LINUX.ORG.RU

Шифрование диска в Linux

 , ,


1

2

Всем привет!

Во многих оффтоповых осей присутствует замечательная фича - запуск до шифрования диска и после шифрования на глаз не меняется, никаких luks паролей и т. п., ключ это ваша учетка.

Как такое можно реализовать на Linux? Знаю, что у Ubuntu можно, но там только хомяк.

Ответ на: комментарий от mfhunruh

Надо понимать, что магии не бывает, ключ или пароль откуда-то должны браться.

Есть другие способы (например, можно удаленно подключаться к компьютеру и вводить пароль), но это будет заметно при загрузке компьютера (если, конечно, шифровать корневую ФС).

Кстати, а чем вызвано требование из топика?

Harliff ★★★★★
()

но там только хомяк

Так и в оффтопах будет так же.

Если пароль акка переиспользуется для расшифровки, то чтобы дойти до этой стадии нужно сначала загрузиться. Т.е. загрузочный и системный разделы не зашифрованы.

LUKS тут тоже как бы не при делах, т.к. чтобы индивидуально шифровать хомяки, нужно шифрование на уровне файловой системы.

Это было, и работало во времена, когда encfs ещё не была deprecated.
ЕМНИП был PAM-модуль, который использовал пароль учётки для расшифровки.

aidaho ★★★★★
()

Просто сделайте автологин. Никакого смысла в паролях для входа в систему на зашифрованной однопользовательской машине всё равно нет. (А вот пароль на скринсейвер оставьте. И на swap он необходим.)

anonymous
()

В данном случае варианта всего три: шифровать отдельные директории, шифровать целиком свою домашнюю директорию или шифрование всего доступного пространства на всех дисках за исключением efi раздела.

Так у меня на первом диске раздел efi, все остальное место на этом диске, а так же на других 4 под luks в котором расположены volume group. Перед загрузкой grub с шифрованного раздела запрашивает я пароль, далее без каких-то дополнительных телодвижений автологин. Пароль вводится один раз.

anonymous
()

Если я правильно понял, то ecryptfs

Niroday
()

У многих популярных в среде `оффтопик ось' производителей железа имеет место аппаратное шифрование всего диска в BIOS/UEFI,
«Превед, Lenovo!»

Насколько оно секьюрно и отвечает требованиям? I don't know.

blitz
()
Ответ на: комментарий от Harliff

С ecryptfs то же самое.

Из нового, и поддерживаемого: ext4 получила поддержку шифрования на уровне ФС.
https://wiki.archlinux.org/index.php/ext4#Using_file-based_encryption

Если кто-то сделает pam-модуль, то можно будет расшифровывать хомяк паролем своей учётки.

aidaho ★★★★★
()
Ответ на: комментарий от Harliff

Перфекционизм, хочу заменить macos на linux desktop, не знаю, существует ли второе.

В маке шифруется весь диск (может быть?), я включаю ноут, меня встречает dm, я логинюсь, расшифровывается, и оп-ля, меня встречает обоина и ярлычки.

Я понимаю, что это слишком сложно будет для opensource, но вот, например, нужно мне удаленно сделать ребут и приплыли

mfhunruh
() автор топика
Ответ на: комментарий от mfhunruh

Похожий эффект будет и с LUKS, если ты настроишь авто-вход. А вот с шифрованием хомяка с encryptfs, авто-входа быть в DM быть не может. Просто вместо ввода пароля при загрузке, ты будешь вводить его при входе в аккаунт пользователя.

anonymous_sama ★★★★★
()
Ответ на: комментарий от Harliff

вот я тоже думаю, а что вместо-то. encfs ведь еще удобен тем, что это файлы, которые можно перемещать между разными фс (с xfs на флешку или в вообще в сеть и обратно, да и затарить можно). и еще у него вроде был режим «задом наперед» (хотя я этот режим не пробовал).

neschastnyjj86
()

То есть ты хочешь построить полностью «доверенную» систему.
тогда сначала найди:
1. плату с нормальным UEFI и возможно Secure Boot
2. загрузчик linux, который умеет хранить в своём загрузочном файле ключь для проверки подписи своего конфига.
3. Надёжную флешку под загрузочный и корневой раздел системы.

На флешке создаёшь два раздела:
1. EFI,
2. Раздел для директории /boot на котором будет лежать
. ядро,
. initrd с ключами шифрования корневого раздела
. конфиг загрузчика с чексуммами ядра и ini(GRUB это умеет)
. или средствами проверки их цифровой подписи.
. цифровая подпись для проверки целостности «конфига»

На диске создаёшь сам корневой раздел корневой раздел с ключами шифрования для остальных разделов системы.

Для загрузки вставляешь флешку в комп
1. EFI BIOS с первого раздела проверяет подпись первичного загрузчика, грузит и запускает его на выполнение.
2. Первичный загрузчик помещённой внутрь его подписью проверяет целостность своего конфига и полностью догружает нужные ему модули.
3. после ручного или автоматического выбора пары initrd+ядро проверяет их чексуммы, грузит их в ОЗУ и запускает на выполнение
4. Во время загрузки с помощью находящегося внутри inintrd ключа шифрования монтируется корневой раздел.
5. После перехода на корневой раздел остальные разделы монтируются как твоей криптодуше угодно.

Флешку с загрузочными и корневым разделом таскаешь с собой.

