LINUX.ORG.RU

11
Всего сообщений: 77

zfs backup на remote шифрованый диск

Привет. Задача такая: есть zpool , который я будут синхронизировать ssh send/receive на внешний сервер.

Внешний сервер должен иметь шифрованные диски. Но при этом эти диски не должны быть замаунчены все время. Они должны монтироваться только на время синхронизации.

Ну и еще на систему можно поставить inotify и мониторить любые изменения в /. Так что если кто-то поставил систему раком и ставит руткиты, чтобы отснифить ключ маунта, который передается при send/receive , то я успеваю автоматически остановить/отменить следующую синхронизацию и примуанчивание дисков.

Есть какие-то готовые решения/мысли?

Или может я херню вообще написал и есть best practice по этому поводу?

 , , , ,

constin ()

Шифрованный бэкап в облако

Я тут решил узнать как достопочтенные лоровцы заливают бекапы в облако? У меня требования простые: делать инкрементальный шифрованный бэкап куда-нибудь в B2/S3 и т.п. (object storage). Пока что я нашел следующие варианты:

1. borg + rclone

2. rsync + руки

3. duplicty / duplicati / тысячи их

Интересует реальный опыт из первых рук, т.к. например, про п.3. некоторые писали, что оно кривое и работает через раз. А я, как бы, не очень хочу на своих данных проверять насколько хорошо оно работает.

 , , , ,

maverik ()

как заставить updatedb сканировать примонтированный ecryptfs-каталог?

xUbuntu 18.04.1 LTS
updatedb (mlocate) 0.26

поскольку home закриптован дефолтными средствами, вроде бы как решил проблему его сканирования через

export LOCATE_PATH="$HOME/var/lib/mlocate.db"
updatedb -l 0 -o $HOME/var/lib/mlocate.db -U $HOME

но тута такое дело, что в этот же home/user/Documents я монтирую ручками закриптованый ecryptfs каталог, который лежит на другом диске (диск соотв. монтируется сам через fstab):
sudo mount -t ecryptfs -o ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_passthrough=n,ecryptfs_enable_filename_crypto=y,ecryptfs_fnek_sig=блаблабла /home/all/disk1/data/users/user/cr /home/user/Documents/_add_crp


Хочется, соответственно, чтобы этот самый _add_crp также сканировался updatedb в базу, недоступную другим пользователям - ну и соотвественно потом все это дело обернуть в cron-скрипт и автозагрузку.

Есть ли какие разумные пути?

 ,

MinasFilm ()

Ecryptfs/encfs наоборот. Хранение данных в облаке.

Всем здрасте!

Как работают указанные в заголовке ФС? Данные хранятся зашифрованными пофайлово на любой файловой системе, расшифровываются налету при доступе через точку монтирования данных псевдофайловых систем.

А бывают прозрачные средства пофайлового шифрования наоборот?
Т.е. файлы хранятся в открытом виде и шифруются на лету, при обращении к ним через точку монтирования специальной ФС.

Нужно для синхронизации файлов через облако. Личные фотографии, некоторые документы, многое в архивах. Ничего сверх секретного, чтобы хранить в зашифрованном виде и нагружать компьютер шифрованием/дешифрованием при любом обращении к этим файлам. Однако, не хотелось бы их просто так показывать посторонним. И было бы удобно, если бы клиент облачного сервиса (Яндекс диск, Google drive или Dropbox, пока ещё не решил, что лучше) забирал их в зашифрованном виде.

Есть что-то такое?

 , , ,

ls-h ()

gpg -c программно на openssl (libcrypto, C/C++)

Доброго времени суток. Нужно зашифровать sqlite3 базу и расшифровывать ее перед использованием. Хочется получить результат, похожий на тот, что дает консольный инструмент gpg при симметричном шифровании. Для шифрования я выбрал aes_256_gcm, для генерации ключа из парольной фразы - PKCS5_PBKDF2_HMAC.

  1. Где хранить вектор инициализации?
  2. Где хранить соль?
  3. Правильно ли использовать RAND_bytes для генерации соли? (Я понимаю, что генерируются байты, а не символы ASCII)
  4. Какая длинна соли и сколько итераций являются оптимальными?
  5. gpg неплохо сжимает данные после шифрования. Как добится такого же эффекта? Нужно использовать отдельную библиотеку для сжатия?
  6. Как определить, что пользователь ввел неверный пароль для расшифровки?

 , , , ,

Rot1 ()

Ещё в 14 году хотелось странного... Но никто не помог и всё хочется... (Атрибуты Linux поверх NTFS)

В 14 году поднимал тему и никто ни чего не предложил. Сейчас ушел в поиск на тему сохранения владельца/атрибутов Linux поверх NTFS и нашел себя же...

