Частный случай установки Ubuntu/Debian с полнодисковым шифрованием
Требуется решить конкретную задачу. Однако на этом сайте очень много инфы и не всегда, чаще всего, свести все воедино не хватает практических знаний.
1. Модель угрозы. Домашний комп может попасть в чужие руки. В таком случае, на дисках должно быть только бессигнатурное шифрование, чтобы противник не мог ни напрямую получить с дисков какую-либо информацию, ни доказать, что она там вообще есть. Все остальные угрозы опускаются.
2. Легенда. Затер диски рандомом, т.к. они мне не нужны и хочу отнести их в базар. Пользуюсь только live-CD.
3. Необходимое условие. Директории / и /home должны быть на разных физических дисках.
4. Грубый набросок решения.
- Бессигнатурно шифруем два физических диска – один для /, второй для /home.
- Поверх бессигнатурного шифрования создаем слой LUKS на обоих дисках.
- Boot выносим на флешку так, чтобы ее можно было после старта ОС вынуть.
Прошу любых замечаний/советов/мыслей по поводу бредовости и сложности реализации такой задачи в связи с полнодисковым шифрованием двух дисков и выносом boot на флешку. В первую очередь, интересует техническая сторона вопроса. Заранее благодарю.
комментариев: 9796 документов: 488 редакций: 5664
Может наоборот? Сначала LUKS, а поверх него слой бессигнатурки, чтобы заодно не мучаться со всякими оффсетами.
Попробовать можно примерно так. Поставить минимальную систему на флэшку штатным образом с обычным LUKS-сигнатурным шифрованием. Затем бессигнатурно зашифровать винчестеры. Внутри создать LUKS-разделы. Перенести таром файлы с флэшки, поправить UID'ы ФС, fstab, cryptab, пересобрать ramdisk. Вынести /boot на рабочую флэшку. Флэшку с промежуточной системой временно сохранить, затем стереть.
Возникнет такая проблема: рамдиск штатно не поддерживает бессигнатурки, а тем более выцепляние из под неё LUKS-разделов. Можно конечно поправить там скрипт, но это будет указывать, что используется бессигнатурка. Более рационально будет оставить скрипты initrd без изменений, но научиться там выходить в консоль с урезаным башем и вручную набирать команду для cryptsetup.
Именно так и имелось ввиду. Я неправильно выразился.
В смысле зашифровать ее или просто убедиться, что там есть утилита?
А без него, в данном случае, не получится?
Вангую, что это будет сложнее, чем установка сразу на бессигнатурный раздел.
Взаимоисключающие параграфы. Так откуда загрузка идёт, с флэшки или с LiveCD? Если хочется работать с реального кем-то сделанного стандартного LiveCD, можно пойти вообще другим путём: перенести его как-то на сам диск, сделать записываемым, а потом туда ставить софт. Впрочем, особого смысла я в этих извратах не вижу, проще свою систему установить сразу как надо.
P.S. Есть коммент и дальнейшее обсуждение в том топике. Можно было бы спрашивать там же, а не плодить топики на одну и ту же тему.
Вот и пользуйтесь. К чему весь огород? Зачем на домашнем компе вообще диски? Долой их. Внешние очень даже неплохо подсоединяются, как и шифруются очень замечательно и бессигнатурно.
комментариев: 1079 документов: 58 редакций: 59
Ну вот, к примеру:
У меня уже LUKS, как поверх него слой бессигнатурки сделать? OS – Mint.
Никак. Это надо было делать сразу.
комментариев: 1079 документов: 58 редакций: 59
Я так понял – это все в LiveCD делать, да? В штатном инсталляторе нет возможности выйти в консоль.
Или это только в Debian\Ubuntu? В производных от них дистрах нет выхода в консоль и расширенной версии инсталлятора.
комментариев: 9796 документов: 488 редакций: 5664
В Debian она есть.
комментариев: 1079 документов: 58 редакций: 59
Офтоп: Правильно ли я понимаю, что перейдя на Debian – у меня не изменится ровным счетом ничего. То есть – все инструкции в случае косяка – равнозначны с Ubuntu, проблемы решаются так же, так же поставлю себе привычный Cinnamon и прочие офисы, громоптицы, виртуалбоксы и тд? Работа в консоли будет та же самая, только вместо apt-get будет aptitude и вместо sudo\gksudo – будет su. Все верно? Разница лишь в несовместимости пакетов?
Критично наличие манов на русском. Я его проще воспринимаю. А то, куда ни глянь – новичкам Gentoo советуют, зная Миллера – в лучшем случае забанит, в худшем заставит ему для РН проект НПЗ рисовать, из за приставаний с Гентой))
комментариев: 9796 документов: 488 редакций: 5664
[K.O. mode]
Вместо apt-get будет apt-get.
Вместо aptitude будет aptitude.
Вместо sudo будет sudo.
Вместо gksudo будет gksudo.
Вместо su будет su.
[/K.O. mode]
Каких-то сомнительных плюшек Убунты не будет и пакеты будут более старые.
комментариев: 1079 документов: 58 редакций: 59
Тут терминологическая путаница вышла. Самый нижний уровень — бессигнатурное шифрование. Выше него идёт LUKS. Выше LUKS'а — ФС. Т.е. правильнее сказать, что LUKS накатывается поверх бессигнатурки. Делать наоборот не имело бы никакого смысла.
В нормальных LiveCD есть поддержка cryptsetup'а. Впрочем, дебиановский штатный что-то там важное не умеет (кажется, LVM). Инсталляционные диски надо брать не стандартные, а специальные, так назывемые «netinstall». Такие диски есть и для Debian'а и для Ubuntu. В них, если всё делать правильно, будет возможность выйти в шелл и проделать нужные манипуляции, если это так надо. Читай обсуждение, там всё это в деталях освещалось.
В Debian testing (jessie) не такие уж и старые...
Казалось, что моя тема – особый случай, не хотелось, при случае, засорять чужую ветку. Сорри.
На что влияет использование stable версии с проверенными пакетами? Быстродействие плохое, коли старые? Старые – это как б/у?