LINUX.ORG.RU
ФорумTalks

[Шифрование] как быть

 


0

0

При установке слаки я решил зашифровать /home. Сделал следующие степы: 1.dd if=/dev/urandom of=/dev/sda2 2.cryptsetup -s 256 -y luksFormat /dev/sda2 3.cryptsetup luksOpen /dev/sda2 crypthome 4. в fstab добавил /dev/mapper/crypthome /home ext3 defaults 1 2 5.echo "crypthome /dev/sda2" > /mnt/etc/crypttab

заработало, и при загрузке я ввожу passphrase раздел декриптится и монтируется.

Однако, я так и не понял, где хранится ключ и меня стали посещать страхи - а что, если я потеряю (затрется) корневой каталог /, как тогда мне монтировать-декриптить /home?

Не ссы. Чтобы прижучить пи..добола органам его /home не требуется. Достаточно логов провайдера.

r_asian ★☆☆
()
Ответ на: комментарий от r_asian

>Не ссы. Чтобы прижучить пи..добола органам его /home не требуется. Достаточно логов провайдера.

не понял. Это ты о чем?

andreas90
() автор топика
Ответ на: комментарий от andreas90

Она работает поверх любой другой ФС. Так что такое сравнение некорректно. Но при этом не через FUSE, а в ядре.

Zenom ★★★
()
Ответ на: комментарий от andreas90

Она работает поверх любой другой ФС. Так что такое сравнение некорректно. Но при этом не через FUSE, а в ядре.

Zenom ★★★
()
Ответ на: комментарий от Zenom

ух ты, для этого в 12 слаке дефолтное ядро пересобрать надо

andreas90
() автор топика

но все равно, вопрос остается открытым - если при вышеприведенных условиях я потеряю корневой раздел, то смогу ли я смонтировать и декрипнуть зашифрованный /home? Или нет?

andreas90
() автор топика
Ответ на: комментарий от andreas90

> На каком - на корне или на зашифрованном?

Естественно на шифрованном он храниться не может :-) А вообще это пофиг - "слабость" пароля как ключа для "запирания" настоящего ключа имеет чисто теоретическое значение, поскольку настоящий ключ обладает очень высокой энтропией и очень небольшую длину.

no-dashi ★★★★★
()

> cryptsetup -s 256 -y luksFormat /dev/sda2

> Однако, я так и не понял, где хранится ключ

в этом случае, если не ошибаюсь, ключом является passphrase

так что стоит боятся лишь ее забыть... ну и в отличие от внешнего ключа просто так из памяти ее [фразу] не сотрешь ^_^

n01r ★★
()
Ответ на: комментарий от n01r

> ключом является passphrase

точнее, вероятно, по данным служебного заголовка luks-раздела и фразы ключ однозначно определяется...

n01r ★★
()
Ответ на: комментарий от r_asian

> Не ссы. Чтобы прижучить пи..добола органам его /home не требуется. Достаточно логов провайдера.

ну-ну... емнип, нужно связать и то и другое, а то альтернативная гипотеза: например, сосед по хабу перехватил соединение ^_^ (для локального контента хватит ip да mac-по желанию), или, что более вероятно, у жертвы был public-proxy

n01r ★★
()
Ответ на: комментарий от n01r

Ёлки зеленые! Пароль является аргументом функции шифрования/дешифрования. Он нигде не хранится, кроме памяти пользователя. При введении пароля функция пытается расшифровать заголовок файловой системы. Если обнаруживает в результате дешифрации корректный заголовок ФС (т.е. пароль введен правильно, функция дешифрации работает корректно), то все в порядке, можно работать. Если же место корректной информации сыплется мусор, то пользователь ввел некорректный пароль и идет лесом

man алгоритмы симметричного шифрования

LexxTheFox ★★
()
Ответ на: комментарий от andreas90

> спасибо, покурю EcryptFS

Курить надо truecrypt, остальное - от лукавого!

vnovouhov
()

Добавь passphrase еще.

man cryptsetup на предмет luksAddKey. Только добавляй не ключ, а пароль.

Harliff ★★★★★
()
Ответ на: комментарий от LexxTheFox

> man алгоритмы симметричного шифрования

собственно где вы увидели недопонимание процесса [при данном способе использования cryptsetup] с моей стороны?

n01r ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks