LINUX.ORG.RU

[шифрование] а все ли шифровать?


0

2

Нашелся недавно лишний внешний винт на 120гб. решил поставить него сугубо личную систему дебиан 6.0 и зашифровать так чтобы никто не мог им воспользоваться кроме меня.

В данный момент система ставится. Разбил винт на 3 раздела: boot, root, home. последние два зашифровал. Вот сижу и думаю, может зря root полностью? может вывести в отдельные разделы var и tmp, а остальное не шифровать?

Просто нужен совет. Раньше с шифрованием не работал. Это мой первый опыт.

P.s. а.даа.. еще один маленький вопрос, что-то нигде нету нормально инструкции как правильно ставить шифрованную систему, даже на debian.org

1) Сначала создается шифрованный раздел.

2) LVM делим его на тома, каждый том форматируем и ставим точку монтирования.

Так?

Или наоборот - сначала LVM, а потом шифрование?

>может зря root полностью?
Тогда можно будет подменить /bin/bash, к примеру. Если это неактуально, то шифровать / не надо.

x3al ★★★★★ ()

в арче вики описан процесс разметки и установки.

1. сделать небольшой /boot, а второй раздел зашифровать. 2. На зашифрованно уже LVM.

silw ★★★★★ ()
Ответ на: комментарий от x3al

>Тогда можно будет подменить /bin/bash, к примеру

а что это даст? без ключа он все равно нельзя будт примонтировать зашифрованные разделы. Или ты имеешь ввиду внедрение бэдкоров? Шифрование - это на случай потери винта.

null123 ★★ ()

>> 1) Сначала создается шифрованный раздел.

2) LVM делим его на тома, каждый том форматируем и ставим точку монтирования.

Да, это наиболее гибкий способ.

GotF ★★★★★ ()
Ответ на: комментарий от null123

>> Шифрование - это на случай потери винта.

В этом случае достаточно зашифровать разделы с конфиденциальными данными, всё подряд не стоит, учитывая некоторые потери в быстродействии.

GotF ★★★★★ ()
Ответ на: комментарий от GotF

Так вот я поэтому тему и создал: максимум скрыть/минимум шифровать.

Одних /home, /var хватит? или что-то еще?

null123 ★★ ()
Ответ на: комментарий от null123

/tmp можно прихватить ещё. Насчёт шифрования свопа — зависит от стадии паранойи :)

GotF ★★★★★ ()
Ответ на: комментарий от GotF

ну будем надеятся что мне не придется работать с этим винтом на машинах с маленьким размером РАМ, тем более для таких машин у меня есть паппи на флешке.

Всё. всем спасибо за консультацию. Пойду еще раз переставлю систему %)

null123 ★★ ()
Ответ на: комментарий от x3al

>Тогда можно будет подменить /bin/bash

Так и что угодно можно подменить, включая загрузочные записи. Для таких случаев диск иметь вообще тотально зашифрованный без каких-либо секторов загрузки, да ещё с проверкой целостности. Грузиться надо с помощью 3 флешек с ключами, которые надо хранить в трёх разных сейфах и перевозить по улице в 3 бронированных автомобилях тремя разными маршрутами. Только так можно обеспечить безопасность и конфиденциальность данных на диске.

anonymous ()
Ответ на: комментарий от anonymous

>> Так и что угодно можно подменить, включая загрузочные записи.

Достаточно прикрутить init-скрипт, который будет сверять контрольные суммы initrd, ядра и дампа загрузочной зоны. В случае ахтунга легко можно сменить пароли (если, конечно, используется LUKS).

GotF ★★★★★ ()
Ответ на: комментарий от anonymous

>Так и что угодно можно подменить, включая загрузочные записи.
Только не факт, что с подменённой загрузочной записью получится загрузиться.

x3al ★★★★★ ()

Gentoo rules.

нигде нету нормально инструкции как правильно ставить шифрованную систему, даже на debian.org

Есть на gentoo.org. Для Ъ: берём и ставим.

Camel ★★★★★ ()

Всё шифровать не нужно.

Шифровать нужно только собственные файлы и файлы подсистемы шифрования, чтобы никто не осуществил компроментацию всей системы шифрования.

iZEN ★★★★★ ()
Ответ на: Всё шифровать не нужно. от iZEN

Всё шифровать нужно.

Шифровать нужно всё, иначе можно однажды обнаружить, что что-то ценное не в зашифрованном месте. Какую-нибудь базку данных, или пароль открытым текстом в сценарии или настройке.

Camel ★★★★★ ()
Ответ на: Всё шифровать нужно. от Camel

Только не в моем случае. я не агент 007. а счастливчик(если такой будет), найдя мой винт забрызжет слюной:«О! халявный винт! хм.. под виндой не определяется».

Тут еще один вопрос встал: а сколько надо раздела /var и /tmp для счастья? по 1гб хватит?

null123 ★★ ()
Ответ на: Всё шифровать нужно. от Camel

Тогда и флэшки нужно шифровать — на них у разгильдяев может оказаться не менее ценная информация. :))

iZEN ★★★★★ ()
Ответ на: комментарий от null123

> /var

Не жадничай. Сделай хотя бы 2.

