id: Гость   вход   регистрация
текущее время 21:36 25/05/2018
создать
просмотр
ссылки

шифрование системного раздела в linux


установлен opensuse 11.2
необходимо зашифровать весь диск, в том числе swap, по сложному алгоритму, а именно:
aes , twofish, serpent (либо их сочетание, например, aes-twofish).
в windows это позволяет сделать diskcryptor, но, к сожалению, нет версии для linux.


truecrypt использовать не хочу, т.к. он не позволяеот шифровать системный раздел.


слышал про dm-crypt, но абсолютно не понимаю как его использовать.
необходимо шифрование всего диска, т.к. сохраняется определенная информация о работе, например, об rdp-соединениях.


вопрос: подскажите, учитывая , что автор не является продвинутым пользователем линукс, как зашифровать весь диск в линуксе?
как использовать dm-crypt? Либо киньте ссылочку, я сам не нашел!


спасибо.


 
На страницу: 1, 2, 3 След.
Комментарии
— SATtva (04/11/2009 21:42)   профиль/связь   <#>
комментариев: 11527   документов: 1036   редакций: 4052
необходимо зашифровать весь диск ... по сложному алгоритму, а именно: aes, twofish, serpent (либо их сочетание, например, aes-twofish).

Зачем? Во-первых, скорость работы системы упадёт катастрофически. Во-вторых, Вы правда думаете, что противник станет атаковать криптографию и считаете обоснованным столь радикальное усиление и так самого прочного звена безопасности? (Как говорил Шнайер, это всё равно, что вкопать в землю 50-метровый столб в расчёте, что противник станет через него перелезать или с размаху о него расшибётся.)
— Гость (04/11/2009 22:08)   <#>
мне необходимо, чтобы противнику не достались следы моей деятельности в линукс.
а именно:
1 история соединений rdp (сохраненные соединения)
2 любая другая системная информация, которая может свидетельствовать о характере работы пользователя за данным компьютером.
повторюсь, мне оч подошел бы diskcryptor, но нет версии по линукс.
на форуме его создатель посоветовал dm-crypt как аналог.
Если Вы знаете какие-либо способы решения данной проблемы, поделитесь пож.

Спасибо.
— Гость (04/11/2009 22:11)   <#>
я правда думаю, что противник будет искать ответы на вопросы именно на компе. другие варианты я бы оставил в стороне, так как обстоятельства именно таковы, что у противника гипотетически есть жесткий диск и всё!
— SATtva (04/11/2009 22:41)   профиль/связь   <#>
комментариев: 11527   документов: 1036   редакций: 4052
Под те требования, которые Вы ставите, более чем достаточно шифрования любым одним из перечисленных шифров, а не каскадом. Использование dm-crypt/LUKS описано в Сети очень подробно, есть множество подробных руководств для различных Линукс-дистрибутивов. Вот для Генты, к примеру. Аналогичный Вы можете найти и применительно к своему дистрибутиву.
— unknown (05/11/2009 09:02)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
В Debian возможность шифрования всей системы встроили в инсталлятор, так что это можно сделать практически не разбираясь в вопросе. Конфиги по умолчанию и автоматом созданный рамдиск с нужными модулями и скриптами дуракоустойчиво создаются из коробки.

Единственно для чего могут понадобиться дополнительные знания — это если вы хотите шифровать не весь физический том, как там предлагается по умолчанию, а логические тома по отдельности, при чём можно настроить /tmp и swap на шифрование одноразовым ключом (вписать urandom вместо luks в /etc/cryptab). Но для этого надо разбираться не только в dmcrypt, LUKS, cryptsetup, но и в LVM. Да, и по умолчанию для шифрования рекомендуется разбиения системы не на традиционные разделы, а посредством LVM, так что желательно изучить ещё man LVM.
— Гость (05/11/2009 13:22)   <#>
спасибо за вариант с дебианом.
дело в том, что на данном жестком диске присутствует еще и винда, зашифрованная diskcryptor.
поэтому в любом случае придется использовать шифрование разделов по отдельности.

