Re: [Sysadmins] шифрование корневого раздела

[Michael A. Kangin]

18.06.2016 12:27, Alexey Shabalin пишет:


Не понятно, зачем во всей этой схеме mdadm? lvm давно умеет raid. А ещё
проще перейти на btrfs, избавившись и от mdadm и от lvm.


Да привык как-то, что каждая система должна заниматься своим делом, зато 
заниматься им хорошо. md заточен под рейды, у него инструментарий для 
этого богатый, мониторинг там, всякие bitmap и тд.


btrfs примерно по тем же соображением, кроме того она сыровата пока 
к.м.к., ну и помнится апологеты райзерфс сильно ругали её на 
архитектурном уровне.

Я уж тогда bcachefs подожду. %)
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование корневого раздела

[Alexey Shabalin]

Не понятно, зачем во всей этой схеме mdadm? lvm давно умеет raid. А ещё
проще перейти на btrfs, избавившись и от mdadm и от lvm.
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование корневого раздела

[Michael A. Kangin]

Немножко оффтопика, опишу для гугля как я у себя делал систему.

Дано: новенький рабочий компьютер с 4 HDD и 1 SSD.
Надо всё зашифровать по максимуму (/, swap) и поиметь максимально 
быструю при этом дисковую систему, утилизируя SSD и 4 шпинделя.


В основу кладём уже используемую мной ранее схему - разделы с редкой 
записью - /boot, /, /usr (разделы по отдельности или вместе) кладём на 
ssd, из дисков (сырых, безраздельно) делаем raid10, на котором размещаем 
LVM, из которого нарезаем /var, /home, swap, и далее по потребностям. 
Потребности можно кстати оставить вообще пока невыделенными, и потом 
увеличить любой требуемый раздел. При выходе из строя HDD просто 
вынимаем его, вставляем новый, и никак не размечая, запускаем ребилд.


Но при такой схеме используется только маленькая часть самого маленького 
SSD, много ли там на /usr надо. Так что попробуем еще и bcache. Большую 
часть SSD пускаем на кеширование, и кешировать будем весь md0, который у 
нас raid10 на 4 сырых дисках. Да, с точки зрения надёжности наверное 
стоит пустить на кеширование отдельное зеркальце из пары отдельных SSD, 
но у меня тут не Ынтерпрайз, а скромная рабочая станция :)


Хорошо, но куда же тут прилепить шифрование?
А шифровать мы будем посерединке между bcache и LVM.
Т.е., с одной стороны, у нас уже сразу целиком зашифрованный PV, дальше 
можно по-раздельно уже не париться. С другой стороны, сам b-кеш на SSD 
тоже скидывается зашифрованный, на радость моей паранойе.


Ну и корень с /usr, которые остались на SSD вне LVM. Их же тоже надо 
зашифровать. Ну, это простенько - ни рейдов, ни кешей, ни LVM, обычный 
простой раздельчик.
Только вот беда - теперь при старте системы пароль спрашивается два раза 
- на / и на LVM. Внутренний полузадушенный перфекционист негодуэ.
Выход из этой ситуации - для расшифровки брать ключ не с клавиатуры, а 
из некоего файла или устройства. Недушенный перфекционист прикрутил бы 
смарт-карту с двухфакторной авторизацией, но мой такого не осилил. 
Поэтому ключ мы храним просто где-то в файле, который на этом же диске, 
и является в свою очередь криптоконтейнером. Который мы открываем 
паролем, вводимым с клавиатуры при старте системы. Но всего один раз! 
Сколько бы мы потом разделов не нашифровали себе.


Ладно, извращаться, так по крупному. Всё в этой схеме хорошо, но этот 
компьютер я постоянно использую и удалённо, из дома. Что, если он там 
без меня соскучится, зависнит, перезагрузится, электричество моргнёт?
Я могу попросить коллегу нажать там резет, но не сдавать же пароли чтобы 
отпереть диск?

Это мог бы сделать я и сам, по сети. Жаль что груб2 её не умеет :)
Тогда мы приходим к пониманию необходимости еще одной, 
минимальной-вспомогательной системы на нашей SSDшечке. Её заботой будет 
загрузиться, поднять сеть, запустить OpenVPN для обхода NAT-ов (у меня 
хоть и есть прямой IP, но подстраховаться никогда не помешает), 
запустить sshd, и спрашивать пароли, на физической консоли и при 
ssh-подключениях. Если там или там был введён пароль, которым удалось 
раскрыть наш криптоконтейнер с главным ключом, мы открываем им наш 
основной криптованный рут, LVM, и делаем pivot_root в основную систему.
Или, если пароля не ввели, можно например перезагрузиться, или выпасть в 
консоль вспомогательной системы, или показать котика дня. Ведь по 
существу ничего, кроме котиков, хранить в незашифрованной системе нельзя 
(здесь должна быть КДПВ с котиком).


Вот, собственно, такая система была реализована на базе P7 и живёт и 
здравствует уже почти полтора года.


Плюсы - высокое быстродействие (если верить fio и субъективным 
ощущениям), вроде-бы криптобезопасность, ну и удобство использования, 
насколько это возможно.


Из минусов - некоторый геморрой создания всего этого. Штатный 
инсталлятор, разумеется, и десятой части всего этого изврата не осилит, 
поэтому основная работа происходит из лив-системы, с последующим 
разворачиванием образа готовой системы в подготовленное место (можно 
использовать, например, ALT Linux Live имени enp@).
Вспомогательная система у нас должна быть аналогична по пакетному 
составу основной (совершенно точно должно совпадать версия ядра, скорее 
всего и всякие libc), за этим надо специально следить при обновлении.
Наличие только одного нерезервируемого SSD внушает некоторые опасения, 
поэтому я время от времени делаю копию рута/бута на диски. Возможно 
подумаю потом о зеркалировании SSD, хотя уже и устройств пихать некуда :)


Получившаяся разбивка SSD:
Found valid GPT with protective MBR; using GPT.
Disk /dev/sda: 468862128 sectors, 223.6 GiB
...

Number   Size   Code  Name
   1256.0 MiB   EF00  EFI System
   28.0 MiB EF02  BIOS boot partition
   3256.0 MiB   8300  Linux filesystem
   42.0 GiB 8300  Linux filesystem
   524.0 GiB8300  Linux filesystem
   6197.1 GiB   8300  Linux filesystem

3 - boot, 4 - вспомогательная система, 5 - шифрованный рут+usr основной 
системы, 6 - кеш.



HDD-диски в lsblk выглядят так:

sdb   

Re: [Sysadmins] шифрование корневого раздела

[Serge R]

>Повесьте багу на компонент alterator-luks:
>https://bugzilla.altlinux.org/enter_bug.cgi?product=Sisyphus

>(вероятно, дальше она ещё куда-то переедет, но пока так)

Повесил: 32195

15 июня 2016 г., 18:38 пользователь Michael Shigorin 
написал:

> On Wed, Jun 15, 2016 at 05:55:27PM +0300, Serge R wrote:
> > С помощью инсталлятора за май так и не получилось установить Linux на
> > шифрованный раздел (включая корневой). /boot делал отдельный
> нешифрованный.
>
> Если что, уже 20160612: http://nightly.altlinux.org/p8/release/
>
> > Так же не удалось установить систему на raid1, на котором лежит корень.
> > На 6 шаге (сохранения параметров) выдает ошибку и система
> > перегружается.
>
> Вот это странно, хорошо бы притормозить вывод после слетания
> инсталятора (или сразу грузиться с добавлением параметра
> instdebug, чтоб обложить его добавочными шеллами) и вытащить
> /tmp/*.log -- особенно интересует remount.log.
>
> > Пришлось ставить Linux без raid и без шифрования, и
> > реализовывать все эти вещи (шифрованный рейд) руками.
> > Как результат, могу сказать, что так работает.
>
> Ну это не дело...
>
> > Можно ли в будущей версии инсталлятора реализовать указание
> > имени раздела, для которого запрашивается пароль?  Почему
> > прошу, так как заметил, что порой, при загрузке ядра изменяется
> > порядок имен разделов, для которых вводится пароль шифрования.
> > Заранее благодарен.
>
> Повесьте багу на компонент alterator-luks:
> https://bugzilla.altlinux.org/enter_bug.cgi?product=Sisyphus
> (вероятно, дальше она ещё куда-то переедет, но пока так)
>
> Пожелание разумное, но здесь оно точно потеряется, а там хоть
> висеть будет и обсуждение можно вести структурированно.
>
> Очень бы хорошо было, если б прокопали тематику на предмет
> уже известных реализаций -- а пока гляньте вот эти баги:
> https://bugzilla.altlinux.org/show_bug.cgi?id=28082
> https://bugzilla.altlinux.org/show_bug.cgi?id=28255
>
> --
>   WBR, Michael Shigorin / http://altlinux.org
>   -- http://opennet.ru / http://anna-news.info
> ___
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование корневого раздела

[Serge R]

Ошибка 32195 

>Очень бы хорошо было, если б прокопали тематику на предмет
>уже известных реализаций

Так реализовано в последней версии Ubuntu

15 июня 2016 г., 18:38 пользователь Michael Shigorin 
написал:

> On Wed, Jun 15, 2016 at 05:55:27PM +0300, Serge R wrote:
> > С помощью инсталлятора за май так и не получилось установить Linux на
> > шифрованный раздел (включая корневой). /boot делал отдельный
> нешифрованный.
>
> Если что, уже 20160612: http://nightly.altlinux.org/p8/release/
>
> > Так же не удалось установить систему на raid1, на котором лежит корень.
> > На 6 шаге (сохранения параметров) выдает ошибку и система
> > перегружается.
>
> Вот это странно, хорошо бы притормозить вывод после слетания
> инсталятора (или сразу грузиться с добавлением параметра
> instdebug, чтоб обложить его добавочными шеллами) и вытащить
> /tmp/*.log -- особенно интересует remount.log.
>
> > Пришлось ставить Linux без raid и без шифрования, и
> > реализовывать все эти вещи (шифрованный рейд) руками.
> > Как результат, могу сказать, что так работает.
>
> Ну это не дело...
>
> > Можно ли в будущей версии инсталлятора реализовать указание
> > имени раздела, для которого запрашивается пароль?  Почему
> > прошу, так как заметил, что порой, при загрузке ядра изменяется
> > порядок имен разделов, для которых вводится пароль шифрования.
> > Заранее благодарен.
>
> Повесьте багу на компонент alterator-luks:
> https://bugzilla.altlinux.org/enter_bug.cgi?product=Sisyphus
> (вероятно, дальше она ещё куда-то переедет, но пока так)
>
> Пожелание разумное, но здесь оно точно потеряется, а там хоть
> висеть будет и обсуждение можно вести структурированно.
>
> Очень бы хорошо было, если б прокопали тематику на предмет
> уже известных реализаций -- а пока гляньте вот эти баги:
> https://bugzilla.altlinux.org/show_bug.cgi?id=28082
> https://bugzilla.altlinux.org/show_bug.cgi?id=28255
>
> --
>   WBR, Michael Shigorin / http://altlinux.org
>   -- http://opennet.ru / http://anna-news.info
> ___
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование корневого раздела

[Michael Shigorin]

On Wed, Jun 15, 2016 at 05:55:27PM +0300, Serge R wrote:
> С помощью инсталлятора за май так и не получилось установить Linux на
> шифрованный раздел (включая корневой). /boot делал отдельный нешифрованный.

Если что, уже 20160612: http://nightly.altlinux.org/p8/release/

> Так же не удалось установить систему на raid1, на котором лежит корень.
> На 6 шаге (сохранения параметров) выдает ошибку и система
> перегружается.

Вот это странно, хорошо бы притормозить вывод после слетания
инсталятора (или сразу грузиться с добавлением параметра
instdebug, чтоб обложить его добавочными шеллами) и вытащить
/tmp/*.log -- особенно интересует remount.log.

> Пришлось ставить Linux без raid и без шифрования, и
> реализовывать все эти вещи (шифрованный рейд) руками.
> Как результат, могу сказать, что так работает.

Ну это не дело...

> Можно ли в будущей версии инсталлятора реализовать указание
> имени раздела, для которого запрашивается пароль?  Почему
> прошу, так как заметил, что порой, при загрузке ядра изменяется
> порядок имен разделов, для которых вводится пароль шифрования.
> Заранее благодарен.

Повесьте багу на компонент alterator-luks:
https://bugzilla.altlinux.org/enter_bug.cgi?product=Sisyphus
(вероятно, дальше она ещё куда-то переедет, но пока так)

Пожелание разумное, но здесь оно точно потеряется, а там хоть
висеть будет и обсуждение можно вести структурированно.

Очень бы хорошо было, если б прокопали тематику на предмет
уже известных реализаций -- а пока гляньте вот эти баги:
https://bugzilla.altlinux.org/show_bug.cgi?id=28082
https://bugzilla.altlinux.org/show_bug.cgi?id=28255

-- 
  WBR, Michael Shigorin / http://altlinux.org
  -- http://opennet.ru / http://anna-news.info
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование корневого раздела

[Serge R]

Здравствуйте!
С помощью инсталлятора за май так и не получилось установить Linux на
шифрованный раздел (включая корневой). /boot делал отдельный нешифрованный.
Так же не удалось установить систему на raid1, на котором лежит корень. На
6 шаге (сохранения параметров) выдает ошибку и система перегружается.
Пришлось ставить Linux без raid и без шифрования, и реализовывать все эти
вещи (шифрованный рейд) руками.
Как результат, могу сказать, что так работает.
Но, если на каждый шифрованный раздел установлен свой пароль, то не
понятно, какой вводить пароль на этапе загрузки.
Можно ли в будущей версии инсталлятора реализовать указание имени раздела,
для которого запрашивается пароль?
Почему прошу, так как заметил, что порой, при загрузке ядра изменяется
порядок имен разделов, для которых вводится пароль шифрования. Заранее
благодарен.

30 мая 2016 г., 13:42 пользователь Serge R  написал:

> Добрый день!
> Использую систему, установленную с basealt-p8-server-20160429-x86_64.iso
> Пытаюсь зашифровать корневой раздел, используя cryptsetup.
> При вводе пароля получаю такую ошибку (см. вложение).
> Что необходимо мне предпринять?
> спасибо!
>
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование корневого раздела

[Michael Shigorin]

On Tue, May 31, 2016 at 01:22:08PM +0300, Serge R wrote:
> >>Не шифрованный /boot как то может влиять на взлом шифрованных разделов?
> >Теоретически это тоже стартовая площадка, практически же такую
> >работу я бы пытался начинать скорее со своего загрузочного
> >носителя.
> Планируется ли реализация в дистрибутиве шифрованного /boot?

Мной пока не планируется за отсутствием видимого смысла --
если кто-либо заинтересован сделать, видимо, начинать надо
будет с выяснения текущей ситуации поддержки в grub2.

> Появилось еще пара вопросов по шифрованию:
> 1) При шифровании с aes-xts-plain64 нет поддержки этого
> алгоритма при загрузки системы.  Как добавить этот модуль
> в initrd? (работает только с aes cbc-essiv:sha256)

Например, указать в MODULES_ADD в /etc/initrd.mk

> 2) Можно ли реализовать ввод пароля только на корневом разделе,
> а остальные разделы расшифровываются по ключу?

Это надо смотреть документацию cryptsetup и, возможно,
https://bugzilla.altlinux.org/show_bug.cgi?id=28255#c41
-- сам не сталкивался.

-- 
  WBR, Michael Shigorin / http://altlinux.org
  -- http://opennet.ru / http://anna-news.info
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование корневого раздела

[Serge R]

>>Не шифрованный /boot как то может влиять на взлом шифрованных разделов?

>Теоретически это тоже стартовая площадка, практически же такую
>работу я бы пытался начинать скорее со своего загрузочного
>носителя.

Планируется ли реализация в дистрибутиве шифрованного /boot?

>> Пока, предполагаю, разница в именовании криптового устройства (через
>> инсталятор создается sdaX_crypt, у меня было другое). Буду проверять.

> sdXY_luks, точнее.

изучая как реализовано шифрование с помощью инсталлятора, обратил внимание,
что устройство именуется так
sdXY-luks

Появилось еще пара вопросов по шифрованию:
1) При шифровании с aes-xts-plain64 нет поддержки этого алгоритма при
загрузки системы.
Как добавить этот модуль в initrd? (работает только с aes cbc-essiv:sha256)
2) Можно ли реализовать ввод пароля только на корневом разделе, а остальные
разделы расшифровываются по ключу?
сейчас ввожу пароль на каждый криптованый диск, даже если у него есть
только один слот, в котором хранится пароль из ключа, расположенный на
корневом разделе и, соответсвенно, процесс загрузки останавливается на
вводе пароля, которого нет :-)


31 мая 2016 г., 11:19 пользователь Michael Shigorin 
написал:

> On Tue, May 31, 2016 at 08:43:57AM +0300, Serge R wrote:
> > Не шифрованный /boot как то может влиять на взлом шифрованных разделов?
>
> Теоретически это тоже стартовая площадка, практически же такую
> работу я бы пытался начинать скорее со своего загрузочного
> носителя.
>
> > Пока, предполагаю, разница в именовании криптового устройства (через
> > инсталятор создается sdaX_crypt, у меня было другое). Буду проверять.
>
> sdXY_luks, точнее.
>
> --
>   WBR, Michael Shigorin / http://altlinux.org
>   -- http://opennet.ru / http://anna-news.info
> ___
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование корневого раздела

[Michael Shigorin]

On Tue, May 31, 2016 at 08:43:57AM +0300, Serge R wrote:
> Не шифрованный /boot как то может влиять на взлом шифрованных разделов?

