LINUX.ORG.RU

Возможна реализация eCryptfs на второй диск?

 ,


0

2

Система на SSD, все файлы на HDD. Хомяк зашифрован. Можно как нибудь зашифровать HDD чтобы при вводе пароля пользователя расшифровывались сразу вместе и хомяк и HDD и само все монтировалось автоматически ?
Может мануал какой есть по моему вопросу. Ничего нужного не смог нагуглить.

Исправил. Меня интересует eCryptfs, а не Cryptsetup
Вроде нашел то что мне было нужно
На примере

mount -t ecryptfs /mnt/ecryptfs-demo/ /mnt/ecryptfs-demo/
Но не могу понять как автоматически расшифровать данные в папке после перезагрузки. Аналогично автоматической расшифровке хомяка.



Последнее исправление: trishhhhh (всего исправлений: 4)

Можно сделать так, хомяк расшифровывать по паролю, а HDD расшифровывать файл-ключом который хранится в хомяке. У меня примерно так реализовано, только у меня не хомяк, а полностью зашифрован диск с системой и диск с data. В общем кейс работает, я ввожу пароль призагрузке, расшифровывается система, далее crypttab файл ключом расшифровывает диск с data

intervent
()
Ответ на: комментарий от intervent

А где посмотреть как такое сделать? Интересно было бы и весь SSD зашифровать, не только хомяка. Но своих знаний не хватает на это.

trishhhhh
() автор топика

Можно как нибудь зашифровать HDD чтобы при вводе пароля пользователя расшифровывались сразу вместе и хомяк и HDD и само все монтировалось автоматически ?

Можно. Способ зависит от дистрибутива. Обычно алгоритм примерно такой:

  • Создаётся шифрованный диск при помощи cryptsetup (инструкции гуглятся, например).
  • Инфа о новом шифрованном устройстве добавляется в /etc/crypttab.
  • Пересоздаётся initramfs, чтобы туда попал свежий crypttab.
  • Для нового устройства добавляются опции в конфиг загрузчика (например grub2).

Шаги после первого зависят от конкретного дистрибутива. Могут быть не нужны или делаться как-то хитро. Но в целом это точно возможно и работает везде похожим образом.

upd. Обрати внимание, что при создании зашифрованного устройства все данные с него затираются. Если тебе надо сохранить данные, которые уже там записаны, то скопируй их куда-нибудь в другое место.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)

Так, погоди, я сразу не заметил: у тебя зашифрован только твой личный хомяк и он расшифровывает при входе юзером в систему? Если да, то это не LUKS, а другое, и делается иначе. И тут я уже не подскажу в какую сторону смотреть.

Deleted
()
Ответ на: комментарий от trishhhhh

А как указан root в параметрах ядра? Впрочем, если ты не собираешься переезжать на LUKS, то это и не важно.

Deleted
()
Ответ на: комментарий от Deleted

Так, погоди, я сразу не заметил: у тебя зашифрован только твой личный хомяк и он расшифровывает при входе юзером в систему? Если да, то это не LUKS, а другое, и делается иначе. И тут я уже не подскажу в какую сторону смотреть.

Все так. LUKS нету. Зашифрован только хомяк на SSD. Не принципиально шифровать весь SSD. Но HDD предполагаю что нужно сделать в LUKS, И останется как то сделать чтобы они вместе с хомяком расшифровывались при вводе пароля.

trishhhhh
() автор топика
Ответ на: комментарий от Deleted

А как указан root в параметрах ядра? Впрочем, если ты не собираешься переезжать на LUKS, то это и не важно.

Где это посмотреть?

trishhhhh
() автор топика
Ответ на: комментарий от trishhhhh

Но HDD предполагаю что нужно сделать в LUKS, И останется как то сделать чтобы они вместе с хомяком расшифровывались при вводе пароля.

Если на диске LUKS (шифрование на уровне блочного устройства), а в хомяке шифрование на уровне ФС, и плюс надо, чтобы это всё расшифровывалось после ввода юзерского пароля для входа в систему, то видимо только какими-то самописными скриптами это делать.

Deleted
()
Ответ на: комментарий от Deleted

Если на диске LUKS (шифрование на уровне блочного устройства), а в хомяке шифрование на уровне ФС, и плюс надо, чтобы это всё расшифровывалось после ввода юзерского пароля для входа в систему, то видимо только какими-то самописными скриптами это делать.

