id: Гость   вход   регистрация
текущее время 18:43 28/03/2024
Автор темы: Гость, тема открыта 19/04/2015 14:20 Печать
Категории: криптография, приватность, инфобезопасность, защита дисков, симметричное шифрование, отрицаемое шифрование, операционные системы, модель угрозы
https://www.pgpru.com/Форум/UnixLike/ЧастныйСлучайУстановкиUbuntuDebianСПолнодисковымШифрованием
создать
просмотр
ссылки

Частный случай установки Ubuntu/Debian с полнодисковым шифрованием


Требуется решить конкретную задачу. Однако на этом сайте очень много инфы и не всегда, чаще всего, свести все воедино не хватает практических знаний.


1. Модель угрозы. Домашний комп может попасть в чужие руки. В таком случае, на дисках должно быть только бессигнатурное шифрование, чтобы противник не мог ни напрямую получить с дисков какую-либо информацию, ни доказать, что она там вообще есть. Все остальные угрозы опускаются.


2. Легенда. Затер диски рандомом, т.к. они мне не нужны и хочу отнести их в базар. Пользуюсь только live-CD.


3. Необходимое условие. Директории / и /home должны быть на разных физических дисках.


4. Грубый набросок решения.


  • Бессигнатурно шифруем два физических диска – один для /, второй для /home.
  • Поверх бессигнатурного шифрования создаем слой LUKS на обоих дисках.
  • Boot выносим на флешку так, чтобы ее можно было после старта ОС вынуть.

Прошу любых замечаний/советов/мыслей по поводу бредовости и сложности реализации такой задачи в связи с полнодисковым шифрованием двух дисков и выносом boot на флешку. В первую очередь, интересует техническая сторона вопроса. Заранее благодарю.


 
На страницу: 1, 2, 3 След.
Комментарии
— гыук (28/06/2015 22:41)   профиль/связь   <#>
комментариев: 271   документов: 0   редакций: 0

Разве я спорю с вами? Вычитал здесь что версия 1.6 поддерживает работу с контейнерами TC и побыстрому обновил, но вот забыл что у меня полнодисковое шифрование. Выключил комп в конце рабочего дня. Тут же вспомнил и решил загрузится. Все. Завис.
Не трогай пока система работает? Да. Но уже дело сделано. Увы.
— pgprubot (28/06/2015 22:53, исправлен 28/06/2015 22:57)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Не знаю, какие изменения в системе повлекло за собой обновление cryptsetup. Если вы это делали в командной строке, там всё это пишется.



Какой тип Debian? Stable? Unstable? Testing?


Сомневаюсь, что 1.6 не имеет обратной совместимости с 1.4. Может быть, там просто были изменены дефолты какие-то. Я бы для начала попытался подключить шифрованный диск вручную из загрузчика (initramfs-шелл), чтобы понять, что именно не работает, но опять же, как всегда, всё это упирается в знание и понимание, без этого проблемы такого сорта крайне трудно фиксить.


Вам удалось сдаунгрейдить версию cryptsetup? Теперь всё заработало?

— гыук (28/06/2015 23:17, исправлен 29/06/2015 07:17)   профиль/связь   <#>
комментариев: 271   документов: 0   редакций: 0

Перезагружался.



В репозитории 1.4. Скачал с debian.org пакет *.deb 1.6 и установил через установщик пакетов (не через dpkg -i).
Система wheezy с последними штатными обновлениями.



Начало загрузки:


— type:unknown option
мерцающий курсор



Система не запустилась.
Сейчас попробую посмотреть применился ли даунгрейдинг.

— гыук (28/06/2015 23:59, исправлен 29/06/2015 00:11)   профиль/связь   <#>
комментариев: 271   документов: 0   редакций: 0

# cryptsetup --version
cryptsetup 1.4.3


Да версия изменилась. Даунгрейд делал через удаление 1.6 и установки *.deb пакета 1.4.
Правильно? Ибо, synaptic не пашет, как и apt.