Теоретически это тоже стартовая площадка, практически же такую
работу я бы пытался начинать скорее со своего загрузочного
носителя.

> Пока, предполагаю, разница в именовании криптового устройства (через
> инсталятор создается sdaX_crypt, у меня было другое). Буду проверять.

sdXY_luks, точнее.

-- 
  WBR, Michael Shigorin / http://altlinux.org
  -- http://opennet.ru / http://anna-news.info
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование корневого раздела

[Serge R]

>Этот же, а кнопка называется "создать шифруемый раздел"
>(не путать с "создать шифруемый том" -- на дисках виртуалок
>обычно приходится сперва удалить том по умолчанию на весь диск).

да, необходимо было удалить раздел и на его месте создать уже новый,
шифрованный )

>Ну и не забудьте про небольшой чистый /boot.
это знаю, спасибо за совет.
Не шифрованный /boot как то может влиять на взлом шифрованных разделов?

>PS: закончил проверку -- создаваться-то создаётся шифрокорень,
>да потом не подключается в initrd, хотя make-initrd-luks стоит
>и в /etc/initrd.mk нужная фича явным образом прописывается.

>Похоже, в basealt-p8-server-20160429 (или во всём первом выпуске)
>LUKS сломан -- им занимались более внимательно уже в мае.

вчера как раз работал с этой сборкой, все прекрасно завелось (порядка 3
шифрованных разделов, включая корень).
теперь хочу понять, почему не получается загрузиться с зашифрованного
руками корневого раздела.
Пока, предполагаю, разница в именовании криптового устройства (через
инсталятор создается sdaX_crypt, у меня было другое). Буду проверять.

>Попробуйте вот этот образ, а вообще скоро бета летних:
>http://nightly.altlinux.org/p8/beta/basealt-p8-server-20160530-x86_64.iso


спасибо!


30 мая 2016 г., 19:50 пользователь Michael Shigorin 
написал:

> On Mon, May 30, 2016 at 06:12:56PM +0300, Serge R wrote:
> > > > > Пытаюсь зашифровать корневой раздел, используя cryptsetup.
> > > > >>В смысле при установке или уже после вручную?
> > > > делаю после вручную
> > > Лучше сразу инсталятором, если корень.
> > В инсталяторе basealt-p8-server-20160429-x86_64.iso я не нашел
> > данную опцию.  Какой использовать?
>
> Этот же, а кнопка называется "создать шифруемый раздел"
> (не путать с "создать шифруемый том" -- на дисках виртуалок
> обычно приходится сперва удалить том по умолчанию на весь диск).
>
> Ну и не забудьте про небольшой чистый /boot.
>
> PS: закончил проверку -- создаваться-то создаётся шифрокорень,
> да потом не подключается в initrd, хотя make-initrd-luks стоит
> и в /etc/initrd.mk нужная фича явным образом прописывается.
>
> Похоже, в basealt-p8-server-20160429 (или во всём первом выпуске)
> LUKS сломан -- им занимались более внимательно уже в мае.
> Попробуйте вот этот образ, а вообще скоро бета летних:
> http://nightly.altlinux.org/p8/beta/basealt-p8-server-20160530-x86_64.iso
>
> --
>   WBR, Michael Shigorin / http://altlinux.org
>   -- http://opennet.ru / http://anna-news.info
>
> ___
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
>
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование корневого раздела

[Michael Shigorin]

On Mon, May 30, 2016 at 06:12:56PM +0300, Serge R wrote:
> > > > Пытаюсь зашифровать корневой раздел, используя cryptsetup.
> > > >>В смысле при установке или уже после вручную?
> > > делаю после вручную
> > Лучше сразу инсталятором, если корень.
> В инсталяторе basealt-p8-server-20160429-x86_64.iso я не нашел
> данную опцию.  Какой использовать?

Этот же, а кнопка называется "создать шифруемый раздел"
(не путать с "создать шифруемый том" -- на дисках виртуалок
обычно приходится сперва удалить том по умолчанию на весь диск).

Ну и не забудьте про небольшой чистый /boot.

PS: закончил проверку -- создаваться-то создаётся шифрокорень,
да потом не подключается в initrd, хотя make-initrd-luks стоит
и в /etc/initrd.mk нужная фича явным образом прописывается.

Похоже, в basealt-p8-server-20160429 (или во всём первом выпуске)
LUKS сломан -- им занимались более внимательно уже в мае.
Попробуйте вот этот образ, а вообще скоро бета летних:
http://nightly.altlinux.org/p8/beta/basealt-p8-server-20160530-x86_64.iso

-- 
  WBR, Michael Shigorin / http://altlinux.org
  -- http://opennet.ru / http://anna-news.info
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование корневого раздела

[Serge R]

В инсталяторе basealt-p8-server-20160429-x86_64.iso я не нашел данную опцию.
Какой использовать?

30 мая 2016 г., 17:39 пользователь Michael Shigorin 
написал:

> On Mon, May 30, 2016 at 04:10:10PM +0300, Serge R wrote:
> > > Использую систему, установленную с
> basealt-p8-server-20160429-x86_64.iso
> > > Пытаюсь зашифровать корневой раздел, используя cryptsetup.
> > >>В смысле при установке или уже после вручную?
> > делаю после вручную
>
> Лучше сразу инсталятором, если корень.
>
> --
>   WBR, Michael Shigorin / http://altlinux.org
>   -- http://opennet.ru / http://anna-news.info
> ___
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование корневого раздела

[Michael Shigorin]

On Mon, May 30, 2016 at 04:10:10PM +0300, Serge R wrote:
> > Использую систему, установленную с basealt-p8-server-20160429-x86_64.iso
> > Пытаюсь зашифровать корневой раздел, используя cryptsetup.
> >>В смысле при установке или уже после вручную?
> делаю после вручную

Лучше сразу инсталятором, если корень.

