шифрование системного раздела в linux
установлен opensuse 11.2
необходимо зашифровать весь диск, в том числе swap, по сложному алгоритму, а именно:
aes , twofish, serpent (либо их сочетание, например, aes-twofish).
в windows это позволяет сделать diskcryptor, но, к сожалению, нет версии для linux.
truecrypt использовать не хочу, т.к. он не позволяеот шифровать системный раздел.
слышал про dm-crypt, но абсолютно не понимаю как его использовать.
необходимо шифрование всего диска, т.к. сохраняется определенная информация о работе, например, об rdp-соединениях.
вопрос: подскажите, учитывая , что автор не является продвинутым пользователем линукс, как зашифровать весь диск в линуксе?
как использовать dm-crypt? Либо киньте ссылочку, я сам не нашел!
спасибо.
комментариев: 11558 документов: 1036 редакций: 4118
Зачем? Во-первых, скорость работы системы упадёт катастрофически. Во-вторых, Вы правда думаете, что противник станет атаковать криптографию и считаете обоснованным столь радикальное усиление и так самого прочного звена безопасности? (Как говорил Шнайер, это всё равно, что вкопать в землю 50-метровый столб в расчёте, что противник станет через него перелезать или с размаху о него расшибётся.)
а именно:
1 история соединений rdp (сохраненные соединения)
2 любая другая системная информация, которая может свидетельствовать о характере работы пользователя за данным компьютером.
повторюсь, мне оч подошел бы diskcryptor, но нет версии по линукс.
на форуме его создатель посоветовал dm-crypt как аналог.
Если Вы знаете какие-либо способы решения данной проблемы, поделитесь пож.
Спасибо.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Единственно для чего могут понадобиться дополнительные знания — это если вы хотите шифровать не весь физический том, как там предлагается по умолчанию, а логические тома по отдельности, при чём можно настроить /tmp и swap на шифрование одноразовым ключом (вписать urandom вместо luks в /etc/cryptab). Но для этого надо разбираться не только в dmcrypt, LUKS, cryptsetup, но и в LVM. Да, и по умолчанию для шифрования рекомендуется разбиения системы не на традиционные разделы, а посредством LVM, так что желательно изучить ещё man LVM.
дело в том, что на данном жестком диске присутствует еще и винда, зашифрованная diskcryptor.
поэтому в любом случае придется использовать шифрование разделов по отдельности.
при установке opensuse 11.2 присутствует возможность шифрования каждого раздела по отдельности.
вопрос теперь только в одном: какой алгоритм шифрования используется в opensuse и какой в debian.
в одной из старых статей (касающихся opensuse 10.3) прочитал, что twofish, что вполне устраивает. Но это старая статья.
А по поводу debian – вообще неизвестно.
комментариев: 9796 документов: 488 редакций: 5664
К этой всеобщей виртуализации можно ещё и RAID добавить (LVM немного похож на RAID, но они выполняют разные задачи и на серверах их используют совместно, на персональном компе RAID не особо нужен, а вот LVM уже давно рекомендуется).
Алгоритмы (и режимы дискового шифрования) — на выбор те которые есть в ядре в разделе cryptoAPI: AES, Twofish и Serpent точно. Кажется есть ещё Anubis или Khazad.
При разбивке по умолчанию около 100 мег занимает BOOT, все остальное шифрует сплошным массивом. BOOT можешь вынести на флешку.
Все что я описал есть уже в релиз кандидате RC2, я его в виртмашину ставил.
и у меня на жестком диске стоит наиболее актуальный RC, который ты ставил на виртуальной машине.
и я даже шифровал там на этапе инсталляции. Вопрос у меня в другом – что это за шифрование? Какой там алгоритм?
Я потому и интересуюсь, что механизм оч удобный и простой, а suse мне нравилась всегда больше, чем debian (ну не знаю почему), но меньше, чем вообще незашифрованный системный раздел.
отсюда и весь интерес. А документации, которая позволяет ответить на вопрос по поводу алгоритма шифрования opensuse я не нашел.
Вот у debian все оказалось просто и понятно расписано, прочитал и все предельно понятно >>
http://www.debian.org/releases.....lpha/ch07s02.html.ru
настолько понятно, что уже решил обратиться к debian.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664