хочу странную ФС

При размонтировании изменения сливаются с основным образом и опять сжимаются

Кошмар какой неописуемый. Как то знаете ли не клеится со смыслом команды umount.

squashfs+unionfs, только umount придется заменить на маленький скрипт.

Можно и так, только read/write часть должна шифроваться тем же ключом. Так может быть?

также man qemu-nbd для qcow

кладешь всё на шифрованный раздел

Может LVM snapshot? Или аналогичная функциональность в btrfs и ZFS. А снапшот делать при каждом монтировании.

Пока что склоняюсь к LVM на loop. С шифрованием, по ходу, оптимизации расхода места не будет, да и хрен с ним, меня в данный момент интересует монтирование при логине и размонтирование при разлогине последней сессии, а также выполнение команд после монтирования — причем все это не от рута.

FS Creation Kit тебе в руки, правда он староват немного

а нет ли в природе чего-нить такого: есть файл с образом системы, сжатый, шифрованный.

Задача то какая? К чему все эти танцы?

что-то похожее сделано в aufs.

Затраты дискового пространства не являются для меня существенным фактором.

а память? Логично расшифровывать в память, и там держать ФС в открытом виде.

Совершенно идиотский договор с работодятелом. Согласно нему, данные, с которыми я по работе соприкасаюсь, должны быть зашифрованы (never mind, что почта не шифруется, тк про pgp/gpg не слышали).

И как они в этом удостоверятся? Просто иметь зашифрованный раздел не катит?

Слушай, меня напрягает, что в мышевозной макоси я это все могу сделать, не отрывая руки от мыши, а в линаксе... Ну шо поделать, LUKS без рута работать не хочет. Еще куча телодвижений, а скрипт такой написать, а там ограничение такое, сякое, гибкость, тьфу ты прости господи.

не отрывая руки от мыши

http://lorquotes.ru/view-quote.php?id=1

Убунта при установке спрашивает, шифровать ли home. Значит всё возможно.

Или тебе выдали железку на которой у тебя нет ни рутовых прав, ни настроенного шифрования? Российский ТК, например, говорит, что так делать нельзя.

Убунта при установке спрашивает, шифровать ли home. Значит всё возможно.

Ага: захотел зашифровать — переустанавливай. Это очень по-убунтовски, показательно.

Просто в линуксе нет механизма, который может позволить losetup/cryptsetup сделать от обычного пользователя, с раздачей прав только этому пользователю на результат. И это напрягает.

Или тебе выдали железку на которой у тебя нет ни рутовых прав, ни настроенного шифрования? Российский ТК, например, говорит, что так делать нельзя.

Я не хочу работать под рутом для задач, которые целиком и полностью вписываются в песочницу одного пользователя.

Совершенно идиотский договор с работодятелом.

Страсти то какие. Можно написать модуль для линукс ведра которое будет создавать то что тебе надо. ведь это должно быть на уровне ядра. иначе будет жопа с IO

А допустим, демон, который по пинкам по, скажем, dbus делает для тебя losetup/cryptsetup, дает права на получившийся девайс, и все таке? Надо Леннарту сказать, что ли. Или udisks пропатчить.

Меня смутило то, что в огороженной макоси я вник в процесс за полтора часа, из этого минут 35 ушло на собсна создание криптованного образа на 60 гиг. При логине образ монтируется, пароль на него хранится в Keychain (который тоже шифрован, но паролем для логина), так что я не ввожу пароль по сто раз. При монтировании запускается от моего пользователя апач для того приложения, которое я разрабатываю (это чтоб не трахаться с suexec или itk), и мускуль для его базы данных (ну, база тоже должна быть шифрованная) — все с настройками, лежащими в том же образе.

Заметь, мне там на всей цепочке права рута не нужны.

Но там, понимаешь, просто образы и шифрованные образы влегкую монтируются от пользователя, скажу больше — можно систему с dmg стартовать как ни в чем ни бывало. И это все в GUI, без правки конфигов.

А в свободном и гибком линуксе я разбирался полдня, да и плюнул, потому что оно как короткое одеяло — то рута подавай там, где можно бы и обойтись, то простыню из команд запоминай. Я не против простыни команд, если бы они еще и работали стабильно.

Просто в линуксе нет механизма, который может позволить losetup/cryptsetup сделать от обычного пользователя

FUSE !?
http://sourceforge.net/apps/mediawiki/fuse/index.php?title=EncryptedFileSystems

— то рута подавай там,

sudo?

А зачем вообще, на любом этапе, делать setuid 0?

FUSE !?

«Userspace filesystem? The problem is right there. Always has been. People who think that userspace filesystems are realistic for anything but toys are just misguided.» — Linus Torvalds

Совершенно идиотский договор с работодятелом. Согласно нему, данные, с которыми я по работе соприкасаюсь, должны быть зашифрованы (never mind, что почта не шифруется, тк про pgp/gpg не слышали).

TrueCrypt

EncFS

Ох... Тысячи их. Возьми что угодно, тебе всё равно для галочки.

Слушай, меня напрягает, что в мышевозной макоси я это все могу сделать

там тоже для галочки. А в Linux для дела. Ну напрягись разок, в слаке всё искороппки проставлено, только включай. В других ОС так вообще даже в консоль не нужно.

Просто в линуксе нет механизма, который может позволить losetup/cryptsetup сделать от обычного пользователя, с раздачей прав только этому пользователю на результат. И это напрягает.

такого механизма быть не может. Только через костыли типа sudo. А зачем они в Linux?

Я не хочу работать под рутом для задач, которые целиком и полностью вписываются в песочницу одного пользователя.

увы. Когда ты шифруешь, ты шифруешь от ВСЕХ. В т.ч. и от рута. Но это невозможно, если ты не root.

Т.е. опасность в том, что твой начальник в твоё отсутствие может всё расшифровать, когда станет рутом. И какой в этом смысл?

PS: и тем не менее, _шифровать_ можно, но только в один конец. Нельзя открыть зашифрованное на этой системе(где ты не рут).

А в свободном и гибком линуксе я разбирался полдня, да и плюнул, потому что оно как короткое одеяло — то рута подавай там, где можно бы и обойтись

нельзя. См. выше.

то простыню из команд запоминай. Я не против простыни команд, если бы они еще и работали стабильно.

ты просто не осилил понять.

«Userspace filesystem? The problem is right there. Always has been. People who think that userspace filesystems are realistic for anything but toys are just misguided.» — Linus Torvalds

У тебя проблемы с английским? Или ты доказываешь, что Линус — мудак?

Нет? А почему тогда ты не понимаешь необходимость set UID 0 для новой ФС?

Тебе sudo влом набрать, да?

«Userspace filesystem? The problem is right there. Always has been. People who think that userspace filesystems are realistic for anything but toys are just misguided.» — Linus Torvalds

Ну так дал бы ссылки откуда ты это взял:
http://www.phoronix.com/scan.php?page=news_item&px=OTYwMA
http://cloudfs.org/2011/06/user-space-filesystems/

Я не хочу работать под рутом для задач, которые целиком и полностью вписываются в песочницу одного пользователя

FUSE - модуль ядра позволяющий пользователям без привилегий создавать их собственные файловые системы.
Какого тебе еще надо!?