Manjaro(основан на Arch). Как зашифровать всю систему целиком(все файлы, swap) без переустановки?

Перед шифрованием диска надо его затереть, поэтому, видимо, никак. Можно скопировать, затереть, зашифровать, а потом скопировать обратно — это будет считаться переустановкой?

Кстати интересно, как это osx решили. Там можно включать/выключать filevault на лету.

никак

Как зашифровать всю систему

А зачем шифровать всю систему?

мои данные(в смысле информацию)

Достаточно зашифровать /home и /var, а все tmp держать на tmpfs.

почитай про гостовское шифрование и даллас локи и секретнеты.

Хорошо, а как мне создать копии двух разделов (/ и /swap), чтобы новая скопированная система нормально функционировала? Ведь там наверняка есть файлы с названиями разделов ЖД. Весь функционал нарушиться, ИМХО. Пример: SDA 3(/) и SDA 4(swap) — оригинал. Создаю SDA 5 и SDA 6 — копии соответсмтвенно Шифрую каким-то образом SDA 5 и SDA 6. Как это подхватит grub? Даже если grub подхватит как-то, то как поведет себя система? Там же где-то в настройках SDA 3 и SDA 4?

Достаточно зашифровать /home и /var

Поможете? Я ну совсем не шарю. Какой надежный инструментарий? Придется заходить с другого пользователя и шифровать? Как тогда Я вернусь обратно первому пользователю с зашифрованными /home и /var?

почитай про гостовское шифрование и даллас локи и секретнеты.

Да Я же не писать программу хочу, а использовать готовые и относительно надежные решения.

тогда ищи куда ты перенесёшь, и шифруй, но я бы вообще таким дебилизмом не занимался, разрешённые в стране методы шифрования защиты не дают, только себе проблемы создашь, а использовать сложные типы гарантия проблем с фс и винтом.

Придется заходить с другого пользователя и шифровать?

Заходить надо рутом в single mode и шифровать, у рута домашняя директория в корне, а не в /home. Только один хрен, данные из хомяка и из var надо будет куда-то временно слить, хотя б на всякий случай. А так вообще есть вот такая хренотулинка http://www.johannes-bauer.com/linux/luksipc/ которая шифрует раздел «на месте», т.е. без переноса данных.

в чём смысл этого? в случае проблем не иметь возможность достать данные?

в случае проблем

В случае каких проблем?

разрешённые в стране методы

Я живу в относительно свободной стране. Хотя Хаксли и Оруэлл всё ближе...

в чём смысл этого?

Обыкновенная защита личных данных, личного пространства, как, например, ключи в дверях. Чтобы никто не лез в мое личное информационное пространство, как и в личные владения. Считайте это зачатками в моей голове криптоанархизма.

Перед шифрованием диска надо его затереть, поэтому, видимо, никак

не обязательно. можно шифровать поблочно на лету, используя device mapper и dm_crypt. как андроид и делает.

неудачное ядро, граб не виден, диск не найден.... данные зашифрованы тупо восстановлением загрузчика и сменой ядра уже не отделаешься. это конечно шанс поймать не велик, но я сидя на тестинге федоры за 2 года имел такое 3 раза.

посмотри исходники vold андроида. они используют device mapper + dm_crypt. создают маппер на блочный девайс, настраивают параметры шифрования, читают блок данных с незашифрованного девайса (mtdX), и пишут на шифрованный маппер (/dev/dm0).

очевидно в макоси аналогично.

А так вообще есть вот такая хренотулинка http://www.johannes-bauer.com/linux/luksipc/ которая шифрует раздел «на месте», т.е. без переноса данных.

Шифрует весь раздел? А сама берет на себя загрузку системы? Если раздел будет зашифрован, то ка его увидит grub? С инглишем не очень, но попробую разобраться.

только вот в случае проблем с ос кроме сервиса никто не поможет и длиться может под месяц....

на пруфец. https://android.googlesource.com/platform/system/vold/ /android-cts-4.4_r4/cr...

