шифрование системного раздела в linux
установлен opensuse 11.2
необходимо зашифровать весь диск, в том числе swap, по сложному алгоритму, а именно:
aes ,twofish, serpent (либо их сочетание, например, aes-twofish).
в windows это позволяет сделать diskcryptor, но, к сожалению, нет версии для linux.
truecrypt использовать не хочу, т.к. он не позволяеот шифровать системный раздел.
слышал про dm-crypt, но абсолютно не понимаю как его использовать.
необходимо шифрование всего диска, т.к. сохраняется определенная информация о работе, например, об rdp-соединениях.
вопрос: подскажите, учитывая ,что автор не является продвинутым пользователем линукс, как зашифровать весь диск в линуксе?
как использовать dm-crypt? либо киньте ссылочку, я сам не нашел!
спасибо.
Ссылки
[link1] http://en.gentoo-wiki.com/wiki/DM-Crypt_with_LUKS
[link2] http://www.debian.org/releases/stable/alpha/ch07s02.html.ru
[link3] https://www.pgpru.com/comment37353
[link4] https://tails.boum.org/doc/encryption_and_privacy/encrypted_volumes/index.en.html
[link5] http://ru.d-ws.biz/articles/install-ubuntu-at-crypto-disk.shtml
[link6] https://www.pgpru.com/soft/truecrypt
[link7] https://www.pgpru.com/soft/freeotfe
[link8] http://wiki.mvtom.ru/index.php/TrueCrypt
Зачем? Во-первых, скорость работы системы упадёт катастрофически. Во-вторых, Вы правда думаете, что противник станет атаковать криптографию и считаете обоснованным столь радикальное усиление и так самого прочного звена безопасности? (Как говорил Шнайер, это всё равно, что вкопать в землю 50-метровый столб в расчёте, что противник станет через него перелезать или с размаху о него расшибётся.)
мне необходимо, чтобы противнику не достались следы моей деятельности в линукс.
а именно:
1 история соединений rdp (сохраненные соединения)
2 любая другая системная информация, которая может свидетельствовать о характере работы пользователя за данным компьютером.
повторюсь, мне оч подошел бы diskcryptor, но нет версии по линукс.
на форуме его создатель посоветовал dm-crypt как аналог.
Если Вы знаете какие-либо способы решения данной проблемы, поделитесь пож.
Спасибо.
я правда думаю, что противник будет искать ответы на вопросы именно на компе. другие варианты я бы оставил в стороне, так как обстоятельства именно таковы, что у противника гипотетически есть жесткий диск и всё!
Под те требования, которые Вы ставите, более чем достаточно шифрования любым одним из перечисленных шифров, а не каскадом. Использование dm-crypt/LUKS описано в Сети очень подробно, есть множество подробных руководств для различных Линукс-дистрибутивов. Вот[link1] для Генты, к примеру. Аналогичный Вы можете найти и применительно к своему дистрибутиву.
В Debian возможность шифрования всей системы встроили в инсталлятор, так что это можно сделать практически не разбираясь в вопросе. Конфиги по умолчанию и автоматом созданный рамдиск с нужными модулями и скриптами дуракоустойчиво создаются из коробки.
Единственно для чего могут понадобиться дополнительные знания — это если вы хотите шифровать не весь физический том, как там предлагается по умолчанию, а логические тома по отдельности, при чём можно настроить /tmp и swap на шифрование одноразовым ключом (вписать urandom вместо luks в /etc/cryptab). Но для этого надо разбираться не только в dmcrypt, LUKS, cryptsetup, но и в LVM. Да, и по умолчанию для шифрования рекомендуется разбиения системы не на традиционные разделы, а посредством LVM, так что желательно изучить ещё man LVM.
спасибо за вариант с дебианом.
дело в том, что на данном жестком диске присутствует еще и винда, зашифрованная diskcryptor.
поэтому в любом случае придется использовать шифрование разделов по отдельности.
при установке opensuse 11.2 присутствует возможность шифрования каждого раздела по отдельности.
вопрос теперь только в одном: какой алгоритм шифрования используется в opensuse и какой в debian.
