шифрование системного раздела в linux

необходимо зашифровать весь диск ... по сложному алгоритму, а именно: aes, twofish, serpent (либо их сочетание, например, aes-twofish).

Зачем? Во-первых, скорость работы системы упадёт катастрофически. Во-вторых, Вы правда думаете, что противник станет атаковать криптографию и считаете обоснованным столь радикальное усиление и так самого прочного звена безопасности? (Как говорил Шнайер, это всё равно, что вкопать в землю 50-метровый столб в расчёте, что противник станет через него перелезать или с размаху о него расшибётся.)

мне необходимо, чтобы противнику не достались следы моей деятельности в линукс.
а именно:
1 история соединений rdp (сохраненные соединения)
2 любая другая системная информация, которая может свидетельствовать о характере работы пользователя за данным компьютером.
повторюсь, мне оч подошел бы diskcryptor, но нет версии по линукс.
на форуме его создатель посоветовал dm-crypt как аналог.
Если Вы знаете какие-либо способы решения данной проблемы, поделитесь пож.

Спасибо.

я правда думаю, что противник будет искать ответы на вопросы именно на компе. другие варианты я бы оставил в стороне, так как обстоятельства именно таковы, что у противника гипотетически есть жесткий диск и всё!

Под те требования, которые Вы ставите, более чем достаточно шифрования любым одним из перечисленных шифров, а не каскадом. Использование dm-crypt/LUKS описано в Сети очень подробно, есть множество подробных руководств для различных Линукс-дистрибутивов. Вот для Генты, к примеру. Аналогичный Вы можете найти и применительно к своему дистрибутиву.

В Debian возможность шифрования всей системы встроили в инсталлятор, так что это можно сделать практически не разбираясь в вопросе. Конфиги по умолчанию и автоматом созданный рамдиск с нужными модулями и скриптами дуракоустойчиво создаются из коробки.

Единственно для чего могут понадобиться дополнительные знания — это если вы хотите шифровать не весь физический том, как там предлагается по умолчанию, а логические тома по отдельности, при чём можно настроить /tmp и swap на шифрование одноразовым ключом (вписать urandom вместо luks в /etc/cryptab). Но для этого надо разбираться не только в dmcrypt, LUKS, cryptsetup, но и в LVM. Да, и по умолчанию для шифрования рекомендуется разбиения системы не на традиционные разделы, а посредством LVM, так что желательно изучить ещё man LVM.

спасибо за вариант с дебианом.
дело в том, что на данном жестком диске присутствует еще и винда, зашифрованная diskcryptor.
поэтому в любом случае придется использовать шифрование разделов по отдельности.

при установке opensuse 11.2 присутствует возможность шифрования каждого раздела по отдельности.
вопрос теперь только в одном: какой алгоритм шифрования используется в opensuse и какой в debian.

в одной из старых статей (касающихся opensuse 10.3) прочитал, что twofish, что вполне устраивает. Но это старая статья.
А по поводу debian – вообще неизвестно.

|винчестер 1 | винчестер 2| |sda 1 | sda2 | sdb1 | sdb2| PV - Phisicical volume - цепляется на любую комбинацию разделов (например sda2+sdb1) - даже между разными устройствами. PV объединяются в VG - группы томов PV делится на LV - логические тома, их и надо использовать для /, /home, /tmp, swp и т.д. вместо sda1, sdb2 (которые при этом никуда не деваются) Например, если sda1 не занят физическим томом, то можете на нём винду поставить.

К этой всеобщей виртуализации можно ещё и RAID добавить (LVM немного похож на RAID, но они выполняют разные задачи и на серверах их используют совместно, на персональном компе RAID не особо нужен, а вот LVM уже давно рекомендуется).

Алгоритмы (и режимы дискового шифрования) — на выбор те которые есть в ядре в разделе cryptoAPI: AES, Twofish и Serpent точно. Кажется есть ещё Anubis или Khazad.

В общем, так. OpenSUSE 11.2 еще не вышла. Поставить ты мог только бету или релиз кандидат, да и то скорее только RC1. Говорю как пользователь суси. 11.2 выйдет только через неделю, дождись ее и все решится само собой – в 11.2 на этапе разбивки диска появилась встроенная поддержка полного шифрования диска а ля Debian. Просто выбираешь тип разбивки диска LVM, ставишь галочку зашифровать – и будет тебе счастье.

При разбивке по умолчанию около 100 мег занимает BOOT, все остальное шифрует сплошным массивом. BOOT можешь вынести на флешку.

Все что я описал есть уже в релиз кандидате RC2, я его в виртмашину ставил.

привет, я в курсе, что 11.2 будет только через неделю.
и у меня на жестком диске стоит наиболее актуальный RC, который ты ставил на виртуальной машине.
и я даже шифровал там на этапе инсталляции. Вопрос у меня в другом – что это за шифрование? Какой там алгоритм?
Я потому и интересуюсь, что механизм оч удобный и простой, а suse мне нравилась всегда больше, чем debian (ну не знаю почему), но меньше, чем вообще незашифрованный системный раздел.
отсюда и весь интерес. А документации, которая позволяет ответить на вопрос по поводу алгоритма шифрования opensuse я не нашел.
Вот у debian все оказалось просто и понятно расписано, прочитал и все предельно понятно >>
http://www.debian.org/releases.....lpha/ch07s02.html.ru

настолько понятно, что уже решил обратиться к debian.

Можно ли впоследствии изменять ключевую фразу для раздела, зашифрованного dm-crypt во время установки Debian GNU/Linux?

Да. Обсуждалось многократно:

Затем полученный ключ используется для шифрования мастер-ключа, который открывает контейнер и результат шифрования записывается в слот. LUKS допускает до восьми слотов с разными паролями. Мастер-ключ генерируется изначально как единственный для контейнера и чтобы создать новый слот, его нужно извлечь из любого другого, где он содержится, введя соответствующий пароль.

Можно. Добавьте вторую фразу luksAddKey, когда проверите, что работают обе — и старая и новая, старую удалите luksRemoveKey.

Смена пользовательских ключей в слотах — нормальная процедура менеджмента паролей/пользовательских ключей, а не просто "защита от дурака" (как приведено для самого крайнего примера). Кроме того, в понятие управление паролей входит и их удаление: быстрое и максимально трудновосстановимое уничтожение ключей в слотах, а чтобы не нужно было тратить время на уничтожение всего контейнера — то и последнего используемого слота и соответственно мастер-ключа.

Там же, по ссылке :)

unknown, а чем эти опции различаются?
luksRemoveKey <device> [<key file>] remove supplied key or key file from LUKS device luksKillSlot <device> <key slot number> wipe key with number <key slot> from LUKS device. A remaining passphrase or key file (via --key-file) must be supplied. <options> can be [--key-file]. luksDelKey <device> <key slot number> identical to luksKillSlot, but deprecated action name.

luksKillSlot используйте.