функция cryptfs_enable_inplace.

только вот в случае проблем с ос кроме сервиса никто не поможет

всмысле

длиться может под месяц

depends

Не шаришь — не лезь.

Вот хорошая статья.

http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/

В принципе, дисковая разметка у меня, например, иная, а вот начиная с пункта «Configure GRUB» — самый сок.

Кто не утруждает себя пройти по ссылке — да, шифруется весь диск, вместе с /boot. От себя бонусом добавлю, что GRUB2 реально пофиг, что внутри криптоконтейнера — RAID+LVM, например, хавается на ура и без проблем.

Скорей всего так и есть. Я сильно не разбирался. Вопрос скорее, почему это в линуксе всё ещё не штатное поведение.

у меня у знакомой под мак хрень какая то попалась, увы и ах но под мак стало как под винду уже заразы, в результате дальше загрузчика не шло, при муже программисте им пришлось вести в сервис apple и ждать больше месяца, а всё потому, что было шифрование, без него проблем бы вообще не было. Я не сидён в маке, по этой части, но учитывая, что её муж маковод с 2003 года, то он бы не отдавал просто так в сервис.

шифруется весь диск

А мне весь диск не нужно, а только раздел с Linux, Винду не трогать.

Кто не утруждает себя пройти по ссылке

Я ж писал, что с инглишем не очень, но сейчас открою переводчик и буду непонятные слова переводить, читать.
Всем благодарочка. Если еще что-о интересное знаете по теме или ссылки хорошие — кидайте, буду признателен.

всмысле, «в линуксе»? в cryptsetup1.5 пишут эта опция уже появилась.

http://asalor.blogspot.ru/2012/08/re-encryption-of-luks-device-cryptsetup.html

трогательная история

а всё потому, что было шифрование

Так сейчас самые модные вирусы-вымогатели шифруют ЖД/документы.
Если отослать в антивирусные лаборатории эту заразу(конечно, если вы знаете, откуда скачали и получили её), то есть шанс, что там помогут расшифровать.

30%, и в основном doc документы, причё если не будет для примера 5-6 документов doc формата доктор веб вообще отказывается нормально работать и шлёт бред.

Вот еще что-то накопал. Не знаю что это и как оно работает, но похоже на что-то хорошее.
https://gnupg.org/index.html

неудачное ядро, граб не виден, диск не найден

Специально для тупых, я предлагаю зашифровать только /home и /var

сидя на тестинге федоры за 2 года имел такое 3 раза

тестинге федоры

Удивительно, что не каждый день.

Вот хорошая статья.

Я напомню

Как зашифровать всю систему целиком(все файлы, swap) без переустановки?

По ссылке лапша никаким боком не предусматривающая переустановки

parted -s /dev/sda mklabel msdos
parted -s /dev/sda mkpart primary 2048s 100%
cryptsetup luksFormat /dev/sda1
cryptsetup luksOpen /dev/sda1 lvm
pvcreate /dev/mapper/lvm
vgcreate vg /dev/mapper/lvm
lvcreate -L 4G vg -n swap
lvcreate -L 15G vg -n root
lvcreate -l +100%FREE vg -n home
mkswap -L swap /dev/mapper/vg-swap
mkfs.ext4 /dev/mapper/vg-root
mkfs.ext4 /dev/mapper/vg-home
mount /dev/mapper/vg-root /mnt
mkdir /mnt/home
mount /dev/mapper/vg-home /mnt/home

Не шаришь — не лезь.

Спасибо Капитан.

Шифрует весь раздел?

Да.

А сама берет на себя загрузку системы?

Нет.

Если раздел будет зашифрован, то ка его увидит grub?

Поэтому я тебе и предлагаю не шифровать корень, а только /home. Если у тебя /home не на отдельном разделе, то ты ССЗБ.

А как в арче поставить pv или аналог, чтоб следить за ходом затирания раздела нулями? Типа:

sudo pv -tpreb /dev/zero | dd of=/dev/mapper/backup2 bs=128M

Если раздел будет зашифрован, то ка его увидит grub?

