Аварийный пароль «NUKE» в Linux Mint

0

1

Всем привет. Необходимо реализовать NUKE на «Linux Mint 18.3 Sylvia». Воспользовался данным гайдом: https://askubuntu.com/questions/821881/luks-and-nuke-key-installtion-on-ubunt... , но что-то пошло не так:

# sudo apt-get update

# sudo apt-get install libgcrypt11-dev libdevmapper-dev libpopt-dev uuid-dev libtool automake autopoint debhelper xsltproc docbook-xsl dpkg-dev

# sudo apt-get source cryptsetup

# git clone https://github.com/offensive-security/cryptsetup-nuke-keys.git

# cd cryptsetup-1.6.6

# patch -p1 < ../cryptsetup-nuke-keys/cryptsetup_1.6.1+nuke_keys.diff

# dpkg-buildpackage -b -uc   |Тут  появляется ошибка:

   " dpkg-checkbuilddeps: ошибка: Unmet build dependencies: build-essential:native
dpkg-buildpackage: предупреждение: неудовлетворительные зависимости/конфликты при сборке; прерываемся
dpkg-buildpackage: предупреждение: (Используйте параметр -d, чтобы продолжить сборку.) "

# dpkg-buildpackage -b -uc -d   |Делаю как было предложено, и снова ошибка:

   " rm: невозможно удалить 'autom4te.cache': Это каталог
debian/rules:196: ошибка выполнения рецепта для цели «clean»
make: *** [clean] Ошибка 1
dpkg-buildpackage: ошибка: debian/rules clean возвратил код ошибки 2 "




Думается мне что дело в несовместимости патча (на гитхаб лежит cryptsetup 2:1.6.1 , а у меня установлен cryptsetup 2:1.6.6). Где может быть ошибка?

Ссылка

←	Unbound как завести локальный резолвер

Как на python вытащить метаданные потокового видео с помощью ffmpeg и subprocess

→

sudo apt-get install build-essential

Harliff ★★★★★
(09.03.19 01:38:14 MSK)

Ответ на: комментарий от Harliff 09.03.19 01:38:14 MSK

Благодарю, помогло в какой-то мере, но всё же возникла очередная ошибка:

setup.c: In function ‘crypt_keyslot_add_by_passphrase’:
setup.c:1650:6: warning: unused variable ‘nuke’ [-Wunused-variable]
  int nuke = 0;
      ^
setup.c: In function ‘crypt_keyslot_add_by_volume_key’:
setup.c:1892:3: error: ‘nuke’ undeclared (first use in this function)
   nuke = 1;
   ^
setup.c:1892:3: note: each undeclared identifier is reported only once for each function it appears in
Makefile:615: ошибка выполнения рецепта для цели «libcryptsetup_la-setup.lo»
make[4]: *** [libcryptsetup_la-setup.lo] Ошибка 1
make[4]: выход из каталога «/home/one-pc/cryptsetup-1.6.6/lib»
Makefile:760: ошибка выполнения рецепта для цели «all-recursive»
make[3]: *** [all-recursive] Ошибка 1
make[3]: выход из каталога «/home/one-pc/cryptsetup-1.6.6/lib»
Makefile:463: ошибка выполнения рецепта для цели «all-recursive»
make[2]: *** [all-recursive] Ошибка 1
make[2]: выход из каталога «/home/one-pc/cryptsetup-1.6.6»
Makefile:395: ошибка выполнения рецепта для цели «all»
make[1]: *** [all] Ошибка 2
make[1]: выход из каталога «/home/one-pc/cryptsetup-1.6.6»
debian/rules:72: ошибка выполнения рецепта для цели «build-arch»
make: *** [build-arch] Ошибка 2
dpkg-buildpackage: ошибка: debian/rules build возвратил код ошибки 2

Malinovyi_Zvon
(09.03.19 12:42:31 MSK) автор топика

Ссылка

А толку то с него ?
Перед работой с диском, соответствующие люди снимут дамп.
Потом введут пароль и увидят, что содержимое диска изменилось. Далее диск откатят из бэкапа и попросят у тебя более правильный пароль.
К сожалению, luks не имеет куда более полезной фичи - по альтернативному паролю выдавать специально заготовленное содержимое.

Deleted
(09.03.19 18:14:46 MSK)

Ответ на: комментарий от Deleted 09.03.19 18:14:46 MSK

Действительно, вы правы. Я как-то не задумывался...

Malinovyi_Zvon
(09.03.19 19:53:23 MSK) автор топика

Ссылка

Ответ на: комментарий от Deleted 09.03.19 18:14:46 MSK

Лет 5 назад видел мнение, что это можно как-то костыльно реализовать путём использования разных хедеров, то есть не использовать luks, а голый dm-crypt.

Сейчас нашёл вот такую статью: https://blog.linuxbrujo.net/posts/plausible-deniability-with-luks/ DISCLAIMER: я не пробовал способ, описанный в статье.

tl;dr: комбинация ключей --header и --align-payload позволяет создавать «раздел в разделе» и хранить header'ы отдельно. Как защитить данные от перезаписи — другой вопрос, но мне кажется, что вполне решаемый.

Ещё мне кажется, что можно обойтись без header'ов вообще, используя голый dm-crypt и смещение, но готовых рецептов у меня нет.

P.S.

по альтернативному паролю выдавать специально заготовленное содержимое

Не является абсолютным спасением, т.к. может быть заранее известно, что у тебя на диске есть что-то более интересное чем ~~порно с конями~~содержимое «официального раздела».

anonymous
(09.03.19 20:09:46 MSK)