/tmp


Смотря кто как использует... Я иногда из-за экспериментов распаковываю туда много всякого-разного на несколько Гб. В остальное время его размер - несколько Мб

YAR ★★★★★ ()
Ответ на: комментарий от GotF

>Достаточно прикрутить init-скрипт

Можно и TPM заюзать. Благо много где сейчас стоит. Там принцип тот же: не будет в спецрегистрах определенного значения — не выдаст ключ.

Не знаю как там поддержка в GRUB, linux'е и прочем юзерспейсе, но спеки доступны.

Ну и мимо штатных смарт-карт проходить не нужно. Хотя помойка там знатная, в последнее время дела обстоят несколько лучше. По крайней мере CCID- и ICCID-совместимые девайсы стали появляться достаточно широко (хотя, например, алладиновские изделия к ним не относятся). Полная проприетарщина царит в операционках для смарт-карт... Конечно есть ISOшные стандарты, но на практике все несколько хуже.

Macil ★★★★★ ()
Ответ на: комментарий от Macil

>> Можно и TPM заюзать.

Что-то о них много нехорошего говорят. Ни за что не поверю, что изготовители не оставляют там дырок, в которые могут пролезть представители соответствующих служб.

GotF ★★★★★ ()
Ответ на: Всё шифровать нужно. от Camel

>> Шифровать нужно всё

Когда на компьютере обитает больше одного пользователя, это может быть не особенно удобно и надёжно. Тут придётся ограничиться домашним каталогом, что влечёт за собой использование всяких там pam-mount…

GotF ★★★★★ ()
Ответ на: комментарий от GotF

>Что-то о них много нехорошего говорят.

Вот уж чего не слышал. Про гипотетическй palladium — слышал, но проекты спеков не читал...

TPM по сути дела, специализированная смарт-карта по своей сути, т.е. примитивная, дешевая и низкопроизводительная. И самая большая дырка — возможность прямого считывания хранящихся в нем ключей.

Дык, составь свое мнение, спека открыта для всех желающих. Там не нужно никаких дырок делать. У всех систем такого рода есть понятие root-of-trust, т.е. мы засовываем голову в песок и двадцать раз повторяем «нас не поломали, нас не поломали». В TСG спеках для писюков, он начинается где-то в биосе.

Гипотетическая возможность «санкционированных» считываний ключей опасности никакой не представляет Ну продвинулись на шаг, получив возможность засунуть рутуит на уровень биоса, ядра, или основных юзерспесных компонентов и/или загружать машину. Дальше-то что? Такая же возможность есть и если ты не используешь TPM.

Кроме того у спецслужб, служб безопасности и занитересованных частных лиц есть невозбранный доступ к паяльникам.

ЗЫ: А вообще, это пустой разговор. Мое личное мнение что криптография — это не «сейф», а «трибуна» и фигурально выражаясь, обеспечивает гарантию того что тебя по дороге к трибуне не ограбят. А модель «сейф» должна базироваться на возможности легкого уничтожения и стеганографии.

Macil ★★★★★ ()
Ответ на: комментарий от Macil

Ok, на досуге посмотрю получше.

Мое личное мнение что криптография — это не «сейф», а «трибуна» и фигурально выражаясь, обеспечивает гарантию того что тебя по дороге к трибуне не ограбят. А модель «сейф» должна базироваться на возможности легкого уничтожения и стеганографии.

В общем согласен :)

GotF ★★★★★ ()
Ответ на: комментарий от GotF

> /tmp можно прихватить ещё.

/tmp && /var/tmp вообще-то лучше в tmpfs запихать. тогда и проблема с их шифрованием отпадет.

isden ★★★★★ ()
Ответ на: комментарий от isden

>> /var/tmp вообще-то лучше в tmpfs запихать

Содержимое /var/tmp/ должно оставаться после перезагрузки.

GotF ★★★★★ ()
Ответ на: комментарий от Macil

> И самая большая дырка — возможность прямого считывания хранящихся в нем ключей

Это какой то неправильный TPM

vasily_pupkin ★★★★★ ()
Ответ на: комментарий от GotF

Все порознь.

Шифровать нужно всё

Когда на компьютере обитает больше одного пользователя, это может быть не особенно удобно и надёжно. Тут придётся ограничиться домашним каталогом, что влечёт за собой использование всяких там pam-mount…

Помидор красный, а у трактора дверь наружу открывается.

Шифровать нужно всё, но где я сказал, что всё вместе?

Camel ★★★★★ ()
Ответ на: Все порознь. от Camel

>> Шифровать нужно всё, но где я сказал, что всё вместе?

Эм, я как бы об _общих_ областях, т.е. /, /usr, /var, /tmp... Тут неизбежно придётся делить возможность доступа с другими пользователями, что уменьшает степень защищённости системы. Хотя, конечно, для системных файлов можно и закрыть на это глаза.

GotF ★★★★★ ()
Ответ на: комментарий от GotF

> Содержимое /var/tmp/ должно оставаться после перезагрузки.

да ладно? несколько лет уже в tmpfs его запихиваю - все ок.

isden ★★★★★ ()

Надо было тему в толксах создать. Слишком уж провокационных вопрос я задал.

null123 ★★ ()
Ответ на: комментарий от isden

>> да ладно?

man hier

несколько лет уже в tmpfs его запихиваю - все ок.

А туда хоть что-то пишется? Лично я там кроме kde-cache ничего не видел.

GotF ★★★★★ ()
Ответ на: комментарий от GotF

ну да в принципе. хотя я иногда вообще видел что этот каталог был симлинком на /tmp.

isden ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.