Возможна реализация eCryptfs на второй диск?

Можно сделать так, хомяк расшифровывать по паролю, а HDD расшифровывать файл-ключом который хранится в хомяке. У меня примерно так реализовано, только у меня не хомяк, а полностью зашифрован диск с системой и диск с data. В общем кейс работает, я ввожу пароль призагрузке, расшифровывается система, далее crypttab файл ключом расшифровывает диск с data

А где посмотреть как такое сделать? Интересно было бы и весь SSD зашифровать, не только хомяка. Но своих знаний не хватает на это.

Можно как нибудь зашифровать HDD чтобы при вводе пароля пользователя расшифровывались сразу вместе и хомяк и HDD и само все монтировалось автоматически ?

Можно. Способ зависит от дистрибутива. Обычно алгоритм примерно такой:

• Создаётся шифрованный диск при помощи cryptsetup (инструкции гуглятся, например).
• Инфа о новом шифрованном устройстве добавляется в /etc/crypttab.
• Пересоздаётся initramfs, чтобы туда попал свежий crypttab.
• Для нового устройства добавляются опции в конфиг загрузчика (например grub2).

Шаги после первого зависят от конкретного дистрибутива. Могут быть не нужны или делаться как-то хитро. Но в целом это точно возможно и работает везде похожим образом.

upd. Обрати внимание, что при создании зашифрованного устройства все данные с него затираются. Если тебе надо сохранить данные, которые уже там записаны, то скопируй их куда-нибудь в другое место.

Убунта 16.04
UUID отключены.
Получится?

UUID отключены.

Какие UUID? Где? Как?

Получится?

Должно.

Примерно так или тут

Используй LABEL

Так, погоди, я сразу не заметил: у тебя зашифрован только твой личный хомяк и он расшифровывает при входе юзером в систему? Если да, то это не LUKS, а другое, и делается иначе. И тут я уже не подскажу в какую сторону смотреть.

Какие UUID? Где? Как?

В /etc/default/grub
GRUB_DISABLE_LINUX_UUID=«true»

А как указан root в параметрах ядра? Впрочем, если ты не собираешься переезжать на LUKS, то это и не важно.

Так, погоди, я сразу не заметил: у тебя зашифрован только твой личный хомяк и он расшифровывает при входе юзером в систему? Если да, то это не LUKS, а другое, и делается иначе. И тут я уже не подскажу в какую сторону смотреть.

Все так. LUKS нету. Зашифрован только хомяк на SSD. Не принципиально шифровать весь SSD. Но HDD предполагаю что нужно сделать в LUKS, И останется как то сделать чтобы они вместе с хомяком расшифровывались при вводе пароля.

А как указан root в параметрах ядра? Впрочем, если ты не собираешься переезжать на LUKS, то это и не важно.

Где это посмотреть?

Но HDD предполагаю что нужно сделать в LUKS, И останется как то сделать чтобы они вместе с хомяком расшифровывались при вводе пароля.

Если на диске LUKS (шифрование на уровне блочного устройства), а в хомяке шифрование на уровне ФС, и плюс надо, чтобы это всё расшифровывалось после ввода юзерского пароля для входа в систему, то видимо только какими-то самописными скриптами это делать.

Где это посмотреть?

cat /proc/cmdline

Если на диске LUKS (шифрование на уровне блочного устройства), а в хомяке шифрование на уровне ФС, и плюс надо, чтобы это всё расшифровывалось после ввода юзерского пароля для входа в систему, то видимо только какими-то самописными скриптами это делать.

А если не создавать LUKS на HDD? Можно сделать такое же шифрование на уровне ФС как и в хомяке? Так даже было бы еще лучше наверное.

cat /proc/cmdline

BOOT_IMAGE=/boot/vmlinuz-4.15.0-47-generic root=/dev/sda1 ro elevator=cfq rootfstype=ext4 libahci.ignore_sss=1 raid=noautodetect selinux=0

В смысле скриптами? LUKS диск добавить в /etc/crypttab расшифровывая его файл-ключом, получившееся открытое блочное устройство в /dev/mapper/openhdd монтируем куда надо в /etc/fstab

А если не создавать LUKS на HDD? Можно сделать такое же шифрование на уровне ФС как и в хомяке? Так даже было бы еще лучше наверное.

А вот это уже не ко мне, я такое не пробовал использовать. У меня обычно все диски целиком (кроме /boot) в LUKS, который расшифровывается при запуске системы отдельным паролем.

Тем не менее, думаю, что как-то можно сделать и это.

В смысле скриптами? LUKS диск добавить в /etc/crypttab расшифровывая его файл-ключом, получившееся открытое блочное устройство в /dev/mapper/openhdd монтируем куда надо в /etc/fstab

В том смысле, что нужно после логина либо руками делать luksOpen, а затем mount куда надо, либо автоматизировать это скриптами (через pam?).

Или сейчас это как-то совсем автоматически и из коробки делается?

Тем не менее, думаю, что как-то можно сделать и это.

Вот кстати да. Такой вариант бы мне подошел. Cryptsetup шифрует на лету только хомяк. Но можно же наверное сделать, чтобы шифровал на лету файлы и в другой директории. На другом диске в моем случае.

Так crypttab все это сам делает. Он откроет криптованный раздел. У меня так реализовано.

Cryptsetup шифрует на лету только хомяк.

Ты уверен, что хомяк сейчас у тебя зашифрован именно в LUKS/cryptsetup?

Так crypttab все это сам делает. Он откроет криптованный раздел. У меня так реализовано.

Во-первых: показывай тогда как именно у тебя это настроено.

Во-вторых: какая именно сущность в этом случае отвечает за монтирование именно после логина юзера в систему?

Я просто про такую фичу «из коробки» никогда не слышал.

Ты уверен, что хомяк сейчас у тебя зашифрован именно в LUKS/cryptsetup?

LUKS точно нет. Хомяк шифровал на уже установленной системе, путем создания нового юзера.

LUKS точно нет. Хомяк шифровал на уже установленной системе, путем создания нового юзера.

cryptsetup - это утилита для работы с LUKS, то есть с линуксовым шифрованием на уровне блочных устройств.

У тебя скорее всего шифруется не всё блочное устройство, а кусок файловой системы. Другими тулзами, соответственно.

Вообще, покажи вывод mount из под юзера после входа в систему.

делал по этому ману

У тебя скорее всего шифруется не всё блочное устройство, а кусок файловой системы. Другими тулзами, соответственно.

Точно. eCryptfs у меня. По этой инструкции делал https://losst.ru/shifrovanie-domashnej-papki-v-ubuntu

Вообще, покажи вывод mount из под юзера после входа в систему.

Как это делается?

делал по этому ману

Но там нет ничего про подключение шифрованного блочного устройства при входе в систему.

При загрузке системы - да, это так и работает из коробки. Но не при входе пользователя в систему.

Так а нафига именно при входе открывать раздел?

Так а нафига именно при входе открывать раздел?

ТС так хочет. У него спрашивай.

Это может иметь смысл на многопользовательских системах.

Вроде нашел то что мне было нужно.
На примере

mount -t ecryptfs /mnt/ecryptfs-demo/ /mnt/ecryptfs-demo/