Шифрование разделов в debian

0

1

В дебиане и производных есть стандартное шифрование разделов без LVM. При этом предполагается, что раздел свопа тоже будет зашифрован в обязательном порядке. Т.е. при запуске нужно будет вводить ключевую фразу для свопа (если взять произвольную, то и суспенд не заработает, как я понимаю) и для хомяка. Можно ли как-то обойтись одной ключевой фразой на оба раздела и не вводить ее дважды?

Ссылка

←	Tor торт или уже не торт? А что тогда торт?

Убижал неправильный IP адрес для A

→

Да. Положи ключ от одного тома на другой. Пример:

root /dev/disk/by-id/ata-KINGSTON_SV300S37A60G_50026B723706AD6D-part2 none luks,discard
swap /dev/disk/by-id/ata-KINGSTON_SV300S37A60G_50026B723706AD6D-part3 /dev/urandom cipher=aes-xts-plain64,size=256,swap
home /dev/disk/by-id/ata-ST3000VN000-1H4167_W300HWBV-part1 /etc/luks/home.bin luks
srv  /dev/disk/by-id/ata-Hitachi_HDS721010CLA330_JP2940N101DHWV-part1 /etc/luks/srv.bin luks

Есть и более другие варианты типа keyutils.

Gotf ★★★
(01.08.14 21:48:40 MSK)
Последнее исправление: Gotf 01.08.14 21:53:30 MSK (всего исправлений: 1)

Ответ на: комментарий от Gotf 01.08.14 21:48:40 MSK

Т.е. забросить файл ключа от swap в home. Спасибо, попробую.

siphonops ★★★
(01.08.14 23:11:21 MSK) автор топика

После непродолжительной борьбы с ленью я сдался и сделал LVM с шифрованием на весь диск, т.к. это позволяет избавится от ручного логина в систему не потеряв в безопастности.

siphonops ★★★
(02.08.14 13:16:14 MSK) автор топика

Ответ на: комментарий от siphonops 01.08.14 23:11:21 MSK

в приведенном конфиге совсем другое написано. ключ от root вводится при загрузке, ключи от home и srv лежат на root, ключ от swap рандомный каждую загрузку

Deleted
(08.08.14 16:26:06 MSK)

Ответ на: комментарий от Deleted 08.08.14 16:26:06 MSK

в приведенном конфиге совсем другое написано. ключ от root вводится при загрузке, ключи от home и srv лежат на root, ключ от swap рандомный каждую загрузку

Если шифровать вместе с рутом, то LVM имеет преимущество удобства, да и расшифровать его сложнее, как мне кажется, чем несколько отдельных разделов.

ключ от swap рандомный каждую загрузку

Этот вариант не позволяет использовать гибернацию (хотя она мне и не требуется, но мало ли вдруг).

siphonops ★★★
(08.08.14 16:48:58 MSK) автор топика

Ответ на: комментарий от siphonops 08.08.14 16:48:58 MSK

я бы лично делал шифрование диска (или раздела), а сверху lvm. ты вроде так и сделал в итоге?

Deleted
(08.08.14 16:53:47 MSK)

Ответ на: комментарий от Deleted 08.08.14 16:53:47 MSK

Ну да, так и сделал. /boot/ + шифрованный LVM. Поначалу я просто боялся тормозов и хотел оставить корень незашифрованным, т.к. ноут очень старый. Но в результате на производительности не сказалось.

siphonops ★★★
(08.08.14 16:56:34 MSK) автор топика

Ссылка

Ответ на: комментарий от siphonops 02.08.14 13:16:14 MSK

LVM с шифрованием на весь диск

Это правильное решение.

расшифровать его сложнее, как мне кажется, чем несколько отдельных разделов

В смысле взломать? Нет, принципиальной разницы нету. Более того, есть даже обратный пример: использование xts-plain на устройствах больше определённого размера сильно повышает шансы для одной из технологий атаки (xts-plain64 решает эту проблему).

Gotf ★★★
(08.08.14 17:09:10 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Tor торт или уже не торт? А что тогда торт?

Security

Убижал неправильный IP адрес для A

→

Похожие темы