-- 
  WBR, Michael Shigorin / http://altlinux.org
  -- http://opennet.ru / http://anna-news.info
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование корневого раздела

[Serge R]

On Mon, May 30, 2016 at 01:42:28PM +0300, Serge R wrote:
> Использую систему, установленную с basealt-p8-server-20160429-x86_64.iso
> Пытаюсь зашифровать корневой раздел, используя cryptsetup.

>>В смысле при установке или уже после вручную?
делаю после вручную

> При вводе пароля получаю такую ошибку (см. вложение).
> Что необходимо мне предпринять?

>>Как вариант, попробовать штатный способ. :)
>>Например, сперва в виртуалке.
в виртуалке и настраиваю )

меня настораживает ошибка:
Failed to setup dm-crypt key mapping for device /dev//sda2

два слеша

PS: установлен ли пакет make-initrd-luks?
да, установлен: make-initrd-luks-0.8.10-alt1

30 мая 2016 г., 14:28 пользователь Michael Shigorin 
написал:

> On Mon, May 30, 2016 at 01:42:28PM +0300, Serge R wrote:
> > Использую систему, установленную с basealt-p8-server-20160429-x86_64.iso
> > Пытаюсь зашифровать корневой раздел, используя cryptsetup.
>
> В смысле при установке или уже после вручную?
>
> > При вводе пароля получаю такую ошибку (см. вложение).
> > Что необходимо мне предпринять?
>
> Как вариант, попробовать штатный способ. :)
> Например, сперва в виртуалке.
>
> PS: установлен ли пакет make-initrd-luks?
>
> --
>   WBR, Michael Shigorin / http://altlinux.org
>   -- http://opennet.ru / http://anna-news.info
> ___
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование корневого раздела

[Michael Shigorin]

On Mon, May 30, 2016 at 01:42:28PM +0300, Serge R wrote:
> Использую систему, установленную с basealt-p8-server-20160429-x86_64.iso
> Пытаюсь зашифровать корневой раздел, используя cryptsetup.

В смысле при установке или уже после вручную?

> При вводе пароля получаю такую ошибку (см. вложение).
> Что необходимо мне предпринять?

Как вариант, попробовать штатный способ. :)
Например, сперва в виртуалке.

PS: установлен ли пакет make-initrd-luks?

-- 
  WBR, Michael Shigorin / http://altlinux.org
  -- http://opennet.ru / http://anna-news.info
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

[Sysadmins] шифрование корневого раздела

[Serge R]

Добрый день!
Использую систему, установленную с basealt-p8-server-20160429-x86_64.iso
Пытаюсь зашифровать корневой раздел, используя cryptsetup.
При вводе пароля получаю такую ошибку (см. вложение).
Что необходимо мне предпринять?
спасибо!
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Шифрование диска

[Airgunster]

Вот, это главная проблема, некоторые вещи вообще могут находится в кэше

22.07.08, 14:51, Nikolay A. Fetisov [EMAIL PROTECTED]:

 On Tue, 22 Jul 2008 12:01:16 +0400
 Aleksey E. Birukov wrote:
  Nikolay A. Fetisov пишет:
  
 ... И после всех этих мучений мы обнаруживаем куски файлов скрытого
 диска в, например, индексе Beagle...
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Шифрование диска

[Airgunster]

Вобщем если нужно будет серьезно что то ныкать то это не то средство :)

23.07.08, 10:11, Denis  Medvedev [EMAIL PROTECTED]:

 -Original Message-
 From: Airgunster [EMAIL PROTECTED]
 To: sysadmins@lists.altlinux.org
 Date: Wed, 23 Jul 2008 10:07:38 +0400
 Subject: Re: [Sysadmins] Шифрование диска
  Вот, это главная проблема, некоторые вещи вообще могут находится в кэше
  
  22.07.08, 14:51, Nikolay A. Fetisov [EMAIL PROTECTED]:
  
   On Tue, 22 Jul 2008 12:01:16 +0400
   Aleksey E. Birukov wrote:
Nikolay A. Fetisov пишет:

   ... И после всех этих мучений мы обнаруживаем куски файлов скрытого
   диска в, например, индексе Beagle...
 а также посмотрел в историю монтирования (в .bash_history например. в 
 /etc/fstab, audit...) и удивился бы, что один и тот же диск монтируется то 
 как fat, то как ext3...
 ___
 Sysadmins mailing list
 Sysadmins@lists.altlinux.org
 https://lists.altlinux.org/mailman/listinfo/sysadmins
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Шифрование диска

[Aleksey E. Birukov]

Denis Medvedev пишет:

-Original Message-
From: Airgunster [EMAIL PROTECTED]
To: sysadmins@lists.altlinux.org
Date: Wed, 23 Jul 2008 10:07:38 +0400
Subject: Re: [Sysadmins] Шифрование диска

  

Вот, это главная проблема, некоторые вещи вообще могут находится в кэше

22.07.08, 14:51, Nikolay A. Fetisov [EMAIL PROTECTED]:



On Tue, 22 Jul 2008 12:01:16 +0400
Aleksey E. Birukov wrote:
  

Nikolay A. Fetisov пишет:


... И после всех этих мучений мы обнаруживаем куски файлов скрытого
диска в, например, индексе Beagle...
  

а также посмотрел в историю монтирования (в .bash_history например. в 
/etc/fstab, audit...) и удивился бы, что один и тот же диск монтируется то как 
fat, то как ext3...
  

А что мешает оба диска (и скрытый и основной) сделать в fat?

___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Шифрование диска

[Aleksey E. Birukov]

Nikolay A. Fetisov пишет:

В TrueCrypt никакой информации о наличии скрытого раздела не хранится.
При вводе пароля к разделу сначала этим паролем расшифровывается
заголовок основного раздела, если пароль не подходит - то заголовок
скрытого раздела, расположенный в конце диска по известному смещению.
  