Вопрос остался: Есть ли какая то прослойка позволяющая сохранять атрибуты и владельцев файлов поверх NTFS но не ФС в контейнере а аналог cryfs но не шифрующий и производительный.

На данный момент cryfs сохраняет и владельца, и группу, и аттрибуты - но жестко тормозит.

Схожим функционалом обладает ecryptfs, быстрый но не сохраняет аттрибуты и владельцев файлов.

Хочется чего то подобного просто сохраняющего аттрибуты и владельца файлов. Без шифровки и максимально производительного.

tar не предлагать... знаю, умею, надо поверх NTFS. Есть USB винт который должен быть доступен и в Win и в Linux. Бить на несколько разделов или создавать файловые контейнеры для линуксовых систем не хочется - перерасход места.

К слову сказать у шифрующих прослоек ещё и оверхид дикий.
Есть какое то древнее сборище файлов (старый хомяк)
размером 4,7G
копируем его в ecryptfs и результирующее дерево 6.0G
копируем его в cryfs и результирующее дерево 11G

Где найти выход?

 ,

n0mad ()

luks: раcшифровка по паролю И ключу

Привет.

Я знаю, что есть 8 слотов, в каждый из которых можно добавить passphrase или key file. Для разблокировки раздела можно использовать любой слот.

Теперь вопрос: можно ли сделать так, чтобы для разблокировки нужен был и пароль и ключ, а не только что-то одно? Если нет, то м.б. truecrypt или veracrypt так умеет.

Что-то я ничего не нашел в спутнике.

 , , , ,

maverik ()

Шифрование ssd без инструкций AES в процессоре

Добрый день.

Купил ssd и думаю нынешние времена обязывают шифровать все, что возможно. Как я понимаю, инструкции AES в процессоре очень сильно ускоряют процесс шифрования/дешифрования. Разумно ли использовать шифрование всего ssd, если процессор не поддерживает эти инструкции?

 , ,

Im_not_a_robot ()

Backup зашифрованных разделов LUKS

Образ всего зашифрованного раздела можно сделать, без проблем. Но как сделать такой образ, чтобы из 160 Гб, к примеру, записались в образ только реальные 15 Гб данных (остальные 145 Гб не заполнены). Clonezilla может это делать, но только не с зашифрованными разделами, как я понял. Это возможно или противоречит самой природе шифрованных разделов? Правильно ли я понял, что в шифрации данных участвует всё выделенное место под раздел?

Если я прав, то это обратная сторона медали шифрованных разделов - придётся тупо копировать всё пространство(.

 , , ,

Desmond_Hume ()

Пользователи nitrokey

Есть здесь такие?

Хотелось бы услышать отзывы реальных людей, а именно: насколько поддерживается софтом? Например, keepassx(c) поддерижвает yubikey, но он закрытый, а поддержку nitrokey так и не завезли (на жидхабе проблема все еще open). Ну в общем, хотелось бы услышать о проблемах, если есть.

 , ,

maverik ()

GPG запрашивает passphrase секретно ключа при симметричном шифровании, но не запрашивает при расшифровке

Хочу шифровать файлы в скрипте, делаю

gpg --cipher-algo AES256 --compress-algo none $file
и на каждый новый файл вылетает окно pinentry и спрашивает у меня passphrase от секретного ключа. При этом, для расшифровки ничего не спрашивает. Почему так?

cat ~/.gnupg/gpg.conf
use-agent
cat ~/.gnupg/gpg-agent.conf 
pinentry-program /usr/bin/pinentry-kwallet

 , ,

aquadon ()

Зашифрованный Raspberry pi

Кароче, воспользовался этим мануалом:https://docs.kali.org/kali-dojo/04-raspberry-pi-with-luks-disk-encryption, Все вроде прошло нормально, разве что варнингов несколько увидел. Раздел дешифруется нормально если через флешку картридер подключать. А вот система не грузится воообще, то есть даже экран не загорается. Одновременно горят красный и зеленый диод. Где я ошибся и рабочий ли вообще мануал?

 , , , ,

Kaernk ()

Восстановление microsd после шифрования

Использовал флешку 8гб в Android 7 смартфоне с принудительным шифрованием. Потом купил новую: со старой все перенес с телефона, извлек, вставил новую. Занятный факт: теперь старая флешка стала с емкостью 16 мб и cfdisk принципиально больше места и не видит. Отдаю должное: шифрование клевая штука. Но как теперь восстановть объем (не данные, там и так ничего важного нету) флешки? Чтобы потом сделать раздел и отформатировать.

