LINUX.ORG.RU
ФорумTalks

[Шифрование] как быть


0

0

При установке слаки я решил зашифровать /home. Сделал следующие степы: 1.dd if=/dev/urandom of=/dev/sda2 2.cryptsetup -s 256 -y luksFormat /dev/sda2 3.cryptsetup luksOpen /dev/sda2 crypthome 4. в fstab добавил /dev/mapper/crypthome /home ext3 defaults 1 2 5.echo "crypthome /dev/sda2" > /mnt/etc/crypttab

заработало, и при загрузке я ввожу passphrase раздел декриптится и монтируется.

Однако, я так и не понял, где хранится ключ и меня стали посещать страхи - а что, если я потеряю (затрется) корневой каталог /, как тогда мне монтировать-декриптить /home?

Re: [Шифрование] как быть

EcryptFS для этого удобнее.

Zenom ★★★ ()

Re: [Шифрование] как быть

Не ссы. Чтобы прижучить пи..добола органам его /home не требуется. Достаточно логов провайдера.

r_asian ★☆☆ ()
Ответ на: Re: [Шифрование] как быть от r_asian

Re: [Шифрование] как быть

>Не ссы. Чтобы прижучить пи..добола органам его /home не требуется. Достаточно логов провайдера.

не понял. Это ты о чем?

andreas90 ()
Ответ на: Re: [Шифрование] как быть от andreas90

Re: [Шифрование] как быть

Она работает поверх любой другой ФС. Так что такое сравнение некорректно. Но при этом не через FUSE, а в ядре.

Zenom ★★★ ()
Ответ на: Re: [Шифрование] как быть от andreas90

Re: [Шифрование] как быть

Она работает поверх любой другой ФС. Так что такое сравнение некорректно. Но при этом не через FUSE, а в ядре.

Zenom ★★★ ()
Ответ на: Re: [Шифрование] как быть от andreas90

Re: [Шифрование] как быть

Особенно удобно в ней то, что можно монтировать ~ при логине через PAM.

Zenom ★★★ ()

Re: [Шифрование] как быть

но все равно, вопрос остается открытым - если при вышеприведенных условиях я потеряю корневой раздел, то смогу ли я смонтировать и декрипнуть зашифрованный /home? Или нет?

andreas90 ()
Ответ на: Re: [Шифрование] как быть от Again

Re: [Шифрование] как быть

>Ключ хранится на разделе.

неточный ответ. На каком - на корне или на зашифрованном?

andreas90 ()
Ответ на: Re: [Шифрование] как быть от andreas90

Re: [Шифрование] как быть

> На каком - на корне или на зашифрованном?

Естественно на шифрованном он храниться не может :-) А вообще это пофиг - "слабость" пароля как ключа для "запирания" настоящего ключа имеет чисто теоретическое значение, поскольку настоящий ключ обладает очень высокой энтропией и очень небольшую длину.

no-dashi ★★★★★ ()

Re: [Шифрование] как быть

> cryptsetup -s 256 -y luksFormat /dev/sda2

> Однако, я так и не понял, где хранится ключ

в этом случае, если не ошибаюсь, ключом является passphrase

так что стоит боятся лишь ее забыть... ну и в отличие от внешнего ключа просто так из памяти ее [фразу] не сотрешь ^_^

n01r ★★ ()
Ответ на: Re: [Шифрование] как быть от n01r

Re: [Шифрование] как быть

> ключом является passphrase

точнее, вероятно, по данным служебного заголовка luks-раздела и фразы ключ однозначно определяется...

n01r ★★ ()
Ответ на: Re: [Шифрование] как быть от r_asian

Re: [Шифрование] как быть

> Не ссы. Чтобы прижучить пи..добола органам его /home не требуется. Достаточно логов провайдера.

ну-ну... емнип, нужно связать и то и другое, а то альтернативная гипотеза: например, сосед по хабу перехватил соединение ^_^ (для локального контента хватит ip да mac-по желанию), или, что более вероятно, у жертвы был public-proxy

n01r ★★ ()
Ответ на: Re: [Шифрование] как быть от n01r

Re: [Шифрование] как быть

Ёлки зеленые! Пароль является аргументом функции шифрования/дешифрования. Он нигде не хранится, кроме памяти пользователя. При введении пароля функция пытается расшифровать заголовок файловой системы. Если обнаруживает в результате дешифрации корректный заголовок ФС (т.е. пароль введен правильно, функция дешифрации работает корректно), то все в порядке, можно работать. Если же место корректной информации сыплется мусор, то пользователь ввел некорректный пароль и идет лесом

man алгоритмы симметричного шифрования

LexxTheFox ★★ ()

Re: [Шифрование] как быть

Добавь passphrase еще.

man cryptsetup на предмет luksAddKey. Только добавляй не ключ, а пароль.

Harliff ★★★★★ ()
Ответ на: Re: [Шифрование] как быть от LexxTheFox

Re: [Шифрование] как быть

> man алгоритмы симметричного шифрования

собственно где вы увидели недопонимание процесса [при данном способе использования cryptsetup] с моей стороны?

n01r ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.