[шифрованый HDD] Хочу конспирации B-)

http://www.truecrypt.org/docs/

Этот большой забивается толстым шифрованным файлом на все свободное место

Эээ... Он как бы форматируется cryptsetup/LUKS. А там уже хоть LVM, хоть любая таблица разделов.

а в grub прописывается чтобы вся эта котовасия загружалась

Волшебство делается initrd, загрузчик работает как всегда.

Еще хочется, чтобы запускалась система с помощью флешки, на которой лежат ключи.

Придётся пилить свои скрипты для initrd.

>Эээ... Он как бы форматируется cryptsetup/LUKS. А там уже хоть LVM, хоть любая таблица разделов.

Я то думал.

Придётся пилить свои скрипты для initrd.

А уже запиленного такого ничего нету? Единственное читал когда-то как гентушники шифровали весь хард, а весь /boot вообще выводили на отдельную флешку.

К стати, а как насчет безопасности инфы на шифрованном харде в плане глюков? Это ж ведь битый сектор появится и капец инфе

Raid1 спасает от бэдов

А уже запиленного такого ничего нету?

Ищи на хабре статью «Мечта параноика или Еще раз о шифровании» (у меня сохранена в скрапбуке, искать ссылку лень).

Единственное читал когда-то как гентушники шифровали весь хард, а весь /boot вообще выводили на отдельную флешку.

Можно и так, но LUKS своё присутствие всё равно выдаст сигнатурой. В общем, серьёзного профита нет.

Совет: сделай обычную парольную защиту и не парься.

В смысле обычный luks безо всяких внешних ключей.

Это ж ведь битый сектор появится и капец инфе

Вряд ли совсем капец... Но у меня два уровня резервного копирования, так что не волнует совершенно.

LUKS не мешает использовать до семи фраз/внешних ключей на том (=

>Вряд ли совсем капец

Ну по крайней мере всяким pcstudio уже не восстановить ) Надо тоже себе хард под резервное выделить

Делай наоборот - сначала размечаешь разделы/диски в lvm, потом их шифруешь. Вероятность потери будет меньше.

Вероятность потери будет меньше.

Геморроя с ключами/фразами — больше. Make your choice (=

можно использовать один ключ/фразу на всё :)

Я не совсем понимаю, если сдох один сектор - это нормальная практика, ну не станет что-то грузиться. Или попросту сдохнет левая служебная информация ОС, придумает новую.
Или нет? Что ещё потеряется на зашифрованной системе в отличие от обычной, тем более если есть бэкап хэдера или чего-там-ещё?

Честно говоря, меня сей вопрос тоже интересует. По идее, если повреждение в области данных, то оно не должно отличаться от обычного повреждения... Можно попробовать это выяснить, создав LUKS-том в файле. Мне пока лень, возможно, потом займусь.

А как вариант. Можно попытаться где-нить по середине «выкусить» образ от виртуалбокса.

Прям теперь не знаю что и лучше )

Если поверх lvm - то таки будет бэкапить проще

http://wiki.archlinux.org/index.php/System_Encryption_with_LUKS_for_dm-crypt

Ставь любой из современных дистров, там эта петрушка уже встроена в инсталлятор. В бубунте, центосе и федоре есть точно.

Если хочется чтобы люкс не выдавал сигнатуру, то можно шифровать без люкса, указывая каждый раз в «cryptsetup Open» тип хэша и шифрования, никаких сигнатур на винт не записывается. Но и возможность юзать стопицот ключей ессесно отпадает.

А зачем весь хард шифровать? Почему нельзя в файловый контейнер truecrypt положить секретные данные?

В как же /etc/shadow? И еще можно в /etc/init.d/ положить скрипт, который копипастит подозрительную инфу с подозрительных разделов.

> В как же /etc/shadow

А это-то зачем шифровать?

И еще можно в /etc/init.d/ положить скрипт, который копипастит подозрительную инфу с подозрительных разделов.

Чего-чего?

Разве нельзя загрузиться с LiveCD и оставить на выполнение какой-нибудь троян(хотя бы sshd), при этом поменяв в /etc/shadow хэш пароля рута?

Чего-чего?

man «Троянский червь» (=

Когда доступно только ведро и initrd, взломщику будет гораздо сложнее сделать своё дело.

>man «Троянский червь» (=

Шифрование не спасет от трояна.

Шифрование не спасет от трояна.

Читать умеешь? Когда есть только открытый /boot, протащить локально трояна будет очень геморройной задачей.