Почему же не грузится ((



Это очень сложно?
Я доходил до initramfs, но дальше не хватает знаний.


Может в таком случае проще установить систему с ноля и перебросить туда систему с зашифрованного диска?


Попробовал переустановить cryptsetup еще раз. Получил такую строку:
Обрабатываются триггеры для initramfs-tools …
/boot/initrd.img-3.2.0-4-686-pae does not exist. Cannot update.


Чую не нормально.

— SATtva (29/06/2015 07:22)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Но не полная. Когда в Генте обновлялся с 1.2.x (или 1.1.x?) до 1.6.x с кастомным initrd, тоже получил незагружабельную систему. Не помню точно, в чём оказался затык, но что-то пришлось править в стартовом скрипте.
— гыук (01/07/2015 03:29)   профиль/связь   <#>
комментариев: 271   документов: 0   редакций: 0
Вообщем в этой ситуации ничего умного не было придумано.
В другой системе был открыт зашифрованный раздел. Система скопирована. На носитель была накатана новая установка идентичная прошлой. Системный раздел был опять таки открыт в другой ОС и затерт с последующим копированием на него ранее сохраненную систему. Fstab и crypttab взяты с новой установки. Все запустилось и работает.
Cryptsetup оказался таки сданугрединым. Вывод – проблема была видимо с initrd.
— pgprubot (01/07/2015 18:28, исправлен 01/07/2015 18:31)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Если это не штатное обновление, предусмотренное системой, то не представляю, что вы могли сделать, чтобы установить пакет. Такие операции в Debian stable не предусмотрены. Насильственная установка пакета рушит зависимости/линковку с библиотеками, в итоге получится не просто новый cryptsetup, а нерабочий. Т.е. у вас дело, скорей всего, не в том, что 1.6 несовместим с 1.4, а в том, что 1.6 не был установлен нужным образом.


Узнать зависимости можно тут (для jessie). Каждый из пакетов, от которых зависит cryptsetup, тоже зависит от чего-то. Цепочка зависимостей должна раскручиваться полностью, и все, требующие обновления пакеты, обновлены. Однако, это приведёт к тому, что будут обновлены пакеты, от которых зависят какие-то посторонние третьи, и тогда те третьи тоже придётся обновить. В итоге вам придётся обновлять половину системы, если не вообще всю, с риском всё угробить.


Если вам так позарез нужен 1.6, нужно было читать инструкции, а потом целиком обновлять wheezy до jessie (или до squeeze, а потом до jessie).

— гыук (01/07/2015 22:28, исправлен 01/07/2015 22:31)   профиль/связь   <#>
комментариев: 271   документов: 0   редакций: 0

Вот 1.4 – https://packages.debian.org/wheezy/cryptsetup
Я взял отсюда (бэкпортов)1.6 – https://packages.debian.org/ru.....backports/cryptsetup
Установился, надо сказать, ни чивхнув ни кашлянув.



Вот это то и была моя самая первая версия. А так как в системе полнодисковое шифрование, то это связано с initrd.
Вот что меня и смутило: "/boot/initrd.img-3.2.0-4-686-pae does not exist. Cannot update"
После операции по внешнему даунгрейдингу cryptsetup, система обрела прежнюю работоспособность (не в прямом смысле, но через копирование). Из чего можно сделать вывод, что изменения не были уж такими глубокими.



Да вот в том то и дело, что не позарез. Так добавить функционалу). В системе и так есть TC. А мне вот понадобилось и такое..
Правильно говорят: работает не трожь!

— pgprubot (01/07/2015 22:36)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Первый раз слышу про бэкпорты, поэтому не буду комментировать их стабильность/надёжность.


Похоже, что он не обновил initramfs (initrd) причитающимся образом. В него входит ядро Linux, а также тулзы по подключению всего нужного (в том числе, cryptsetup).


Там было «не сломано — не чини». Во всяком случае при играх со всей такой нестандартщиной хорошо бы делать бэкапы образа системы, чтобы в случае проблем не чесать долго репу, что там могло отвалиться, а легко откатить систему обратно.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3