А как определяется это известное смещение? Это я к тому, что если 
где-то в настройках или в коде оно есть, то это нехорошо.

___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Шифрование диска

[Nikolay A. Fetisov]

On Wed, 23 Jul 2008 13:43:50 +0400
Aleksey E. Birukov wrote:

 Nikolay A. Fetisov пишет:
  В TrueCrypt никакой информации о наличии скрытого раздела не хранится.
  При вводе пароля к разделу сначала этим паролем расшифровывается
  заголовок основного раздела, если пароль не подходит - то заголовок
  скрытого раздела, расположенный в конце диска по известному смещению.

 А как определяется это известное смещение? Это я к тому, что если 
 где-то в настройках или в коде оно есть, то это нехорошо.

Оно определяется в коде TrueCrypt, и жестко задано. Проблемой это не
является, т.к. в TrueCrypt заголовок диска хранится на нём в
зашифрованном виде.

Т.е., если в LUKS в заголовке диска есть сигнатура, по которой можно
определить наличие диска LUKS без необходимости вводить какие-либо
пароли (# cryptsetup isLuks устройство  echo LUKS), то в
TrueCrypt сигнатура зашифрована - как для основного диска, так и для
скрытого. 

При открытии диска сначала делается попытка расшифровать заголовок
основного раздела, потом - скрытого. Если ни в одном, ни в другом
случае расшифрованный заголовок сигнатуры не содержит - то пароль
считается неверным.

Проблемой может быть разве что невозможность сказать (и доказать), что
скрытого диска _нет_. Ну или что раздел диска, очищенный чем-то вида 
dd if=/dev/urandom of=раздел , содержит именно _мусор_, а не является
диском TrueCrypt.

-- 
С уважением,
Николай Фетисов
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Шифрование диска

[Nikolay A. Fetisov]

On Tue, 22 Jul 2008 10:27:37 +0600
Александр Леутин wrote:

 ... TrueCrypt 
 (есть по крайней мере в Сизифе). Можно сделать раздел доступным с двух 
 сторон 

О проблемах использования скрытого раздела в TrueCrypt расписано в
статье http://www.schneier.com/paper-truecrypt-dfs.pdf . Не говоря уже о
вынужденной необходимости использования FAT для основного раздела.

-- 
С уважением,
Николай Фетисов
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Шифрование диска

[Aleksey E. Birukov]

Nikolay A. Fetisov пишет:


Т.е., при использовании чего-либо кроме FAT на основном диске при
работе со скрытым диском есть большая вероятность порчи метаданных
файловой системы основного диска; после чего при проверке/восстановлении
файловой системы основного диска будут гарантированы разрушены
соответствующие блоки с данными скрытого раздела.
  
А если сначала записать данные на скрытый диск, а потом работать только 
с основным диском данные не испортятся?
А если, например, скрытый диск монтируется только для чтения метаданные 
могут перезаписаться?


___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Шифрование диска

[Dmitriy Kruglikov]

21 июля 2008 г. 19:22 пользователь Nikolay A. Fetisov написал:

 Т.е., у означенной задачи общего и универсального решения нет. Увы.

Есть ...
И зовут его (решение) ГРАНАТА ...
В специальном корпусе, рядом с диском ...
Жмакаешь кнопочку и смотришь невинными глазами в прорезь маски ...
Ну и прикрываешь руками что сможешь ...

В этой шутке есть доля шуки ...

-- 
Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Шифрование диск а

[Maks Re]

я не помню как называется- но штука такая есть...
 вокруг или возле винта ставятся два прибора...
после включения влины на винте спекаются...
остается ли от других компонент что-то - не в курсе.

http://nero.ru/ - вот там что-то есть

2008/7/22 Dmitriy Kruglikov [EMAIL PROTECTED]:
 21 июля 2008 г. 19:22 пользователь Nikolay A. Fetisov написал:

 Т.е., у означенной задачи общего и универсального решения нет. Увы.

 Есть ...
 И зовут его (решение) ГРАНАТА ...
 В специальном корпусе, рядом с диском ...
 Жмакаешь кнопочку и смотришь невинными глазами в прорезь маски ...
 Ну и прикрываешь руками что сможешь ...

 В этой шутке есть доля шуки ...

 --
 Best regards,
  Dmitriy L. Kruglikov
  Dmitriy.Kruglikov_at_gmail_dot_com
  DKR6-RIPE
  DKR6-UANIC
  XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
 ___
 Sysadmins mailing list
 Sysadmins@lists.altlinux.org
 https://lists.altlinux.org/mailman/listinfo/sysadmins




-- 
С уважением,
 Макс.
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Шифрование диска

[Nikolay A. Fetisov]

On Tue, 22 Jul 2008 12:20:57 +0300
Dmitriy Kruglikov wrote:

 21 июля 2008 г. 19:22 пользователь Nikolay A. Fetisov написал:
 
  Т.е., у означенной задачи общего и универсального решения нет. Увы.
 
 Есть ...

... при условии работы с данными только непосредственно на этом
компьютере, при возможности разместить физическое устройство рядом с
жестким диском (в ноутбуке, например, проблематично будет), ...

Кроме того, данное решение прямо указывает на то, что данные точно
были. И где-то ещё остались на резервных копиях.

Т.е. это решение тоже не универсально...

-- 
С уважением,
Николай Фетисов
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Шифрование диска

[Nikolay A. Fetisov]

On Tue, 22 Jul 2008 12:01:16 +0400
Aleksey E. Birukov wrote:

 Nikolay A. Fetisov пишет:
 
  Т.е., при использовании чего-либо кроме FAT на основном диске при
  работе со скрытым диском есть большая вероятность порчи метаданных
  файловой системы основного диска; после чего при проверке/восстановлении
  файловой системы основного диска будут гарантированы разрушены
  соответствующие блоки с данными скрытого раздела.

 А если сначала записать данные на скрытый диск, а потом работать только 
 с основным диском данные не испортятся?
Данные - _где_? На скрытом диске - могут быть затёрты частично или
полностью.

