LINUX.ORG.RU

Какая схема с RAID-1 и шифрованием лучше?

 , , ,


2

2

Пришло время переустанавливать Ubuntu (на десктопе). До этого ни RAID, ни шифрования на нём не было, теперь хочу сделать.

Есть 2 варианта:

1) Создаю RAID-1, поверх него LUKS, на него устанавливаю корневой раздел и swap-файл. Отдельный раздел для хомяка не делаю, хомяк, возможно, в дополнение шифрую при помощи ecryptfs. Важно, чтобы этот своп можно было использовать для гибернации. Я так ни разу не делал, не проверял.

2) Создаю RAID-1, на него ставлю незашифрованный хомяк, в нём шифрованный при помощи ecryptfs домашний каталог. Своп будет в виде отдельного зашифрованного раздела, причём, думаю, необязательно на raid-1 его.

Какой вариант лучше? В первом я вижу большую безопасность, во втором — более эффективное использование места (за счёт того, что своп не зеркалируется), вероятно большую производительность и меньше проблем при необходимости восстановления системы. Может, есть и другие варианты.

Перемещено leave из desktop

а если вообще своп убрать

Harald ★★★★★ ()

Ты хочешь создать рейд из разделов разного размера?

Ты хочешь использовать шифрование поверх шифрования?

Я думаю, тебе неплохо было бы подучить матчасть и, возможно, обратиться к врачу.

leave ★★★★★ ()
Ответ на: комментарий от leave

Ты хочешь создать рейд из разделов разного размера?

Нет, из одного. Где я сказал, что из двух?

Ты хочешь использовать шифрование поверх шифрования?

Вообще нет, но иногда может пригодиться. Например, если компьютером пользуются несколько человек. Соответственно, человек извне не получит доступ ко всем данным, а пользователи — к данным других пользователей.

te111011010 ()
Ответ на: комментарий от te111011010

Научись правильно задавать входные данные. А то, внезапно, ещё какие-то пользователи появляются.

post-factum ★★★★★ ()
Ответ на: комментарий от post-factum

Я сказал, что возможно шифрую при помощи ecryptfs поверх luks. То есть, этого может и не быть.

te111011010 ()

Создаю RAID-1, поверх него LUKS, на него устанавливаю корневой раздел и swap-файл.

Корневому разделу и swap не нужны ни raid-1, ни шифрование.
Правильно поставить систему и swap на отдельный диск, далее из двух дисков сделать райд1, поверх него luks и положить туда твои бесценные очень секретные данные.

King_Carlo ★★★★★ ()
Ответ на: комментарий от King_Carlo

Если диск накроется, то, если система не на raid, то придётся переустанавливать.

te111011010 ()

RAID1+lvm+luks'ом шифровать нужные разделы.

Deleted ()
Последнее исправление: nepank (всего исправлений: 1)
Ответ на: комментарий от Andrey_Utkin

Кстати, нужно ли при шифрованном корне делать нешифрованный /boot-раздел?

te111011010 ()
Ответ на: комментарий от te111011010

НЯЗ да. Там ж лежит initramfs с поддержкой шифрования, и этот initramfs нужно как-то считывать.

Deleted ()
Ответ на: комментарий от Andrey_Utkin

иногда в /etc нужно положить ключики.

Что мешает положить ключи в другое место?

King_Carlo ★★★★★ ()
Ответ на: комментарий от te111011010

Если диск накроется, то, если система не на raid, то придётся переустанавливать.

Скорее не переустановить, а развернуть, а это очень быстро. Если продакшен-сервер, то, конечно же, имеет смысл сделать raid-1 без шифрования под систему на небольших дисках.

King_Carlo ★★★★★ ()
Ответ на: комментарий от King_Carlo

В своп могут попадать такие данные, которые хотелось бы шифровать.

post-factum ★★★★★ ()
Ответ на: комментарий от post-factum

Учитывая, что все значимые данные, в подавляющем большинстве случаев, лежат в виртуалках и контейнерах, то в свопе хоста-гипервизора вряд ли будет что-то интересное.