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 3)
Ответ на: комментарий от torvn77

В принципе, если флешка будет содержать разделы
/boot/efi
/boot/grub
а сама директория boot будет на самом компьютере,
при этом ядро и inintrd будут проверяться не чексуммами, а цифровой подписью
то после загрузки флешка для дальнейшей работы системы будет не нужна и её можно будет извлекать из компьютера и уносить с собой.

torvn77 ★★★★★
()

И в чём же проблемы у партай-геноссе mfhunruh?

Блиц поясняет и чётко арийски излагает.
Во-первых, «запуск до шифрования диска»

То, что записано на диск при установке - к этому ты не имеешь ни малейшего отношения.
Тем паче, с оффтоп ОС.

Во-вторых, у тебя есть GNU/Linux и умная голова на плечах.
Пусть себе установится OS, в нужные системные директории/фолдеры.

В-третьих, партицию /home, вынеси на отдельный девайс - и шифруй с LUKS. Это твоё личное.
Все остальные партиции - не стоят шифрования.

blitz
()
Ответ на: комментарий от neschastnyjj86

Все ключи хранятся в процессоре потому что AES. Veracrypt позволяет шифровать тремя разными шифрами одновременно.

anonymous
()
Ответ на: комментарий от Harliff

Это не инструкция, а фантазия как должно быть, не знаю умеет ли груб нужные вещи?
Может их умеет любимый проприетарщиками uboot?

torvn77 ★★★★★
()

Выбираешь на этапе установки ОС шифровать диск и он тебе зашифрует всё, включая своп. Пароль на расшифровку и учётку можно поставить такой же. Чтобы 2 раза не вводить, ставишь не запрашивать пароль при входе.

anonymous
()
Ответ на: комментарий от anonymous

Выбираешь на этапе установки ОС шифровать диск и он тебе зашифрует всё, включая своп.

Всё-то всё, кроме /boot... :)

cuss
()
Ответ на: комментарий от anonymous

Посмотрите, что я парой постов выше написал.

cuss
()
Ответ на: комментарий от cuss

Всё-то всё, кроме /boot... :)

Загуглите про anti evil maid решение от Рутковской, если атаки на /boot для Вас актуальны.

Harliff ★★★★★
()
Ответ на: комментарий от anonymous

/boot тоже можно держать в luks. Для этого достаточно efi, luks с lvm и в конфигурации grub GRUB_ENABLE_CRYPTODISK=y. У самого так, нареканий нет.

anonymous
()
Ответ на: комментарий от cuss

/boot живёт спокойно в luks, смотри моё сообщение выше.

anonymous
()

Тут, по-ходу, буквы знают, но читать не умеют.

Я - не ТС. Мне не надо ничего советовать. Это я ТСу предложил вариант полного шифрования диска, в котором только стандартный мегабайтный MBR, всё остальное пространство - LUKS; по желанию можно вбивать пароль один раз или вообще не вбивать. Привёл ссылки по теме и написал ему, что я так делал, когда у меня стояла Убунта 14.04.

Цитата для «танкистов»:

X---------------------X Делал с Ubuntu года 2 назад: GRUB в MBR (у меня BIOS), весь диск - LUKS, в нём LVM, в LVM - система и своп.

http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/ http://www.pavelkogan.com/2015/01/25/linux-mint-encryption/ X---------------------X

cuss
()
Ответ на: комментарий от mfhunruh

меня встречает dm, я логинюсь, расшифровывается, и оп-ля, меня встречает обоина и ярлычки.

Во что ты логиниться собрался до расшифровки, в набор данных подозрительно похожих на энтропию?!

Я понимаю, что это слишком сложно будет для opensource, но вот, например, нужно мне удаленно сделать ребут и приплыли

Ничего ты не понимаешь. Тот же дебиан имеет хук для запуска sshd до ввода пароля от LUKS и может ждать удаленного ввода.

erfea ★★★★★
()

Во многих оффтоповых осей присутствует замечательная фича - запуск до шифрования диска и после шифрования на глаз не меняется

Шифруется только хомяк.

anonymous
()
Ответ на: комментарий от mfhunruh

В маке шифруется весь диск (может быть?), я включаю ноут, меня встречает dm, я логинюсь, расшифровывается

Шифруется весь диск - это когда пароль нужно вводить ещё на этапе работы загрузчика, либо в самом загрузчике, тогда будет зашифрован даже образ ядра, либо во время страта ядра в initramfs, тогда шифрованой будет корневая файловая система.

А так, в твоём mac`е у тебя шифруется только домашняя директория.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

Apple пишет:

Полнодисковое шифрование FileVault (FileVault 2) использует алгоритм XTS-AES-128 с 256-битным ключом для предотвращения несанкционированного доступа к данным на загрузочном диске.

mfhunruh
() автор топика
Ответ на: комментарий от erfea

Ничего ты не понимаешь. Тот же дебиан имеет хук для запуска sshd до ввода пароля от LUKS и может ждать удаленного ввода.

А если у меня wifi wpa и везде разный или вообще usb модем? Вот это гемор будет!

mfhunruh
() автор топика
Ответ на: комментарий от mfhunruh

Да, инфу по Apple я не читал, исходил из того, как ты написал.

Но в любом случае, если при шифровании всего диска система как-то загружается до ввода пароля, что бы расшифровать домашнюю директорию - значит где-то хранится пароль для расшифровки системного раздела. Что тоже не совсем хорошо.

kostik87 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.