EncFS/eCryptfs поверх LUKS - хорошая идея?

0

1

Есть комп, который бутается с флешки, на которой находятся ключи для LUKS.

Проблема в том, что в случае моего отсутствия файлы легко утащить, достаточно украсть или незаметно скопировать флешку.

Преимущества же EncFS/eCryptfs в том, что файлы будут доступны только после ввода пароля пользователя (благодаря pam_mount). Поэтому даже имея ключ разблокирования раздела, не получится скомпроментировать важные данные.

Как они будут дружить и насколько сильным будет оверхэд?

P.S. Есть ещё идея юзать LUKS over LUKS, настроив монтирования с pam_mount, ключём будет пароль пользователя.

Ссылка

←	0 паролей от ящиков параноиков и криптопанков утекли в сеть

vino-server

→

Можно, но смысла не вижу. Тогда уж сразу dm-crypt поверх dm-crypt.

Gotf ★★★
(14.09.14 13:15:24 MSK)

Ответ на: комментарий от Gotf 14.09.14 13:15:24 MSK

Или LUKS over LUKS. Причины я указал в отредактированном топике.

anonymous8 ★★
(14.09.14 13:18:45 MSK) автор топика

Ответ на: комментарий от anonymous8 14.09.14 13:18:45 MSK

LUKS — это лишь формат заголовка для тома dm-crypt.

При острой необходимости дополнительно защитить небольшой объём данных я бы выбрал EncFS.

Gotf ★★★
(14.09.14 13:20:35 MSK)
Последнее исправление: Gotf 14.09.14 13:22:18 MSK (всего исправлений: 1)

Ответ на: комментарий от Gotf 14.09.14 13:20:35 MSK

Да, я знаю, просто LUKS поддерживает смену паролей, что важно, так как в случае смены пароля на юзера нельзя просто изменить master-key для plain dm-crypt.

anonymous8 ★★
(14.09.14 13:23:05 MSK) автор топика

Ссылка

Ответ на: комментарий от Gotf 14.09.14 13:20:35 MSK

При острой необходимости дополнительно защитить небольшой объём данных я бы выбрал EncFS.

Большой. До 2 Тб.

anonymous8 ★★
(14.09.14 13:23:40 MSK) автор топика

Ответ на: комментарий от anonymous8 14.09.14 13:23:40 MSK

Я не пойму, ты хочешь один и тот же объём зашифровать дважды? Если да, то где-то при проектировании допущена ошибка.

Gotf ★★★
(14.09.14 13:26:11 MSK)

Ответ на: комментарий от Gotf 14.09.14 13:26:11 MSK

Потому что охота юзать LVM, но тогда на снятом винчестере можно будет увидеть разбитие винта, +надо будет шифровать каждый раздел LVM отдельно, а мне отдельно нужно шифровать только 2Тб, остальные 2 Тб будут разбиты на более мелкие раздела, которые будут зашифрованы общим LUKS.

Т.е., схема такая

LUKS => LVM => (опционально) LUKS/eCryptfs/EncFS

anonymous8 ★★
(14.09.14 13:33:19 MSK) автор топика

Ссылка

Ответ на: комментарий от Gotf 14.09.14 13:26:11 MSK

Может, у тебя есть другие идеи?

anonymous8 ★★
(14.09.14 13:40:17 MSK) автор топика

Ответ на: комментарий от anonymous8 14.09.14 13:40:17 MSK

То есть остальные 2 Тб шифровать не надо? Ну сделай две группы томов. Или одну, но с двумя физическими томами.

Gotf ★★★
(14.09.14 13:58:54 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	0 паролей от ящиков параноиков и криптопанков утекли в сеть

Security

vino-server

→

Похожие темы