King_Carlo ★★★★★ ()
Ответ на: комментарий от te111011010

да. но его можно а) носить на внешней флешке б) сверять с эталонным образом, хранящимся на шифрованном разделе (это на тему защиты от Evil Maid Attack)

Andrey_Utkin ★★ ()

Какой вариант лучше?

RAID + LUKS + LVM

ecryptfs

Это поделие ущербно.

ArcFi ()
Ответ на: комментарий от ArcFi

А LVM зачем? В моих условиях вроде нет необходимости в этом. LVM предлагаешь поверх LUKS, то есть PV зашифрован?

te111011010 ()
Ответ на: комментарий от te111011010

А LVM зачем?

для удобства, а оверхед там совсем мизерный.

LVM предлагаешь поверх LUKS, то есть PV зашифрован?

можешь и так, и так сделать. У меня, к примеру, на ноуте lvm over luks, а на домашнем компе lvm'ом разбит диск полностью, а отдельные разделы зашифрованы луксом.

Deleted ()
Последнее исправление: nepank (всего исправлений: 2)
Ответ на: комментарий от King_Carlo

И что интересного будет в этом свопе?

там может много чего интересного оказаться, особенно после гибернации. Советую в таком случае делать swap не в раздел, а в файл на зашифрованной системе, и всплывать уже с него. Естественно перед всплытием должен отработать initramfs и дать доступ к файловой системе.

Jameson ★★★ ()
Ответ на: комментарий от ArcFi

RAID + LUKS + LVM

Именно так. Именно в такой последовательности.

Harliff ★★★★★ ()
Ответ на: комментарий от post-factum

Не, я без всякой задней мысли, правда не знаю, по причине полной некомпетентности в этом вопросе, что там можно вытащить из свопа который вытолкнули из ОЗУ контейнеры и ВМ? Методика есть, почитаю?

King_Carlo ★★★★★ ()
Ответ на: комментарий от post-factum

И что? Экспертиза данных - стандартная процедура, но я не об этом спрашивал, мне нужна методика получения значимых данных при экспертизе swap, вытесненного виртуальными машинами и контейнерами из хоста-гипервизора.

King_Carlo ★★★★★ ()
Ответ на: комментарий от King_Carlo

что там можно вытащить из свопа который вытолкнули из ОЗУ контейнеры и ВМ?

Ключи шифрования, например. От зашифрованных разделов, в том числе.

Harliff ★★★★★ ()
Ответ на: комментарий от Harliff

Ключи шифрования, например. От зашифрованных разделов, в том числе.

Методику извлечения ключей шифрования, принадлежащих виртуальным машинам и контейнерам из свопа гипревизора можно увидеть?

King_Carlo ★★★★★ ()
Ответ на: комментарий от King_Carlo

Как-то не интересовался практическим применением, больше защитой от такового. Погугли, по идее - не сильно сложно должно быть. Возможно, даже готовое ПО найдешь.

Harliff ★★★★★ ()
Ответ на: комментарий от Deleted

А как в ubuntu добавить необходимые средства для работы с luks в initramfs? Я устанавливал при помощи обычного livecd (который официально такие извращения не поддерживает), затем в croot сделал update-grub и grub-install Но не грузится, выкидывает в initramfs-консоль. update-initramfs -u в чруте не помогает.

te111011010 ()
Ответ на: комментарий от te111011010

А как в ubuntu

никогда не пользовался, но думаю что то под тип

apt-get install cryptsetup

Я устанавливал при помощи обычного livecd (который официально такие извращения не поддерживает),

Вторая ссылка в гугле говорит об обратном

Начиная с версии 12.10 возможность зашифровать весь диск целиком добавлена в варианты установки Ubuntu в стандартном инсталляторе.

Deleted ()
Последнее исправление: nepank (всего исправлений: 1)
Ответ на: комментарий от Deleted

apt-get install cryptsetup

Уже стоит, как по утрам. Но это в основной системе.

Начиная с версии 12.10 возможность зашифровать весь диск целиком добавлена в варианты установки Ubuntu в стандартном инсталляторе.

А raid не поддерживается. Но просто на raid мне удалось обходным путём поставить. А вот на raid+luks — нет.

te111011010 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.