 А если, например, скрытый диск монтируется только для чтения метаданные 
 могут перезаписаться?
При монтировании в режиме только для чтения - не могут по-определению.


Вообще, скрытые диски и надежное хранение данных - вещи несовместимые.

Данные на дисках размещаются в наборах блоков фиксированного размера.
Для учёта блоков, занятых теми или другими файлами, а также свободных
блоков, используются файловые системы. Метаданные о размещении файлов на
дисках файловые системы хранят на тех же самых дисках, в отдельных
блоках. Обеспечение целостности данных - т.е. предотвращение записи
данных одного файла в блоки, занятые другими файлами или метаданными
файловой системы - это задача файловой системы. 

Теперь, в пределах диска выделяется некоторая последовательность
блоков и называется скрытым диском. При этом файловой системе про это
ничего не говорят - иначе это не был бы _скрытый_ диск. Т.е., для
неё эта область _доступна_ для размещения файлов. Или там _уже_ есть
файлы. Или метаданные.

На скрытом диске создаётся своя файловую систему. Для неё доступно
всё пространство скрытого диска; о том, что какая-либо его часть может
быть использована, эта файловая система тоже ничего не знает. На скрытый
диск записываются какие-либо файлы. После чего он отмонтируется и
подключается основной диск.

Его файловая система проверяет свою целостность и обнаруживает мусор
вместо части метаданных. Запускается восстановление файловой системы,
проблема устраняется - с перезаписью правильных _для этой файловой
системы_ данных. 
А затем при монтировании файловой системы скрытого диска в свою очередь
обнаруживаются проблемы...


Итого, если есть скрытый диск - то на основном диске использовать можно
разве что FAT. По причине её простоты и предсказуемости в размещении
файлов. (Кстати обратное тоже справедливо: если на диске TrueCrypt
на Linux-системе используется FAT, то это зачем-то нужно...) 
И даже FAT использовать можно только с ограничениями. Например,
проведение дефрагментации плохо повлияет на скрытый диск. Так что - 
регулярное резервное копирование скрытого диска обязательно.


... И после всех этих мучений мы обнаруживаем куски файлов скрытого
диска в, например, индексе Beagle...

-- 
С уважением,
Николай Фетисов
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

[Sysadmins] Шифрование диск а

[Aleksey E. Birukov]

Есть задача зашифровать раздел с двумя паролями:
один пароль обычный -- дает доступ к разделу,
а другой уничтожает всю информацию на разделе.

Про обычное шифрование, вроде, все понятно. А вот как быть со вторым 
паролем, стирающим информацию, не ясно.


Подскажете?

___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Шифрование диска

[Nikolay A. Fetisov]

On Mon, 21 Jul 2008 19:00:10 +0400
Aleksey E. Birukov wrote:

 Есть задача зашифровать раздел с двумя паролями:
 один пароль обычный -- дает доступ к разделу,
 а другой уничтожает всю информацию на разделе.
 ...

JT ... Набравший второй пароль субъект будет смотреть, как очищается
многогигабайтный диск, пить чай и постепенно расстраиваться... /JT


1. Быстро уничтожить информацию на магнитных дисках нельзя. См. Secure
Deletion of Data from Magnetic and Solid-State Memory, Peter Gutmann:
http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

2. Уничтожить информацию на разделе - это только полдела. Куда больше
проблем будет с различными кэшами _вне_ этого раздела. См. Defeating
Encrypted and Deniable File Systems: TrueCrypt v5.1a and the Case of
the Tattling OS and Applications, A. Czeskis, D. J. St. Hilaire, K.
Koscher, S. D. Gribble, T. Kohno, and B. Schneier: 
http://www.schneier.com/paper-truecrypt-dfs.pdf

Т.е., у означенной задачи общего и универсального решения нет. Увы.

-- 
С уважением,
Николай Фетисов
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Шифрование диска

[Александр Леутин]

Aleksey E. Birukov пишет:

Есть задача зашифровать раздел с двумя паролями:
один пароль обычный -- дает доступ к разделу,
а другой уничтожает всю информацию на разделе.

Про обычное шифрование, вроде, все понятно. А вот как быть со вторым 
паролем, стирающим информацию, не ясно.


Подскажете?
Не знаю решения Вашей задачи, но знаю о существовании системы TrueCrypt 
(есть по крайней мере в Сизифе). Можно сделать раздел доступным с двух 
сторон по разным паролям. Т.е. при вводе основного пароля имеем доступ 
к нужным данным (они хранятся в начале файла/раздела), при вводе 
запасного пароля имеем доступ к фальшивым данным (они хранятся с конца 
файла/раздела). Совокупный размер файлов должен быть меньше размера 
файла/раздела-контейнера.


Например:
раздел в 1Гб
нужных данных 800Мб
фальшивых данных 100Мб
при вводе запасного пароля видим только запасные файлы (100Мб) и 900Мб 
свободного места
при попытке записи на эти 900Мб более 100Мб (1000-800-100=100) начинают 
портиться нужные данные


В /usr/share/doc/truecrypt-6.0a/TrueCrypt User Guide.pdf все отлично 
расписано.


--
Александр Леутин
Registered Linux user #295797
Жизнь -- смертельно интересная штука!
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Шифрование диска

[Aleksey E. Birukov]

Александр Леутин пишет:

Aleksey E. Birukov пишет:

Есть задача зашифровать раздел с двумя паролями:
один пароль обычный -- дает доступ к разделу,
а другой уничтожает всю информацию на разделе.

Про обычное шифрование, вроде, все понятно. А вот как быть со вторым 
паролем, стирающим информацию, не ясно.


Подскажете?
Не знаю решения Вашей задачи, но знаю о существовании системы 
TrueCrypt (есть по крайней мере в Сизифе). Можно сделать раздел 
доступным с двух сторон по разным паролям. Т.е. при вводе основного 
пароля имеем доступ к нужным данным (они хранятся в начале 
файла/раздела), при вводе запасного пароля имеем доступ к фальшивым 
данным (они хранятся с конца файла/раздела). Совокупный размер файлов 
должен быть меньше размера файла/раздела-контейнера.