А если не создавать LUKS на HDD? Можно сделать такое же шифрование на уровне ФС как и в хомяке? Так даже было бы еще лучше наверное.

trishhhhh
() автор топика
Ответ на: комментарий от Deleted

cat /proc/cmdline

BOOT_IMAGE=/boot/vmlinuz-4.15.0-47-generic root=/dev/sda1 ro elevator=cfq rootfstype=ext4 libahci.ignore_sss=1 raid=noautodetect selinux=0

trishhhhh
() автор топика
Ответ на: комментарий от Deleted

В смысле скриптами? LUKS диск добавить в /etc/crypttab расшифровывая его файл-ключом, получившееся открытое блочное устройство в /dev/mapper/openhdd монтируем куда надо в /etc/fstab

intervent
()
Ответ на: комментарий от trishhhhh

А если не создавать LUKS на HDD? Можно сделать такое же шифрование на уровне ФС как и в хомяке? Так даже было бы еще лучше наверное.

А вот это уже не ко мне, я такое не пробовал использовать. У меня обычно все диски целиком (кроме /boot) в LUKS, который расшифровывается при запуске системы отдельным паролем.

Тем не менее, думаю, что как-то можно сделать и это.

Deleted
()
Ответ на: комментарий от intervent

В смысле скриптами? LUKS диск добавить в /etc/crypttab расшифровывая его файл-ключом, получившееся открытое блочное устройство в /dev/mapper/openhdd монтируем куда надо в /etc/fstab

В том смысле, что нужно после логина либо руками делать luksOpen, а затем mount куда надо, либо автоматизировать это скриптами (через pam?).

Или сейчас это как-то совсем автоматически и из коробки делается?

Deleted
()
Ответ на: комментарий от Deleted

Тем не менее, думаю, что как-то можно сделать и это.

Вот кстати да. Такой вариант бы мне подошел. Cryptsetup шифрует на лету только хомяк. Но можно же наверное сделать, чтобы шифровал на лету файлы и в другой директории. На другом диске в моем случае.

trishhhhh
() автор топика
Ответ на: комментарий от trishhhhh

Cryptsetup шифрует на лету только хомяк.

Ты уверен, что хомяк сейчас у тебя зашифрован именно в LUKS/cryptsetup?

Deleted
()
Ответ на: комментарий от intervent

Так crypttab все это сам делает. Он откроет криптованный раздел. У меня так реализовано.

Во-первых: показывай тогда как именно у тебя это настроено.

Во-вторых: какая именно сущность в этом случае отвечает за монтирование именно после логина юзера в систему?

Я просто про такую фичу «из коробки» никогда не слышал.

Deleted
()
Ответ на: комментарий от Deleted

Ты уверен, что хомяк сейчас у тебя зашифрован именно в LUKS/cryptsetup?

LUKS точно нет. Хомяк шифровал на уже установленной системе, путем создания нового юзера.

trishhhhh
() автор топика
Ответ на: комментарий от trishhhhh

LUKS точно нет. Хомяк шифровал на уже установленной системе, путем создания нового юзера.

cryptsetup - это утилита для работы с LUKS, то есть с линуксовым шифрованием на уровне блочных устройств.

У тебя скорее всего шифруется не всё блочное устройство, а кусок файловой системы. Другими тулзами, соответственно.

Вообще, покажи вывод mount из под юзера после входа в систему.

Deleted
()
Ответ на: комментарий от Deleted

У тебя скорее всего шифруется не всё блочное устройство, а кусок файловой системы. Другими тулзами, соответственно.

Точно. eCryptfs у меня. По этой инструкции делал https://losst.ru/shifrovanie-domashnej-papki-v-ubuntu

Вообще, покажи вывод mount из под юзера после входа в систему.

Как это делается?

trishhhhh
() автор топика
Ответ на: комментарий от intervent

делал по этому ману

Но там нет ничего про подключение шифрованного блочного устройства при входе в систему.

При загрузке системы - да, это так и работает из коробки. Но не при входе пользователя в систему.

Deleted
()
Ответ на: комментарий от intervent

Так а нафига именно при входе открывать раздел?

ТС так хочет. У него спрашивай.

Это может иметь смысл на многопользовательских системах.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

Вроде нашел то что мне было нужно.
На примере

mount -t ecryptfs /mnt/ecryptfs-demo/ /mnt/ecryptfs-demo/
Но не могу понять как расшифровать данные в папке после перезагрузки.

trishhhhh
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.