенную зашифрованную систему. Можете сделать даунгрейд cryptsetup и выйти (Ctrl+D), после чего выполните размонтирование в обратном порядке:


— pgprubot (28/06/2015 20:56, исправлен 28/06/2015 21:00)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Советуют для полного чрута делать ещё проброс /dev/pts и /sys [1], [2].



Удивляюсь, что такого могло произойти в самом cryptsetup, что система перестала грузиться, там же обратная совместимость довольно сильная. Спрашивающий уверен, что дело именно в версии cryptsetup, а не в чём-то ещё? Как он это определил? Система может не грузиться по множеству причин, и, честно говоря, обновление cryptsetup явно не ТОП типичных случаев.

— гыук (28/06/2015 21:26, исправлен 28/06/2015 21:32)   профиль/связь   <#>
комментариев: 271   документов: 0   редакций: 0

Здесь произошел затык.
$ umount: /dev: target is busy

(In some cases useful info about processes that
use the device is found by lsof(8) or fuser(1).)

Сделал:
$ sudo lsof | grep $MNT/dev
lsof: WARNING: can't stat() fuse.vmware-vmblock file system /run/vmblock-fuse

Output information may be incomplete.

lsof: WARNING: can't stat() fuse.gvfsd-fuse file system /run/user/1000/gvfs

Output information may be incomplete.

systemd 1 root 0u CHR 1,3 0t0 1028 /dev/null
...
...


Получил бесконечный список процессов :((
Как отмонтировать ума не приложу. Тупо сбрасывать страшно (



Могло произойти неправильное обновление. процесс мог быть не завершен. Что то некорректно произошло.
А в чем еще может быть проблема? Система до обновления грузилась. Ничего больше не устанавливалось и не менялось.
Зашифрованный раздел монтируется и открывается в другой системе.

— pgprubot (28/06/2015 22:16, исправлен 28/06/2015 22:17)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Ничего страшного произойти не должно. Можно просто ребутнуться, выполнить команду reboot или shutdown.



Объяснение гениальное. С чего вы взяли, что обновился только cryptsetup? И правда ли это? Для вас система — чёрный ящик, а информацию, которую вы озвучиваете, более-менее достоверно может выяснить только специалист (причину проблемы).

На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3