в одной из старых статей (касающихся opensuse 10.3) прочитал, что twofish, что вполне устраивает. Но это старая статья.
А по поводу debian – вообще неизвестно.
К этой всеобщей виртуализации можно ещё и RAID добавить (LVM немного похож на RAID, но они выполняют разные задачи и на серверах их используют совместно, на персональном компе RAID не особо нужен, а вот LVM уже давно рекомендуется).
Алгоритмы (и режимы дискового шифрования) — на выбор те которые есть в ядре в разделе cryptoAPI: AES, Twofish и Serpent точно. Кажется есть ещё Anubis или Khazad.
В общем, так. OpenSUSE 11.2 еще не вышла. Поставить ты мог только бету или релиз кандидат, да и то скорее только RC1. Говорю как пользователь суси. 11.2 выйдет только через неделю, дождись ее и все решится само собой – в 11.2 на этапе разбивки диска появилась встроенная поддержка полного шифрования диска а ля Debian. Просто выбираешь тип разбивки диска LVM, ставишь галочку зашифровать – и будет тебе счастье.
При разбивке по умолчанию около 100 мег занимает BOOT, все остальное шифрует сплошным массивом. BOOT можешь вынести на флешку.
Все что я описал есть уже в релиз кандидате RC2, я его в виртмашину ставил.
привет, я в курсе, что 11.2 будет только через неделю.
и у меня на жестком диске стоит наиболее актуальный RC, который ты ставил на виртуальной машине.
и я даже шифровал там на этапе инсталляции. Вопрос у меня в другом – что это за шифрование? Какой там алгоритм?
Я потому и интересуюсь, что механизм оч удобный и простой, а suse мне нравилась всегда больше, чем debian (ну не знаю почему), но меньше, чем вообще незашифрованный системный раздел.
отсюда и весь интерес. А документации, которая позволяет ответить на вопрос по поводу алгоритма шифрования opensuse я не нашел.
Вот у debian все оказалось просто и понятно расписано, прочитал и все предельно понятно >>
http://www.debian.org/releases.....lpha/ch07s02.html.ru[link2]
настолько понятно, что уже решил обратиться к debian.
Можно ли впоследствии изменять ключевую фразу для раздела, зашифрованного dm-crypt во время установки Debian GNU/Linux?
Да. Обсуждалось[link3] многократно:
Можно. Добавьте вторую фразу luksAddKey, когда проверите, что работают обе — и старая и новая, старую удалите luksRemoveKey.
Там же, по ссылке :)
unknown, а чем эти опции различаются?
luksKillSlot используйте.
Deprecated означает, что опция устарела и будет выведена из обращения в ближайших версиях программы. В данном случае явно указано, что её действие идентично новой опции luksKillSlot.
unknown если можно еще небольшую подсказку
моя ситуация отличается от рассмотренной в этом треде но возможно Вы сталкивались ...
у меня в компе два физических hdd
на одном стоит маздай на втором debian с полным дисковым шифрованием
второй диск куплен специально [во избежание всяких там двойных загрузок и костылей] и загрузку нужного в данный момент диска я выбираю принудительно из биоса
'есть мнение' © добавить на второй диск debian без шифрования и организовать на нем ретранслятор который можно будет запускать когда машина реально простаивает.
в этой связи возникает два вопроса [все-таки снос системы и чтобы не ошибиться]
в каком порядке надо устанавливать debian?
я планирую сначала ставить зашифрованную а потом незашифрованную
вопрос – определит ли инстоллер присутствие уже установленной зашифрованной системы?
я полагаю что определит по наличию незашифрованного /boot раздела но немного сумлеваюсь :) в возможных последствиях
вопрос2 – могу ли я использовать единственный /boot раздел для загрузки обеих deb-систем?
и если да то не грозит ли это возможной потерей данных?
также вызывает сомнение корректность работы после обновления ядра [одна система ядро обновит а будет ли вторая знать об этом]
ну и возможно я еще что-то важное упускаю по незнанию
поэтому если не трудно ...
Только для этого? Может обойтись системой на флэшке?
В любом. Вот в каком проще или легче, сказать затрудняюсь, но выкрутиться можно при любой ситуации.
Он определит наличие других разделов, ядер и рамдисков на них и по идее всё это пропишет в grub.cfg. А если что-то пойдёт не так — сами пропишете, деваться-то некуда будет.
я обычно так же рассуждаю, но тонкостей работы инсталлятора точно не помню и не полагаюсь на него особо.
Да, это возможно.
Скорее проблемами с загрузкой. Грабли могут быть с перетиранием рамдисков. Но всегда можно загрузиться с CD/USB или прямо из GRUB всё восстановить ручками — так что это не потеря данных.
рамдиски должны быть разные (тем более один из них для шифрованной системы). Значит и ядра с соответствующими именами должны быть прописаны разные. Или использовать всё-таки разные boot-разделы.
[решено] практика сама ответила
1) сначала лучше ставить незашифрованную систему а потом зашифрованную
2) инстоллер дебиана [про другие не знаю] не определяет присутствие зашифрованной системы только по наличию ее boot-раздела
3) не стоит использовать единственный boot-раздел для загрузки обеих deb-систем
4) а лучше всего и в этом случае разнести системы по разным физическим hdd
Кстати Tails основана на Debian, по крайней мере возможность шифровать обычные разделы там встроена: https://tails.boum.org/doc/enc.....olumes/index.en.html[link4]
Есть ли там опция шифровки системного раздела не в курсе.
Вопрос о «шифровке» системного раздела в контексте Tails не имеет смысла: системный раздел существует и статично (без шифрования) записан на сам LiveCD (или, может быть, в оперативную память впоследствии). Шифрование системного раздела потому тут приравнивалось бы к выпуску довольно хитрого форка Tails, где на загрузку ОС нужно вводить пароль. Чтобы у всех пароли были разные, каждый сам должен собирать такой форк по инструкциям. Что это собственно даст — тоже не ясно, т.к. по оставшимся незашифрованным частям LiveCD будет видно, что это именно Tails (скрыть этот факт не получится).
с так или иначе незашифрованным бут-разделом или вынесенным на отдельный носитель.
А чтобы шифрованые лайф-имиджи были разными, лайф-образ после первого запуска мог бы создавать свою копию (в памяти, если место есть), перешифрованную на пароль пользователя. Эту копию можно было бы записать на новый диск, раздел или флэшку.
http://ru.d-ws.biz/articles/in.....at-crypto-disk.shtml[link5] или по сценарию http://ru.opensuse.org/Шифрование_корневого_раздела во всяком случае они объезжаны и проверены на работоспособность.
можно ли в Линуксе монтировать разделы, зашифрованные diskcryptor? если ДА, то какую программу нужно использовать?
В старых версиях DC было можно, поскольку сохранялась совместимость с TrueCrypt. В новых версиях от совместимости ntldr отказался, поэтому ответ «нет такой программы».
Но поскольку исходники открыты, такая программа вполне может появиться.
Так .. грустно получается. Может кто даст совет, как зашифровать НЕсистемный раздел, чтобы потом можно было монтировать и в Винде и в Линуксе?
Взгляните на TrueCrypt[link6] или FreeOTFE[link7]
Вот я индеец ((
Здесь инструкция кому надо[link8]
Сбил меня "Шаг 4". Исходя из того что там написано "Том", подумал что речь идет о контейнере как обычно и сабж банально не умеет работать с несистемными разделами. В Линукс ТС ставится.
А если Diskcryptor установить через Wine? Насколько криво это будет? Кто имел такой опыт?
Драйвер через Wine?
Честно, смотрел что создает Wine для работы приложения, там каталоги и ветки реестра, но вот чтобы знать как он работает – нет.
Но судя по вопросу, сморозил ерунду.
Если сильно извращаться, можно поставить и виртуалку, где в гостевой ОС будет винда с DC. Другой вопрос — зачем такие сложности.
Нет-нет. Важно чтобы раздел можно было монтировать и в Вин и в Линукс. С гипервизорами все понятно.
Линукс — хост-ОС, винда — гостевая ОС. Файловая система монтируется по сети из винды в линукс ⇒ для вас всё будет работать прозрачно. Я к тому клоню, что при большом желании всё это сделать можно, если в этом есть такой большой смысл или необходимость.