>может зря root полностью?
Тогда можно будет подменить /bin/bash, к примеру. Если это неактуально, то шифровать / не надо.

в арче вики описан процесс разметки и установки.

1. сделать небольшой /boot, а второй раздел зашифровать. 2. На зашифрованно уже LVM.

>Тогда можно будет подменить /bin/bash, к примеру

а что это даст? без ключа он все равно нельзя будт примонтировать зашифрованные разделы. Или ты имеешь ввиду внедрение бэдкоров? Шифрование - это на случай потери винта.

>> 1) Сначала создается шифрованный раздел.

2) LVM делим его на тома, каждый том форматируем и ставим точку монтирования.

Да, это наиболее гибкий способ.

>> Шифрование - это на случай потери винта.

В этом случае достаточно зашифровать разделы с конфиденциальными данными, всё подряд не стоит, учитывая некоторые потери в быстродействии.

Так вот я поэтому тему и создал: максимум скрыть/минимум шифровать.

Одних /home, /var хватит? или что-то еще?

/tmp можно прихватить ещё. Насчёт шифрования свопа — зависит от стадии паранойи :)

ну будем надеятся что мне не придется работать с этим винтом на машинах с маленьким размером РАМ, тем более для таких машин у меня есть паппи на флешке.

Всё. всем спасибо за консультацию. Пойду еще раз переставлю систему %)

>Тогда можно будет подменить /bin/bash

Так и что угодно можно подменить, включая загрузочные записи. Для таких случаев диск иметь вообще тотально зашифрованный без каких-либо секторов загрузки, да ещё с проверкой целостности. Грузиться надо с помощью 3 флешек с ключами, которые надо хранить в трёх разных сейфах и перевозить по улице в 3 бронированных автомобилях тремя разными маршрутами. Только так можно обеспечить безопасность и конфиденциальность данных на диске.

>> Так и что угодно можно подменить, включая загрузочные записи.

Достаточно прикрутить init-скрипт, который будет сверять контрольные суммы initrd, ядра и дампа загрузочной зоны. В случае ахтунга легко можно сменить пароли (если, конечно, используется LUKS).

>Так и что угодно можно подменить, включая загрузочные записи.
Только не факт, что с подменённой загрузочной записью получится загрузиться.

Gentoo rules.

нигде нету нормально инструкции как правильно ставить шифрованную систему, даже на debian.org

Есть на gentoo.org. Для Ъ: берём и ставим.

Всё шифровать не нужно.

Шифровать нужно только собственные файлы и файлы подсистемы шифрования, чтобы никто не осуществил компроментацию всей системы шифрования.

Всё шифровать нужно.

Шифровать нужно всё, иначе можно однажды обнаружить, что что-то ценное не в зашифрованном месте. Какую-нибудь базку данных, или пароль открытым текстом в сценарии или настройке.

Только не в моем случае. я не агент 007. а счастливчик(если такой будет), найдя мой винт забрызжет слюной:«О! халявный винт! хм.. под виндой не определяется».

Тут еще один вопрос встал: а сколько надо раздела /var и /tmp для счастья? по 1гб хватит?

Тогда и флэшки нужно шифровать — на них у разгильдяев может оказаться не менее ценная информация. :))

> /var

Не жадничай. Сделай хотя бы 2.

/tmp

Смотря кто как использует... Я иногда из-за экспериментов распаковываю туда много всякого-разного на несколько Гб. В остальное время его размер - несколько Мб

>Достаточно прикрутить init-скрипт

Можно и TPM заюзать. Благо много где сейчас стоит. Там принцип тот же: не будет в спецрегистрах определенного значения — не выдаст ключ.

Не знаю как там поддержка в GRUB, linux'е и прочем юзерспейсе, но спеки доступны.

Ну и мимо штатных смарт-карт проходить не нужно. Хотя помойка там знатная, в последнее время дела обстоят несколько лучше. По крайней мере CCID- и ICCID-совместимые девайсы стали появляться достаточно широко (хотя, например, алладиновские изделия к ним не относятся). Полная проприетарщина царит в операционках для смарт-карт... Конечно есть ISOшные стандарты, но на практике все несколько хуже.