Например:
раздел в 1Гб
нужных данных 800Мб
фальшивых данных 100Мб
при вводе запасного пароля видим только запасные файлы (100Мб) и 900Мб 
свободного места
при попытке записи на эти 900Мб более 100Мб (1000-800-100=100) 
начинают портиться нужные данные


В /usr/share/doc/truecrypt-6.0a/TrueCrypt User Guide.pdf все отлично 
расписано.



Спасибо! Возможно, это подойдет. Посмотрю.
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование почты

[Vyacheslav Brunev]

В сообщении от Thursday 10 July 2008 12:55:45 Serge написал(а):
 Привет!
 подскажи чем можно защищать конфиденциальные письма в процеесе передачи?
 openpgp знаю, какие средства  еще могут быть использованы?
SSL/TLS ?

-- 

С уважением, Вячеслав.
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование почты

[Andrey Rahmatullin]

On Thu, Jul 10, 2008 at 08:55:45AM +0300, Serge wrote:
 подскажи чем можно защищать конфиденциальные письма в процеесе передачи?
Передачи где?
От отправителя к ближайшему SMTP-серверу и от POP3-сервера получателя к
получателю - SSL на соотв. серверах и поддерживающие его клиенты. Между
серверами - или юзать исключительно свои с включённым SSL между ними, или
забить (ну, или end-to-end шифрование типа gpg).
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование почты

[Ivan Fedorov]

2008/7/10 Serge [EMAIL PROTECTED]:
 Привет!
 подскажи чем можно защищать конфиденциальные письма в процеесе передачи?
 openpgp знаю, какие средства  еще могут быть использованы?
ну ещё можно шифровать с помощью x.509 сертификатов. Thunderbird
например умеет. Искать по S/MIME.
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

[Sysadmins] шифрование почты

[Serge]

Привет!
подскажи чем можно защищать конфиденциальные письма в процеесе передачи?
openpgp знаю, какие средства  еще могут быть использованы?
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование

[ABATAPA]

25 мая 2006 09:33, Anton Gorlov написал:
 А что народскажет вот об этом
 http://www.shimari.com/dm-crypt-on-raid/ ?

 А то стоит у меня сейчас выбор -что юзать - truecrypt или ещё что-то..
 раньше юзал bestcrypt, но от нео  по различным причинам пршлось отказаться.
Вообще-то, это совсем разные вещи, и задачи разные.
Для мобильных носителей (и не только) рекомендую cruptsetup + LUKS + FreeOTFE 
(http://www.freeotfe.org/) - последний для монтирования в Windows 
(превосходная вещь!). Тома LUKS идентифицируются по заголовку, но они удобнее 
во многом, особенно на  записываемых дисках - в LUKS можно менять пароли (и 
добавлять/удалять) для имеющегося контейнера. А если создать (dd 
if=/dev/urandom of=file.img) контейнер и просто его зашифровать через 
cryptsetup (ранее в старых ядрах - cryptoloop).

Так что вы уж определитесь с задачей...
-- 
   С уважением,
 Александров Александр,
ООО Арком, Мурманский узел Equant
 +7 (8152) 45-10-00


-- 
ABATAPA
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование

[Anton Gorlov]

Nikolay A. Fetisov пишет:

 Поверх RAID работает. Возиться с swap не пробовал, хотя, по идее,
 проблем быть не должно. И прежде чем помещать на защищенный диск
 целиком /home, лучше предварительно оценить возможности машины,
 процессор оно грузит вполне ощутимо. 
хм.. когда у меня был bestcrypt..вернее он был до меня -то более-менее 
на 50 пользователей справлялся целерон 1,8 (знаю что изврат..но это 
тяжкое наследство.. от которого избавляюсь потихоньку). Там шара с кучей 
документов...

-- 
   np: silence ( Winamp ушел в Партизаны ;-)
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] шифрование

[Nikolay A. Fetisov]

On Thu, 25 May 2006 10:37:27 +0400
Anton Gorlov wrote:

 Nikolay A. Fetisov пишет:
  Поверх RAID работает. Возиться с swap не пробовал, хотя, по идее,
  проблем быть не должно. И прежде чем помещать на защищенный диск
  целиком /home, лучше предварительно оценить возможности машины,
  процессор оно грузит вполне ощутимо. 
 хм.. когда у меня был bestcrypt..вернее он был до меня -то более-менее 
 на 50 пользователей справлялся целерон 1,8 (знаю что изврат..но это 
 тяжкое наследство.. от которого избавляюсь потихоньку). Там шара с кучей 
 документов...

Я и говорю - _лучше предварительно оценить_. 
Здесь есть сравнение производительности для Athlon 2 GHz и Celeron 1.2
GHz: http://www.saout.de/tikiwiki/tiki-index.php?page=UserPageChonhulio

Видно, что при подключении устройств через dm-crypt скорость чтения и
записи выравниваются и определяются производительностью процессора.
Из модулей лучше использовать aes-i586.

Ну и даже Celeron 1.2 GHz обеспечивал работу со скоростью порядка
14-15 Mb/s, т.е. для файл-сервера, раздающего документы по сетке 100TX,
этого всё равно более чем достаточно; количество клиентов определяется
возможностями сети.

А вот потери производительности при, например, сборке программ на
разделе dm-crypt, будут уже весьма ощутимы.

-- 
С уважением,
Николай Фетисов
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

[Sysadmins] шифрование

[Anton Gorlov]

А что народскажет вот об этом
http://www.shimari.com/dm-crypt-on-raid/ ?

А то стоит у меня сейчас выбор -что юзать - truecrypt или ещё что-то.. 
раньше юзал bestcrypt, но от нео  по различным причинам пршлось отказаться.


-- 
   np: silence ( Winamp ушел в Партизаны ;-)
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins