LINUX.ORG.RU
решено ФорумAdmin

arch установка с lvm, luks два диска

 , ,


0

1

Как поставить на одном диске я понял быстро. Проблема в том, что у меня два диска.

Пробовал зашифровать оба с одним паролем, и указать uuid'ы в /etc/crypttab. Получается, только пароль два раза вводить.

Потом почитал вики https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#LUK... раздел «LUKS on LVM», дошел до раздела шифрования home, там создается ключ и прописывается в /etc/crypttab. И тут я смутился, как-то это не правильно. Не важно как, ключ могут «стырить» и грошь цена тогда всему шифрованию.

Почему-то в федоре, создается два luks-<uuid>, а lvm внутри, в crypttab оба luks-<uuid> с none

Второй день ищу ответ

Настройка 'BCM4313 802.11bgn Wireless Network Adapter' OC FreeBSD 11
Группа в LDAP с объектным классом groupofnames и авторизация пользователей из этой группы

Я не вижу особых проблем с расшифровкой по цепочке.
Если имеется root-доступ к работающей машине и есть возможность прочитать ключ, то полнодисковое шифрование уже не создаёт никаких препятствий.

aidaho ★★★★★
()

И тут я смутился, как-то это не правильно. Не важно как, ключ могут «стырить» и грошь цена тогда всему шифрованию.

Да, тут идея в том, что ключ от /home хранится на /, который сам по себе зашифрован.

intelfx ★★★★★
()
Ответ на: комментарий от intelfx

это-то понятно, просто куча софта крутится не иначе как по рутом, и от уязвимостей никто не застрахован.

barberry ★★
() автор топика

Если я не ошибаюсь в федоре все диски шифруются одним паролем при установке, потом при вводе этого одного пароля открываются все luks'ы. Там наверное свой загрузчик.

barberry ★★
() автор топика
Ответ на: комментарий от barberry

Если атакующий получит на твоей машине рута, он с тем же успехом сможет вытащить из памяти мастер-ключ. Шифрованию тут в любом случае хана.

intelfx ★★★★★
()
Ответ на: комментарий от barberry

это-то понятно, просто куча софта крутится не иначе как по рутом, и от уязвимостей никто не застрахован.

Шифрование при уже открытом разделе, от «уязвимостей» работающих от рута никак не спасет. Без разницы ввели вы пароль руками или нет. Оно нужно только для случаев, утащили/пролюбили системник/ноут/харды/etc.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Оно нужно только для случаев, утащили/пролюбили системник/ноут/харды/etc.

По этой причине, как мне кажется, полнодисковое и per-directory шифрование — это почти не конкурирующие и не взаимоисключающие друг друга вещи.

Если нужно не доверять отдельным компонентам системы, то тут прямая дорога в клиенты encfs или шифрования, которое подвезли в ext4.

aidaho ★★★★★
()
Ответ на: комментарий от aidaho

Если нужно не доверять отдельным компонентам системы...

Пока «рут» остается «рутом», пофиг, не спасет на случай если уже смонтировано.

anc ★★★★★
()
Ответ на: комментарий от anc

Пока «рут» остается «рутом», пофиг, не спасет на случай если уже смонтировано.

Это не так. В такой конфигурации ключи могут никогда не передаваться на сервер.

aidaho ★★★★★
()
Ответ на: комментарий от anc

Это если смонтировано на скомпрометированной машине.
А если удалённо, то всё что видит владелец хранилища, это зашифрованные потоки.

И даже в первом случае пока данные холодные, нужно ждать владельца с ключом, а он может что-то заподозрить и не прийти.

aidaho ★★★★★
()
Ответ на: комментарий от aidaho

Это если смонтировано на скомпрометированной машине.

Я только об этом.

И даже в первом случае пока данные холодные, нужно ждать владельца с ключом, а он может что-то заподозрить и не прийти.

Может да, а может и нет. На ромашке гадать нет смысла, если система на которой монтируеться уже стала уязвима.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Настройка 'BCM4313 802.11bgn Wireless Network Adapter' OC FreeBSD 11
Admin
Группа в LDAP с объектным классом groupofnames и авторизация пользователей из этой группы