>> Можно и TPM заюзать.

Что-то о них много нехорошего говорят. Ни за что не поверю, что изготовители не оставляют там дырок, в которые могут пролезть представители соответствующих служб.

>> Шифровать нужно всё

Когда на компьютере обитает больше одного пользователя, это может быть не особенно удобно и надёжно. Тут придётся ограничиться домашним каталогом, что влечёт за собой использование всяких там pam-mount…

>Что-то о них много нехорошего говорят.

Вот уж чего не слышал. Про гипотетическй palladium — слышал, но проекты спеков не читал...

TPM по сути дела, специализированная смарт-карта по своей сути, т.е. примитивная, дешевая и низкопроизводительная. И самая большая дырка — возможность прямого считывания хранящихся в нем ключей.

Дык, составь свое мнение, спека открыта для всех желающих. Там не нужно никаких дырок делать. У всех систем такого рода есть понятие root-of-trust, т.е. мы засовываем голову в песок и двадцать раз повторяем «нас не поломали, нас не поломали». В TСG спеках для писюков, он начинается где-то в биосе.

Гипотетическая возможность «санкционированных» считываний ключей опасности никакой не представляет Ну продвинулись на шаг, получив возможность засунуть рутуит на уровень биоса, ядра, или основных юзерспесных компонентов и/или загружать машину. Дальше-то что? Такая же возможность есть и если ты не используешь TPM.

Кроме того у спецслужб, служб безопасности и занитересованных частных лиц есть невозбранный доступ к паяльникам.

ЗЫ: А вообще, это пустой разговор. Мое личное мнение что криптография — это не «сейф», а «трибуна» и фигурально выражаясь, обеспечивает гарантию того что тебя по дороге к трибуне не ограбят. А модель «сейф» должна базироваться на возможности легкого уничтожения и стеганографии.

Ok, на досуге посмотрю получше.

Мое личное мнение что криптография — это не «сейф», а «трибуна» и фигурально выражаясь, обеспечивает гарантию того что тебя по дороге к трибуне не ограбят. А модель «сейф» должна базироваться на возможности легкого уничтожения и стеганографии.

В общем согласен :)

> /tmp можно прихватить ещё.

/tmp && /var/tmp вообще-то лучше в tmpfs запихать. тогда и проблема с их шифрованием отпадет.

>> /var/tmp вообще-то лучше в tmpfs запихать

Содержимое /var/tmp/ должно оставаться после перезагрузки.

Думаю достаточно будет TPM и корректной работы с ним :]

> И самая большая дырка — возможность прямого считывания хранящихся в нем ключей

Это какой то неправильный TPM

Все порознь.

Шифровать нужно всё

Когда на компьютере обитает больше одного пользователя, это может быть не особенно удобно и надёжно. Тут придётся ограничиться домашним каталогом, что влечёт за собой использование всяких там pam-mount…

Помидор красный, а у трактора дверь наружу открывается.

Шифровать нужно всё, но где я сказал, что всё вместе?

>> Шифровать нужно всё, но где я сказал, что всё вместе?

Эм, я как бы об _общих_ областях, т.е. /, /usr, /var, /tmp... Тут неизбежно придётся делить возможность доступа с другими пользователями, что уменьшает степень защищённости системы. Хотя, конечно, для системных файлов можно и закрыть на это глаза.

> Содержимое /var/tmp/ должно оставаться после перезагрузки.

да ладно? несколько лет уже в tmpfs его запихиваю - все ок.

Надо было тему в толксах создать. Слишком уж провокационных вопрос я задал.

>> да ладно?

man hier

несколько лет уже в tmpfs его запихиваю - все ок.

А туда хоть что-то пишется? Лично я там кроме kde-cache ничего не видел.

ну да в принципе. хотя я иногда вообще видел что этот каталог был симлинком на /tmp.