маунтить как /home на разных компах

в USB-флэшки чтоль загружать операционку?

Нет, только хомяк, который будет монтироваться при буте в разных осях. На хомяке рабочая инфа, надо шифровать.

а если например описать туже самую ситуацию как в этой теме — но НЕ затрагивать криптографию...

то есть — например если вот этот вопрос рассмотреть:

Нет, только хомяк, который будет монтироваться при буте в разных осях. На хомяке рабочая инфа, надо *НЕ* шифровать.

то как это будется делать?

(собственно я там подозреваю что вся разница между шифрованием и не шифрованием — находится в файле /etc/crypttab)

зашифровать

man encfs

маунтить как /home на разных компах, желательно при буте

man udev

хотя мне хватает encfs, а шифроданные держу в отдельном каталоге в хомяке

то как это будется делать?

Втыкаешь флешку в комп, жмешь на павер. Оно бутится. /dev/sdb1 прописан в fstab как хомяк.

https://wiki.archlinux.org/index.php/disk_encryption

/dev/sdb1 прописан в fstab как хомяк.

но ведь на разных компьютерах /dev/sdb1 — это разные устройства: кардридер или CDROM там какой-нибудь (по чистому совпадению — могут быть одинаковыми :))

ладно, будем считать что ты имел ввиду что-то типа:

UUID=6fe3bfa0-d1c7-442f-887d-18fe03674b04

ну тыг вот этот UUID — его можно использовать и во время шифрования — тоже..

внутри /etc/crypttab — тоже можно (нужно) написать UUID .. но номер UUID уже будет другой

А зачем монтировать именно как /home?
Лучше сделать что-то вроде /home/user/data и туда монтировать.

Шифропанк в треде

0. Затираешь хард случайными данными

Так как /dev/urandom слишком медленный (порядка 10-15 Мб/с):

dd if=/dev/urandom of=/dev/sdX bs=4M

...то можешь заюзать следующий хак (по сути, очень быстрое шифрование AES с использованием рандомного ключа):

openssl enc -aes-256-ctr -pass pass:"$(dd if=/dev/urandom bs=128 count=1 2>/dev/null | base64)" -nosalt < /dev/zero > /dev/sdX

1. dm-crypt/LUKS

1а. Опционально. Можешь сделать шифрование с отдельным header (который надо таскать на флешке или инжектнуть в initramfs). Тогда на твоём харде не будет следов использования шифрования (deniable ecnryption). Если потеряешь header - информация на винте превратиться в невосстанавливаемый мусор (на данном этапе развития криптографии).

2. Создаешь запись в /etc/crypttab. Если не можешь привязаться к UUID (при шифровании винчестера целиком с отдельным header), то юзай /dev/disk/by-id/

3. Файл crypttab нужно засунуть в initramfs. Я предпочитаю создавать initramfs с помощью dracut.

3a. Если юзается отдельный header на отдельной флешке, то в initramfs нужно предусмотреть монтирование флешки до монтирования зашифрованного диска.

Эм... CDrom как /dev/sdb никогда не определяется и в общем-то ничего другого в компах не торчит, так что зпмлрачиваться с uuid смысла нет.

1а.

А вот это уже интереснее. Спасибо.

хард

маунтить

на компах

при буте

Сейчас ревнители чистоты языка тебя сурово покарают.

Файл crypttab нужно засунуть в initramfs. Я предпочитаю создавать initramfs с помощью dracut.

так как человек шифрует только /home/ — то на ранеей стедии загрузки (initramfs) — не думаю что есть какой-то смысл загрузочному сценарию хоть что-то знать про шифрование... :)

..а вот уже потом — когда уже управление берёт на себя systemd (корневой каталог замонтирован и за`chroot`ен) — вот тогда уже systemd просматривает файл /etc/crypttab и предлагает ввести пароль :)

мне кажется так

Who cares?