LINUX.ORG.RU

хочу странную ФС

 


0

1

Дорогой all,

а нет ли в природе чего-нить такого: есть файл с образом системы, сжатый, шифрованный. Монтируешь его, при записи запись ведется в файл рядом. При размонтировании изменения сливаются с основным образом и опять сжимаются? Для пользователя и софта все при этом прозрачно.

Затраты дискового пространства не являются для меня существенным фактором.

Ну или без сжатия, но с динамическим размером а-ля vmdk/vdi/qcow (но не в виртуалке), и опциональной оптимизацией.

★★★★★

При размонтировании изменения сливаются с основным образом и опять сжимаются

Кошмар какой неописуемый. Как то знаете ли не клеится со смыслом команды umount.

splinter ★★★★★
()

Может LVM snapshot? Или аналогичная функциональность в btrfs и ZFS. А снапшот делать при каждом монтировании.

Xenius ★★★★★
()

Пока что склоняюсь к LVM на loop. С шифрованием, по ходу, оптимизации расхода места не будет, да и хрен с ним, меня в данный момент интересует монтирование при логине и размонтирование при разлогине последней сессии, а также выполнение команд после монтирования — причем все это не от рута.

shimon ★★★★★
() автор топика

FS Creation Kit тебе в руки, правда он староват немного

Meyer ★★★★★
()

а нет ли в природе чего-нить такого: есть файл с образом системы, сжатый, шифрованный.

Задача то какая? К чему все эти танцы?

MikeDM ★★★★★
()

что-то похожее сделано в aufs.

Затраты дискового пространства не являются для меня существенным фактором.

а память? Логично расшифровывать в память, и там держать ФС в открытом виде.

emulek
()
Ответ на: комментарий от MikeDM

Совершенно идиотский договор с работодятелом. Согласно нему, данные, с которыми я по работе соприкасаюсь, должны быть зашифрованы (never mind, что почта не шифруется, тк про pgp/gpg не слышали).

shimon ★★★★★
() автор топика
Ответ на: комментарий от PolarFox

Слушай, меня напрягает, что в мышевозной макоси я это все могу сделать, не отрывая руки от мыши, а в линаксе... Ну шо поделать, LUKS без рута работать не хочет. Еще куча телодвижений, а скрипт такой написать, а там ограничение такое, сякое, гибкость, тьфу ты прости господи.

shimon ★★★★★
() автор топика
Ответ на: комментарий от shimon

Или тебе выдали железку на которой у тебя нет ни рутовых прав, ни настроенного шифрования? Российский ТК, например, говорит, что так делать нельзя.

PolarFox ★★★★★
()
Ответ на: комментарий от PolarFox

Убунта при установке спрашивает, шифровать ли home. Значит всё возможно.

Ага: захотел зашифровать — переустанавливай. Это очень по-убунтовски, показательно.

Просто в линуксе нет механизма, который может позволить losetup/cryptsetup сделать от обычного пользователя, с раздачей прав только этому пользователю на результат. И это напрягает.

shimon ★★★★★
() автор топика
Ответ на: комментарий от PolarFox

Или тебе выдали железку на которой у тебя нет ни рутовых прав, ни настроенного шифрования? Российский ТК, например, говорит, что так делать нельзя.

Я не хочу работать под рутом для задач, которые целиком и полностью вписываются в песочницу одного пользователя.

shimon ★★★★★
() автор топика
Ответ на: комментарий от shimon

Совершенно идиотский договор с работодятелом.

Страсти то какие. Можно написать модуль для линукс ведра которое будет создавать то что тебе надо. ведь это должно быть на уровне ядра. иначе будет жопа с IO

MikeDM ★★★★★
()
Ответ на: комментарий от MikeDM

А допустим, демон, который по пинкам по, скажем, dbus делает для тебя losetup/cryptsetup, дает права на получившийся девайс, и все таке? Надо Леннарту сказать, что ли. Или udisks пропатчить.

Меня смутило то, что в огороженной макоси я вник в процесс за полтора часа, из этого минут 35 ушло на собсна создание криптованного образа на 60 гиг. При логине образ монтируется, пароль на него хранится в Keychain (который тоже шифрован, но паролем для логина), так что я не ввожу пароль по сто раз. При монтировании запускается от моего пользователя апач для того приложения, которое я разрабатываю (это чтоб не трахаться с suexec или itk), и мускуль для его базы данных (ну, база тоже должна быть шифрованная) — все с настройками, лежащими в том же образе.

Заметь, мне там на всей цепочке права рута не нужны.

Но там, понимаешь, просто образы и шифрованные образы влегкую монтируются от пользователя, скажу больше — можно систему с dmg стартовать как ни в чем ни бывало. И это все в GUI, без правки конфигов.

А в свободном и гибком линуксе я разбирался полдня, да и плюнул, потому что оно как короткое одеяло — то рута подавай там, где можно бы и обойтись, то простыню из команд запоминай. Я не против простыни команд, если бы они еще и работали стабильно.

shimon ★★★★★
() автор топика
Ответ на: комментарий от MikeDM

А зачем вообще, на любом этапе, делать setuid 0?

shimon ★★★★★
() автор топика
Ответ на: комментарий от arson

FUSE !?

«Userspace filesystem? The problem is right there. Always has been. People who think that userspace filesystems are realistic for anything but toys are just misguided.» — Linus Torvalds

shimon ★★★★★
() автор топика
Ответ на: комментарий от shimon

Совершенно идиотский договор с работодятелом. Согласно нему, данные, с которыми я по работе соприкасаюсь, должны быть зашифрованы (never mind, что почта не шифруется, тк про pgp/gpg не слышали).

TrueCrypt

EncFS

Ох... Тысячи их. Возьми что угодно, тебе всё равно для галочки.

emulek
()
Ответ на: комментарий от shimon

Слушай, меня напрягает, что в мышевозной макоси я это все могу сделать

там тоже для галочки. А в Linux для дела. Ну напрягись разок, в слаке всё искороппки проставлено, только включай. В других ОС так вообще даже в консоль не нужно.

emulek
()
Ответ на: комментарий от shimon

Просто в линуксе нет механизма, который может позволить losetup/cryptsetup сделать от обычного пользователя, с раздачей прав только этому пользователю на результат. И это напрягает.

такого механизма быть не может. Только через костыли типа sudo. А зачем они в Linux?

emulek
()
Ответ на: комментарий от shimon

Я не хочу работать под рутом для задач, которые целиком и полностью вписываются в песочницу одного пользователя.

увы. Когда ты шифруешь, ты шифруешь от ВСЕХ. В т.ч. и от рута. Но это невозможно, если ты не root.

Т.е. опасность в том, что твой начальник в твоё отсутствие может всё расшифровать, когда станет рутом. И какой в этом смысл?

PS: и тем не менее, _шифровать_ можно, но только в один конец. Нельзя открыть зашифрованное на этой системе(где ты не рут).

emulek
()
Ответ на: комментарий от shimon

А в свободном и гибком линуксе я разбирался полдня, да и плюнул, потому что оно как короткое одеяло — то рута подавай там, где можно бы и обойтись

нельзя. См. выше.

то простыню из команд запоминай. Я не против простыни команд, если бы они еще и работали стабильно.

ты просто не осилил понять.

emulek
()
Ответ на: комментарий от shimon

«Userspace filesystem? The problem is right there. Always has been. People who think that userspace filesystems are realistic for anything but toys are just misguided.» — Linus Torvalds

У тебя проблемы с английским? Или ты доказываешь, что Линус — мудак?

Нет? А почему тогда ты не понимаешь необходимость set UID 0 для новой ФС?

emulek
()
Ответ на: комментарий от shimon

«Userspace filesystem? The problem is right there. Always has been. People who think that userspace filesystems are realistic for anything but toys are just misguided.» — Linus Torvalds

Ну так дал бы ссылки откуда ты это взял:
http://www.phoronix.com/scan.php?page=news_item&px=OTYwMA
http://cloudfs.org/2011/06/user-space-filesystems/

Я не хочу работать под рутом для задач, которые целиком и полностью вписываются в песочницу одного пользователя

FUSE - модуль ядра позволяющий пользователям без привилегий создавать их собственные файловые системы.
Какого тебе еще надо!?

arson ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.