 , ,

JAkutenshi ()

Шифрование диска в Linux

Всем привет!

Во многих оффтоповых осей присутствует замечательная фича - запуск до шифрования диска и после шифрования на глаз не меняется, никаких luks паролей и т. п., ключ это ваша учетка.

Как такое можно реализовать на Linux? Знаю, что у Ubuntu можно, но там только хомяк.

 , ,

mfhunruh ()

Посоветуйте как пробросить блочный девайс через интернет?

В локальной сети я бы наверное пользовал iscsi или nbd.

Хотелось бы без VPN

 , , , ,

cvv ()

Шифрование дисков/разделов/файловой системы

Есть поделка которая завернута в докер и бежит у клиента на PC-linux (без монитора и клавиатуры). Клиент все настраивает через веб страницу. (то есть физический доступ к пс ему не нужен).

Задача: защитить поделку от реверс инжиниринг. (то есть просто шифрование с паролем при запуски линукса не подходит)

Что можете посоветовать? если что сильно не пинать :)

 , , , ,

pasifus ()

Не получается зашифровать внешний жесткий диск через LUKS

Добрый день! Делаю по этому руководству: https://www.easycoding.org/2016/11/14/shifruem-vneshnij-nakopitel-posredstvom...

В GParted привел хард в состояние unallocated, так же пробовал форматнуть в cleared и unformatted.

Затем:

flixis@host ~ $ sudo cryptsetup —verify-passphrase luksFormat /dev/sdc -c aes -s 256 -h sha512
[sudo] password for flixis: 

WARNING!
========
This will overwrite data on /dev/sdc irrevocably.

Are you sure? (Type uppercase yes): yes

Но ввести пароль для только что созданного крипта не предложило.

Далее:

flixis@host ~ $ sudo cryptsetup luksOpen /dev/sdc storage
[sudo] password for flixis: 
Device /dev/sdc is not a valid LUKS device.

Значит что-то не так.

flixis@host ~ $ lsblk
NAME            MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sdb               8:16   0 238,5G  0 disk  
├─sdb4            8:20   0  94,5G  0 part  
├─sdb2            8:18   0   900M  0 part  
├─sdb10           8:26   0  86,2G  0 part  
│ └─sdb10_crypt 253:1    0  86,2G  0 crypt /home
├─sdb9            8:25   0  35,3G  0 part  
│ └─sdb9_crypt  253:0    0  35,3G  0 crypt /
├─sdb7            8:23   0    20G  0 part  
├─sdb5            8:21   0   455M  0 part  
├─sdb3            8:19   0   128M  0 part  
├─sdb1            8:17   0   100M  0 part  /boot/efi
├─sdb8            8:24   0   488M  0 part  /boot
└─sdb6            8:22   0   450M  0 part  
sr0              11:0    1  1024M  0 rom   
sdc               8:32   0 279,5G  0 disk  
sda               8:0    0   1,4T  0 disk  
├─sda2            8:2    0 698,6G  0 part  /mnt/data1
├─sda3            8:3    0 698,6G  0 part  
│ └─sda3_crypt  253:2    0 698,6G  0 crypt /mnt/data2
└─sda1            8:1    0   128M  0 part 

 ,

FliXis ()

Gentoo Luks grub2 fulldisk enc

Не могу осилить по https://wiki.gentoo.org/wiki/Dm-crypt_full_disk_encryption явно устаревшее что-то.

есть раздел открывающийся cryptsetup luksOpen -d /etc/keys/enc.key /dev/sdb2 mappername

есть genkernel

с LUKS=«yes»

есть sys-boot/grub c USE=device-mapper

в конфиге GRUB_CMDLINE_LINUX_DEFAULT=«quiet rd.luks.key=/etc/keys/enc.key rd.luks.uuid=luks-74f9e685-60be-4122-ae53-cc02a68c68f1 dolvm»

 , , ,

deity ()

Geli vs ZFS encryption

Сабж. Сам в вопросе не разбираюсь.

Интересует:

  • Скорость (поддерживает ли ZFS мой aes-ni? geli — да)
  • Комфорт использования для шифрования всей системы
  • Безопасность? AES-XTS везде? Есть ил выбор? Где хранятся ключи?

UPD

В итоге в инсталлере выбрал Auto(ZFS) и поставил галочку Encrypt filesystems. Настроило GELI поверх всего, так что всё почти так же просто, как в опёнке.

 , ,

BruteForce ()

ddos в ua?

часть mx не отвечают в ua.

к примеру,

umh.ua

fr1.umh.ua. fr2.umh.ua.

связано с

https://lenta.ru/news/2017/06/27/ukr_attack/

?

 , , ,

int13h ()