— SATtva (04/11/2009 21:42)   

необходимо зашифровать весь диск ... по сложному алгоритму, а именно: aes, twofish, serpent (либо их сочетание, например, aes-twofish).

Зачем? Во-первых, скорость работы системы упадёт катастрофически. Во-вторых, Вы правда думаете, что противник станет атаковать криптографию и считаете обоснованным столь радикальное усиление и так самого прочного звена безопасности? (Как говорил Шнайер, это всё равно, что вкопать в землю 50-метровый столб в расчёте, что противник станет через него перелезать или с размаху о него расшибётся.)

— Гость (04/11/2009 22:08)   
мне необходимо, чтобы противнику не достались следы моей деятельности в линукс.
а именно:
1 история соединений rdp (сохраненные соединения)
2 любая другая системная информация, которая может свидетельствовать о характере работы пользователя за данным компьютером.
повторюсь, мне оч подошел бы diskcryptor, но нет версии по линукс.
на форуме его создатель посоветовал dm-crypt как аналог.
Если Вы знаете какие-либо способы решения данной проблемы, поделитесь пож.

Спасибо.

— Гость (04/11/2009 22:11)   
я правда думаю, что противник будет искать ответы на вопросы именно на компе. другие варианты я бы оставил в стороне, так как обстоятельства именно таковы, что у противника гипотетически есть жесткий диск и всё!

— SATtva (04/11/2009 22:41)   
Под те требования, которые Вы ставите, более чем достаточно шифрования любым одним из перечисленных шифров, а не каскадом. Использование dm-crypt/LUKS описано в Сети очень подробно, есть множество подробных руководств для различных Линукс-дистрибутивов. Вот^[link1] для Генты, к примеру. Аналогичный Вы можете найти и применительно к своему дистрибутиву.

— unknown (05/11/2009 09:02)   
В Debian возможность шифрования всей системы встроили в инсталлятор, так что это можно сделать практически не разбираясь в вопросе. Конфиги по умолчанию и автоматом созданный рамдиск с нужными модулями и скриптами дуракоустойчиво создаются из коробки.

Единственно для чего могут понадобиться дополнительные знания — это если вы хотите шифровать не весь физический том, как там предлагается по умолчанию, а логические тома по отдельности, при чём можно настроить /tmp и swap на шифрование одноразовым ключом (вписать urandom вместо luks в /etc/cryptab). Но для этого надо разбираться не только в dmcrypt, LUKS, cryptsetup, но и в LVM. Да, и по умолчанию для шифрования рекомендуется разбиения системы не на традиционные разделы, а посредством LVM, так что желательно изучить ещё man LVM.

— Гость (05/11/2009 13:22)   
спасибо за вариант с дебианом.
дело в том, что на данном жестком диске присутствует еще и винда, зашифрованная diskcryptor.
поэтому в любом случае придется использовать шифрование разделов по отдельности.

при установке opensuse 11.2 присутствует возможность шифрования каждого раздела по отдельности.
вопрос теперь только в одном: какой алгоритм шифрования используется в opensuse и какой в debian.

в одной из старых статей (касающихся opensuse 10.3) прочитал, что twofish, что вполне устраивает. Но это старая статья.
А по поводу debian – вообще неизвестно.

— unknown (05/11/2009 14:14, исправлен 05/11/2009 14:18)   
|винчестер 1 | винчестер 2| |sda 1 | sda2 | sdb1 | sdb2| PV - Phisicical volume - цепляется на любую комбинацию разделов (например sda2+sdb1) - даже между разными устройствами. PV объединяются в VG - группы томов PV делится на LV - логические тома, их и надо использовать для /, /home, /tmp, swp и т.д. вместо sda1, sdb2 (которые при этом никуда не деваются) Например, если sda1 не занят физическим томом, то можете на нём винду поставить.

К этой всеобщей виртуализации можно ещё и RAID добавить (LVM немного похож на RAID, но они выполняют разные задачи и на серверах их используют совместно, на персональном компе RAID не особо нужен, а вот LVM уже давно рекомендуется).

Алгоритмы (и режимы дискового шифрования) — на выбор те которые есть в ядре в разделе cryptoAPI: AES, Twofish и Serpent точно. Кажется есть ещё Anubis или Khazad.

— Гость (05/11/2009 20:12)   
В общем, так. OpenSUSE 11.2 еще не вышла. Поставить ты мог только бету или релиз кандидат, да и то скорее только RC1. Говорю как пользователь суси. 11.2 выйдет только через неделю, дождись ее и все решится само собой – в 11.2 на этапе разбивки диска появилась встроенная поддержка полного шифрования диска а ля Debian. Просто выбираешь тип разбивки диска LVM, ставишь галочку зашифровать – и будет тебе счастье.

При разбивке по умолчанию около 100 мег занимает BOOT, все остальное шифрует сплошным массивом. BOOT можешь вынести на флешку.

Все что я описал есть уже в релиз кандидате RC2, я его в виртмашину ставил.

— Гость (05/11/2009 22:25)   
привет, я в курсе, что 11.2 будет только через неделю.
и у меня на жестком диске стоит наиболее актуальный RC, который ты ставил на виртуальной машине.
и я даже шифровал там на этапе инсталляции. Вопрос у меня в другом – что это за шифрование? Какой там алгоритм?
Я потому и интересуюсь, что механизм оч удобный и простой, а suse мне нравилась всегда больше, чем debian (ну не знаю почему), но меньше, чем вообще незашифрованный системный раздел.
отсюда и весь интерес. А документации, которая позволяет ответить на вопрос по поводу алгоритма шифрования opensuse я не нашел.
Вот у debian все оказалось просто и понятно расписано, прочитал и все предельно понятно >>
http://www.debian.org/releases.....lpha/ch07s02.html.ru^[link2]

настолько понятно, что уже решил обратиться к debian.

— Гость (04/04/2011 12:05)   
Можно ли впоследствии изменять ключевую фразу для раздела, зашифрованного dm-crypt во время установки Debian GNU/Linux?

— Гость (04/04/2011 13:09)   
Да. Обсуждалось^[link3] многократно:

Затем полученный ключ используется для шифрования мастер-ключа, который открывает контейнер и результат шифрования записывается в слот. LUKS допускает до восьми слотов с разными паролями. Мастер-ключ генерируется изначально как единственный для контейнера и чтобы создать новый слот, его нужно извлечь из любого другого, где он содержится, введя соответствующий пароль.

— unknown (04/04/2011 13:09)   
Можно. Добавьте вторую фразу luksAddKey, когда проверите, что работают обе — и старая и новая, старую удалите luksRemoveKey.

— Гость (04/04/2011 13:11)   

Смена пользовательских ключей в слотах — нормальная процедура менеджмента паролей/пользовательских ключей, а не просто "защита от дурака" (как приведено для самого крайнего примера). Кроме того, в понятие управление паролей входит и их удаление: быстрое и максимально трудновосстановимое уничтожение ключей в слотах, а чтобы не нужно было тратить время на уничтожение всего контейнера — то и последнего используемого слота и соответственно мастер-ключа.

Там же, по ссылке :)

— Гость (04/04/2011 16:13)   
unknown, а чем эти опции различаются?
luksRemoveKey <device> [<key file>] remove supplied key or key file from LUKS device luksKillSlot <device> <key slot number> wipe key with number <key slot> from LUKS device. A remaining passphrase or key file (via --key-file) must be supplied. <options> can be [--key-file]. luksDelKey <device> <key slot number> identical to luksKillSlot, but deprecated action name.

— unknown (04/04/2011 17:16)   
luksKillSlot используйте.

— SATtva (04/04/2011 19:44)   

чем эти опции различаются?

deprecated action name

Deprecated означает, что опция устарела и будет выведена из обращения в ближайших версиях программы. В данном случае явно указано, что её действие идентично новой опции luksKillSlot.

— dolboyob (20/02/2012 21:34)   
unknown если можно еще небольшую подсказку
моя ситуация отличается от рассмотренной в этом треде но возможно Вы сталкивались ...

у меня в компе два физических hdd
на одном стоит маздай на втором debian с полным дисковым шифрованием
второй диск куплен специально [во избежание всяких там двойных загрузок и костылей] и загрузку нужного в данный момент диска я выбираю принудительно из биоса

'есть мнение' © добавить на второй диск debian без шифрования и организовать на нем ретранслятор который можно будет запускать когда машина реально простаивает.
в этой связи возникает два вопроса [все-таки снос системы и чтобы не ошибиться]

в каком порядке надо устанавливать debian?
я планирую сначала ставить зашифрованную а потом незашифрованную

вопрос – определит ли инстоллер присутствие уже установленной зашифрованной системы?
я полагаю что определит по наличию незашифрованного /boot раздела но немного сумлеваюсь :) в возможных последствиях

вопрос2 – могу ли я использовать единственный /boot раздел для загрузки обеих deb-систем?
и если да то не грозит ли это возможной потерей данных?

также вызывает сомнение корректность работы после обновления ядра [одна система ядро обновит а будет ли вторая знать об этом]

ну и возможно я еще что-то важное упускаю по незнанию

поэтому если не трудно ...

— unknown (21/02/2012 10:47)   

добавить на второй диск debian без шифрования и организовать на нем ретранслятор который можно будет запускать когда машина реально простаивает.

Только для этого? Может обойтись системой на флэшке?
В любом. Вот в каком проще или легче, сказать затрудняюсь, но выкрутиться можно при любой ситуации.
Он определит наличие других разделов, ядер и рамдисков на них и по идее всё это пропишет в grub.cfg. А если что-то пойдёт не так — сами пропишете, деваться-то некуда будет.
я обычно так же рассуждаю, но тонкостей работы инсталлятора точно не помню и не полагаюсь на него особо.
Да, это возможно.
Скорее проблемами с загрузкой. Грабли могут быть с перетиранием рамдисков. Но всегда можно загрузиться с CD/USB или прямо из GRUB всё восстановить ручками — так что это не потеря данных.
рамдиски должны быть разные (тем более один из них для шифрованной системы). Значит и ядра с соответствующими именами должны быть прописаны разные. Или использовать всё-таки разные boot-разделы.

— dolboyob (26/02/2012 22:31)   
[решено] практика сама ответила
1) сначала лучше ставить незашифрованную систему а потом зашифрованную
2) инстоллер дебиана [про другие не знаю] не определяет присутствие зашифрованной системы только по наличию ее boot-раздела
3) не стоит использовать единственный boot-раздел для загрузки обеих deb-систем
4) а лучше всего и в этом случае разнести системы по разным физическим hdd

— Гость (29/02/2012 13:44)   
Кстати Tails основана на Debian, по крайней мере возможность шифровать обычные разделы там встроена: https://tails.boum.org/doc/enc.....olumes/index.en.html^[link4]

Есть ли там опция шифровки системного раздела не в курсе.

— Гость (04/03/2012 05:15)   
Вопрос о «шифровке» системного раздела в контексте Tails не имеет смысла: системный раздел существует и статично (без шифрования) записан на сам LiveCD (или, может быть, в оперативную память впоследствии). Шифрование системного раздела потому тут приравнивалось бы к выпуску довольно хитрого форка Tails, где на загрузку ОС нужно вводить пароль. Чтобы у всех пароли были разные, каждый сам должен собирать такой форк по инструкциям. Что это собственно даст — тоже не ясно, т.к. по оставшимся незашифрованным частям LiveCD будет видно, что это именно Tails (скрыть этот факт не получится).

— Гость (04/03/2012 10:35)   

debian с полным дисковым шифрованием

— unknown (04/03/2012 19:17)   

с так или иначе незашифрованным бут-разделом или вынесенным на отдельный носитель.

А чтобы шифрованые лайф-имиджи были разными, лайф-образ после первого запуска мог бы создавать свою копию (в памяти, если место есть), перешифрованную на пароль пользователя. Эту копию можно было бы записать на новый диск, раздел или флэшку.

— андреё9898 (15/08/2012 15:55)   
http://ru.d-ws.biz/articles/in.....at-crypto-disk.shtml^[link5] или по сценарию http://ru.opensuse.org/Шифрование_корневого_раздела во всяком случае они объезжаны и проверены на работоспособность.

— Гость (15/06/2013 01:03)   
можно ли в Линуксе монтировать разделы, зашифрованные diskcryptor? если ДА, то какую программу нужно использовать?

— Гость (15/06/2013 03:11)   

можно ли в Линуксе монтировать разделы, зашифрованные diskcryptor? если ДА, то какую программу нужно использовать?

В старых версиях DC было можно, поскольку сохранялась совместимость с TrueCrypt. В новых версиях от совместимости ntldr отказался, поэтому ответ «нет такой программы».

— Гость (15/06/2013 06:47)   
Но поскольку исходники открыты, такая программа вполне может появиться.

— Гость (15/06/2013 12:10)   
Так .. грустно получается. Может кто даст совет, как зашифровать НЕсистемный раздел, чтобы потом можно было монтировать и в Винде и в Линуксе?

— Гость (15/06/2013 13:03)   
Взгляните на TrueCrypt^[link6] или FreeOTFE^[link7]

— Гость (15/06/2013 13:44)   
Вот я индеец ((
Здесь инструкция кому надо^[link8]
Сбил меня "Шаг 4". Исходя из того что там написано "Том", подумал что речь идет о контейнере как обычно и сабж банально не умеет работать с несистемными разделами. В Линукс ТС ставится.

А если Diskcryptor установить через Wine? Насколько криво это будет? Кто имел такой опыт?

— SATtva (15/06/2013 15:45)   
Драйвер через Wine?

— Гость (15/06/2013 21:20)   
Честно, смотрел что создает Wine для работы приложения, там каталоги и ветки реестра, но вот чтобы знать как он работает – нет.
Но судя по вопросу, сморозил ерунду.

— Гость (15/06/2013 23:52)   

А если Diskcryptor установить через Wine? Насколько криво это будет?

Если сильно извращаться, можно поставить и виртуалку, где в гостевой ОС будет винда с DC. Другой вопрос — зачем такие сложности.

— Гость (16/06/2013 00:17)   

Если сильно извращаться

Нет-нет. Важно чтобы раздел можно было монтировать и в Вин и в Линукс. С гипервизорами все понятно.

— Гость (16/06/2013 15:49)   

Важно чтобы раздел можно было монтировать и в Вин и в Линукс.

Линукс — хост-ОС, винда — гостевая ОС. Файловая система монтируется по сети из винды в линукс ⇒ для вас всё будет работать прозрачно. Я к тому клоню, что при большом желании всё это сделать можно, если в этом есть такой большой смысл или необходимость.