при установке opensuse 11.2 присутствует возможность шифрования каждого раздела по отдельности.
вопрос теперь только в одном: какой алгоритм шифрования используется в opensuse и какой в debian.

в одной из старых статей (касающихся opensuse 10.3) прочитал, что twofish, что вполне устраивает. Но это старая статья.
А по поводу debian – вообще неизвестно.
— unknown (05/11/2009 14:14, исправлен 05/11/2009 14:18)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664


К этой всеобщей виртуализации можно ещё и RAID добавить (LVM немного похож на RAID, но они выполняют разные задачи и на серверах их используют совместно, на персональном компе RAID не особо нужен, а вот LVM уже давно рекомендуется).

Алгоритмы (и режимы дискового шифрования) — на выбор те которые есть в ядре в разделе cryptoAPI: AES, Twofish и Serpent точно. Кажется есть ещё Anubis или Khazad.
— Гость (05/11/2009 20:12)   <#>
В общем, так. OpenSUSE 11.2 еще не вышла. Поставить ты мог только бету или релиз кандидат, да и то скорее только RC1. Говорю как пользователь суси. 11.2 выйдет только через неделю, дождись ее и все решится само собой – в 11.2 на этапе разбивки диска появилась встроенная поддержка полного шифрования диска а ля Debian. Просто выбираешь тип разбивки диска LVM, ставишь галочку зашифровать – и будет тебе счастье.

При разбивке по умолчанию около 100 мег занимает BOOT, все остальное шифрует сплошным массивом. BOOT можешь вынести на флешку.

Все что я описал есть уже в релиз кандидате RC2, я его в виртмашину ставил.
— Гость (05/11/2009 22:25)   <#>
привет, я в курсе, что 11.2 будет только через неделю.
и у меня на жестком диске стоит наиболее актуальный RC, который ты ставил на виртуальной машине.
и я даже шифровал там на этапе инсталляции. Вопрос у меня в другом – что это за шифрование? Какой там алгоритм?
Я потому и интересуюсь, что механизм оч удобный и простой, а suse мне нравилась всегда больше, чем debian (ну не знаю почему), но меньше, чем вообще незашифрованный системный раздел.
отсюда и весь интерес. А документации, которая позволяет ответить на вопрос по поводу алгоритма шифрования opensuse я не нашел.
Вот у debian все оказалось просто и понятно расписано, прочитал и все предельно понятно >>
http://www.debian.org/releases.....lpha/ch07s02.html.ru

настолько понятно, что уже решил обратиться к debian.
— Гость (04/04/2011 12:05)   <#>
Можно ли впоследствии изменять ключевую фразу для раздела, зашифрованного dm-crypt во время установки Debian GNU/Linux?
— Гость (04/04/2011 13:09)   <#>
Да. Обсуждалось многократно:
Затем полученный ключ используется для шифрования мастер-ключа, который открывает контейнер и результат шифрования записывается в слот. LUKS допускает до восьми слотов с разными паролями. Мастер-ключ генерируется изначально как единственный для контейнера и чтобы создать новый слот, его нужно извлечь из любого другого, где он содержится, введя соответствующий пароль.
— unknown (04/04/2011 13:09)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Можно. Добавьте вторую фразу luksAddKey, когда проверите, что работают обе — и старая и новая, старую удалите luksRemoveKey.
— Гость (04/04/2011 13:11)   <#>
Смена пользовательских ключей в слотах — нормальная процедура менеджмента паролей/пользовательских ключей, а не просто "защита от дурака" (как приведено для самого крайнего примера). Кроме того, в понятие управление паролей входит и их удаление: быстрое и максимально трудновосстановимое уничтожение ключей в слотах, а чтобы не нужно было тратить время на уничтожение всего контейнера — то и последнего используемого слота и соответственно мастер-ключа.
Там же, по ссылке :)
— Гость (04/04/2011 16:13)   <#>
unknown, а чем эти опции различаются?
— unknown (04/04/2011 17:16)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
luksKillSlot используйте.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3