LINUX.ORG.RU

dm-crypt 2 системы 2 пароля

 


2

2

как организовать шифрование системы на 2 пароля, при 1 - настоящий, а по второму показываем некий левый раздел, в который можно напихать «личные фото» или дневники там… что угодно. Устанавливал по ману http://help.ubuntu.ru/wiki/шифрование_всего_диска

Не знаю как там с несколькими паролями, но есть идеи:
Сделать два разных корневых раздела и добавить для них пункты в grub. По умолчанию загружается корень с дневниками, и если выбрать, то загружается шифрованный раздел.
Если монтирование делается в ручную через mount, то можно использоваться подразделы btrfs (subvolumes). Опять же по умолчанию монтируется «безопасный» подраздел.

Надеюсь есть нормальные способы, самому интересно — подпишусь.

Black_Roland ★★★★
()
Ответ на: комментарий от Black_Roland

Смысл делать 2 пункта в grub? Вся соль то в том что бы скрить признаки присутствия 2х систем. Гурзится одна система (через менеджер разделов виден 1 шифрованый LVM том, нужный хотелось бы отобразить например как свободное место). При загрузки вводим passphrase, в 1ом случае подругжаем нужный скрытй шифрованынй раздел(ы), при 2ом случае - показываем «фальш» данные.

oskar0609
() автор топика
Ответ на: комментарий от oskar0609

Этот трюк сработает только против «чайника». Фальшивую (не используемую) систему можно легко определить проанализировав даты доступа/изменения файлов и состав пользовательских данных. Кроме того, невозможно спрятать секретный раздел на диске, так как зашифрованные области диска всегда видны как набор криптографически случайных чисел. Даже если заполнить весь диск из /dev/random, фальшивость не используемой системы с легко подбираемым паролем скрыть крайне трудно, только «чайник» не догадается о том что есть скрытая система.

TCHK
()
Ответ на: комментарий от oskar0609

TrueCrypt не поможет, так как его наличие на диске указывает на возможность наличия скрытого раздела. А вообще, данные нужно прятать постоянно или единовременно?

TCHK
()
Ответ на: комментарий от oskar0609

Придумал!

Весь диск наполняем из dev/(u)random, создаём разделы. Шифруем root как обычно, а swap шифруем одноразовым сеансовым ключом. Скрытый раздел прячем в свопе, и что бы он не перезаписался, делаем «синтаксическую ошибку» в конфиге, из за чего своп не монтируется. Создаём dm-crypt раздел поверх свопа со смещением от начала (что бы не затереть заголовок) с использованием ключей --offset, --skip, и т.п. и при каждой загрузке монтируем его вручную (AFAIR у dm-crypt нет выдающего его присутствия заголовка). Остаётся только очищать корзину и истории открытых файлов и консоли.

TCHK
()
Ответ на: комментарий от oskar0609

Ещё можно попробовать тщательно замаскировать TrueCrypt под другую программу, но, возможно, он требует какие-то специфические модули по которым можно предположить его присутствие.

TCHK
()
Ответ на: комментарий от TCHK

Само собой, нужны же его драйверы для монтирования дисков

oskar0609
() автор топика
Ответ на: комментарий от oskar0609

Это больше иллюзия дополнительной безопасности. Рассмотрите такой вариант: на произвольном свободном пространстве создать plain dm-crypt (то есть без LUKS), причём не в начале пространства, а со смещением; смещение держать в голове, в crypttab ничего не прописывать. Неудобно, но доказать наличие каких-то данных крайне проблематично. Такой раздел можно даже разместить поверх файловой системы, но это потребует знаний об устройстве ФС и гарантирует риск повреждения. Ещё можно поместить том в блоки расширенных атрибутов XFS (они достаточно велики и допускают запись произвольных данных), собирая его копированием в ramdisk, — относительно надёжно, но не слишком подойдёт для больших объёмов данных.

Homura_Akemi
()
Ответ на: комментарий от Homura_Akemi

Если я правильно понимаю - это крайне не стабильная технология, а именно, т.к если данные попадут в сектор «псевдо» фс - извлечь их уже будет невозможно. Т.е не существует технологии скрытия (невозможности определения) наличия криптораздела?

oskar0609
() автор топика
Ответ на: комментарий от oskar0609

Т.е не существует технологии скрытия (невозможности определения) наличия криптораздела?

Plain dm-crypt.

Если я правильно понимаю - это крайне не стабильная технология

Нет.

т.к если данные попадут в сектор «псевдо» фс - извлечь их уже будет невозможно

Это верно для любых структур данных.

Homura_Akemi
()
Ответ на: комментарий от Homura_Akemi

Ни слова о скрытых разделах. Взоможно мы говорим о разном. Скрытый это тот (шифрованный раздел) где одновременно находится два раздела - 1ый стандартный, 2ой скрытый.

oskar0609
() автор топика
Ответ на: комментарий от oskar0609

Скрытый это тот (шифрованный раздел) где одновременно находится два раздела - 1ый стандартный, 2ой скрытый.

Идиотская формулировка.

Взоможно мы говорим о разном.

Да.

Homura_Akemi
()
Ответ на: комментарий от Homura_Akemi

Я могу раздел(ы) зашифровать dm-cryptom, а вот как сделать раздел, наличие которого при доступе к шифрованной системе было невозможно обнаружить... на этом мысль останавливается.

oskar0609
() автор топика
Ответ на: комментарий от oskar0609

а вот как сделать раздел, наличие которого при доступе к шифрованной системе было невозможно обнаружить...

Командой cryptsetup create. Читайте руководство, читайте, там есть все кровавые подробности. И ещё вот это рекомендую: http://code.google.com/p/cryptsetup/wiki/FrequentlyAskedQuestions (особенно вопросы 2.1 и 5.2) Хотя бы для смутного понимания.

Если что-то не получится, то не стесняйтесь спрашивать, а сейчас вы воду в ступе толчёте, не имея ни малейшего понимания.

Homura_Akemi
()
Последнее исправление: Homura_Akemi (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.