Debian Buster - есть ли штатное шифрование домашних каталогов и авторизация?

Luks чем не устраивает?

LUKS позволяет шифровать домашку. Предлагается из коробки при установке через netinstall.

LUKS позволяет шифровать домашку. Предлагается из коробки при установке через netinstall.

Хм... Ставил через netinstall. Через advanced->expert install
Не увидел предложений шифрования...
Насколько я помню LUKS - он шифровал на уровне блочного устройства...
Мне нужно на уровне файлов. Но спасибо за инфу, на досуге погуглю...

P.S. Первое ообщение было с Toshiba L655, перенёс USB HDD на нетбук 3Q QOO, загрузился, пишу...

ext4 (fscrypt) + libpam-fscrypt

Хм... Ставил через netinstall.
Не увидел предложений шифрования...

Там в разделе разметки диска можно RAID добавить или шифрованный раздел. Это не совсем отдельное, а немножко совмещённое.

ecryptfs вынесли из дебиана из-за секур проблем, у encfs их меньше, но там свои проблемы. Единственно, что придётся мириться с тем, чтобы зашифровать блочно через luks и подключать как home dir. Ну или поставь не дебиан.

Не увидел предложений шифрования...

При разметке разделов делается.

Мне нужно на уровне файлов. Но спасибо за инфу, на досуге погуглю...

Конечно suum cuique как еще древние говорили, но все же, чем на уровне файлов лучше блочного? Тем более, что ты так и так весь хомяк собрался закриптовать. Так выдели под него отдельный раздел и закрывай его.

Кстати, где-то я недавно видел что-то про какой-то баг в дебиане (или не только) в случае шифрования целиком своего раздела и со свопом. Непомню что там было, но вроде какие-то приколы с инициализацией из-за того, что своп затирал содержимое.

Конечно suum cuique как еще древние говорили, но все же, чем на уровне файлов лучше блочного? Тем более, что ты так и так весь хомяк собрался закриптовать. Так выдели под него отдельный раздел и закрывай его.

Всем спасибо за советы. Про блочное точно было, просто забыл.
Там же можно установить систему в зашифрованный LVM том, но у меня это внешний HDD для винды в том числе и под Linux выделено всего 40G первого первичного раздела.
Идея шифрования на уровне файлов мне нравится тем что не надо заботиться о выборе размера, и хочу в перспективе применить её на расширенном NTFS разделе. Опять же не надо будет вырезать отдельное место для линукса.
Задача этого винта - перенос данных, а система как починочная на всякий случай и безопасность нужна по большому счёту лишь для кэша браузеров и паролей хранящихся в них.
В общем вопрос ещё открыт. Нужен хауту для шифрования хомяков в Debian Buster на уровне файлов.

Мне нравится как этот Buster установленный на L655 работает на 3Q QOO.
На нем же, на штатном винте живёт Debian Stretch и теряет курсор после закрытия панели. Приходится прибегать Ctrl-Alt-F1,Ctrl-Alt-F7.
Придётся и штатную систему переставлять. Как раз на тот USB данные и вынесу...

Вот в ubuntu всё достаточно прозрачнно...
$sudo ecryptfs-migrate-home
$sudo ecryptfs-setup-swap
...

Ну или поставь не дебиан.

В других дистрах точно те-же самые проблемы.

В арче, например, нет таких проблем.

Ага. То есть, хотите сказать, что encfs там не имеет фундаментальных проблем с секурностью, как и ecryptfs ?

В архе екриптфс хотя бы не выкинули.

Так и держат с дырами и багами? Апстрим (Ubuntu) давно уже выбросил эту поделку.

Не увидел предложений шифрования...

Это всё происки гэбни. Они спрятали, чтобы получить доступ к твоим данным.

Ну там баг, в целом, типа, по восприятию. Ну и обновился ты, а ecryptfs у тебя был домашний каталог зашифрован. Что делать? Даунгрейдиться опять?

Ну там баг, в целом, типа, по восприятию. Ну и обновился ты, а ecryptfs у тебя был домашний каталог зашифрован. Что делать? Даунгрейдиться опять?

Это какой то крандец... (простите что выпал)
Серьёзный дистр а нет такой нужной вещи как шифровка хомяка...
Я тупо не хочу чтобы мои браузерные кэши ушли... скажем при краже ноутбука... Да есть может какие то уязвимости - но для их эксплуатации надо комплекс мер. Меня интересует сугубо сохранность в случае кражи... Его и вскрывать с пристрастием никто не будет...
На уровне дистра это должно быть «как два пальца обоссать», а тут такая поза....

Серьёзный дистр а нет такой нужной вещи как шифровка хомяка

Ты комментарии читаешь через один, или по какому-то другому принципу?

Бомбануло то как! Меня сеть ударной волной через экран телефона не сдуло.

Причём тут дистрибутив? На сегодняшний день нет хорошего инструмента для шифрования файлов, а те что были - дырявые. Остаётся только шифровать блочное устройство. Luks доступен почти во всех установщиках. В Debian установка с использованием luks есть в установщике из коробки.

Шифровать весь диск много проще, файловое шифрование сделать сложнее, чем luks или truecrypt. Поддерживать васяноподелки с «авось сойдёт»... Это не в традициях debian, а поза не в дистре, а в секурити. Шифрование никто не делает «от сестрёнки», это обман людей, или хорошо или никак. Ну кроме проприетаршиков. Те ксор на внешних hdd продавали.

Ты комментарии читаешь через один, или по какому-то другому принципу?

Я их забываю :( - писал же: «выпал» и не осталось инфы про encfs
Пойду курить encfs в приложении к Debian Buster.

Причём тут дистрибутив? На сегодняшний день нет хорошего инструмента для шифрования файлов, а те что были - дырявые. Остаётся только шифровать блочное устройство. Luks доступен почти во всех установщиках. В Debian установка с использованием luks есть в установщике из коробки.

У меня целый зоопарк всего и желания/возможности всё перекраивать - нет.
Как я понимаю шифрование на уровне разделов - требует ввода пароля при загрузке, ну или для каждого хомяка свой раздел со своим паролем?
Это переразбивка винта, данные надо куда то скинуть,перекинуть,...
Опять же загрузка с паролем не интересует. Система при загрузке не должна требовать пароль и открывать что то секретное. Это уже по факту удалённого или локального логина пользователя.
Было бы интересно шифрование хомяков «из коробки». Дырявость в процессе работы не интересует. Интересна лишь стойкость к взлому на холодную...

Шифровать весь диск много проще, файловое шифрование сделать сложнее, чем luks или truecrypt. Поддерживать васяноподелки с «авось сойдёт»... Это не в традициях debian, а поза не в дистре, а в секурити. Шифрование никто не делает «от сестрёнки», это обман людей, или хорошо или никак. Ну кроме проприетаршиков. Те ксор на внешних hdd продавали.

Но шифрование на уровне раздела - требует ввода пароля на этапе загрузки?
Или грузить обрезок а «взлёт» делать удалённо? Всё крайне сложно. Хотя конечно ни кто не мешает засунуть хомяки в файлы на разделе... Грузится вася и ему монтируется /home/вася.хоум->вася но всё равно оверхид большой...
«васяноподелки» интересуют лишь стойкостью к холодному взлому. Взлом на этапе MITM это уже проблемы дизайна всей системы. Тем не менее я не спецагент для того чтобы мне требовалось «серьёзное» шифрование. Мне достаточно того к которому не сможет получить доступ - средний взломщик...

тоже искал алтернативу выпиленному eCryptfs и наткнулся на fscypt

стильно, модно, молодежно :)