У меня так:

/dev/sda1 и /dev/sda2 — предустановленная Windows 7. /dev/sda3 — GRUB2, SystemRescueCD ISO (грузится прямо с исошника). /dev/sda4 — LUKS/LVM (swap, /, /home)

menuentry 'Ubuntu 14.04.3 LTS (Trusty Tahr)' ...bla-bla-bla... {
	insmod part_msdos
	insmod cryptodisk
	insmod luks
	insmod gcry_rijndael
	insmod gcry_rijndael
	insmod gcry_sha1
	insmod lvm
	insmod xfs
	cryptomount -u dc0fe20aafc24fbe97ef08dc3dc3e7dc
	...bla-bla-bla...
}

чтоб следить за ходом затирания раздела нулями?

sudo shred -n 0 -v -z /dev/sdX

Не-не. Я имел ввиду не шредер, не затирание, а следить за ходом процесса. Уже, конечно, давно всё затер, но на будущее пригодилась бы. Вот эта штука. Где для моего дистрибутива достать и чтоб в командной строке работала? Я виндузятник, не шарю. Можете крыть матом.
http://habrahabr.ru/post/65384/

А зачем шифровать всю систему? Достаточно зашифровать /home и /var, а все tmp держать на tmpfs.

В зависимости от изврата вешаем keylogger, форкаем ядро/*dm, ковыряем shadow т. д. И все данные с зашифрованных /home и /var как на ладони.

http://habrahabr.ru/post/65384/

Похоже на единичный случай гемороя с tar и/или gz. Я х.з. нафига это нужно.

нафига это нужно

Monitor Progress of Data Sent или не?

Что планируется мониторить? Какие задачи требуют этого?

Шифровать данные, чтобы не украли
Использовать Win10 в дуалбуте

У тебя раздвоение личности ? Одна из них параноик, а другая — любитель зондов ?
И зачем тебе swap шифровать ?

А по теме могу преложить вариант, уже описанный в первом комментарии: делаешь бекап, шифруешь, восстанавливаешь.

А мне весь диск не нужно, а только раздел с Linux, Винду не трогать.

Диск, раздел — разницы нет.

Спасибо Капитан.

Данные скопировать на временное хранилище не судьба? tar туда, tar сюда, переустановка не нужна.

Данные скопировать на временное хранилище

В условиях поставленной задачи бэкап/временное хранилище не оговаривался следовательно его и нет вовсе - остальное не более чем ваше воображение. А под «без переустановки» я понимаю шифрование «всего» и без потери данных. А это увы но невозможно. А если и возможно... То все равно надежнее поставить с нуля ведь так?

В зависимости от изврата вешаем keylogger

Для этого нужен рут. Если есть рут, не нужно ничего уже ковырять и вешать.

То все равно надежнее поставить с нуля ведь так?

Нет. Так может мыслить только вантузятник.

Для этого нужен рут.

Для этого есть LiveCD или фрэшка. ;-)

Если нужно сделать недоступными данные на винде, то для этого не обязательно ставить линуха, для этого есть VeraCrypt.

Если, по каким-то причинам, первый вариант - не вариант, то тогда FDE (full disk encryption). После загрузки с LiveCD, при помощи gparted сжимаешь виндузовый раздел, создаёшь ещё 2(mbr) или 3(gpt). Один из них пойдёт под GRUB2 (и /boot, если не пофиг на возможную подмену ядра и пр.), другой - LVM/LUKS.

Я х.з., я бы как «виндузятник» начал эту тему (FDE) с Ubuntu 14.04.3 LTS для того, чтобы вкурить как оно вообще работает. Arch - круто, конечно. Но за 10 лет красноглазия с Gentoo, я пришёл к выводу, что систему, конечно же, знать не помешает, но для работы и отдыха глаза нужно беречь, а Arch и Gentoo - ненужно.

Могу тут накидать порядок установки, если интересно.