LINUX.ORG.RU

Debian Buster - есть ли штатное шифрование домашних каталогов и авторизация?

 , , ,


0

1

Хаюшки Олл.

Установил Debain Buster, пошел в поиск но не нашел инфы по штатному шифрованию домашних каталогов.

Может кто знает готовое решение идеологически верное для Debian?
Тупая установка encfs сразу оповещает о уязвимости...
Убунтушный eCryptfs вообще недоступен...
Должно же быть штатное решение по шифрованию домашних каталогов и свопа...

Делаю уберсистему... на USB винте. Хочется грузить Buster x32 на любой машинке и попадать в шифрованный хомяк - чтобы утрата этого диска не разрушила конфиденциальность и при этом с него можно было бы грузиться на любом подходящем компе.

Вот как то так... У кого какие мысли?

★★★

Последнее исправление: n0mad (всего исправлений: 1)

LUKS позволяет шифровать домашку. Предлагается из коробки при установке через netinstall.

anonymous
()
Ответ на: комментарий от anonymous

LUKS позволяет шифровать домашку. Предлагается из коробки при установке через netinstall.

Хм... Ставил через netinstall. Через advanced->expert install
Не увидел предложений шифрования...
Насколько я помню LUKS - он шифровал на уровне блочного устройства...
Мне нужно на уровне файлов. Но спасибо за инфу, на досуге погуглю...

P.S. Первое ообщение было с Toshiba L655, перенёс USB HDD на нетбук 3Q QOO, загрузился, пишу...

n0mad ★★★
() автор топика

ext4 (fscrypt) + libpam-fscrypt

anonymous
()
Ответ на: комментарий от n0mad

Хм... Ставил через netinstall.
Не увидел предложений шифрования...

Там в разделе разметки диска можно RAID добавить или шифрованный раздел. Это не совсем отдельное, а немножко совмещённое.

turtle_bazon ★★★★★
()

ecryptfs вынесли из дебиана из-за секур проблем, у encfs их меньше, но там свои проблемы. Единственно, что придётся мириться с тем, чтобы зашифровать блочно через luks и подключать как home dir. Ну или поставь не дебиан.

turtle_bazon ★★★★★
()
Ответ на: комментарий от n0mad

Не увидел предложений шифрования...

При разметке разделов делается.

anonymous
()
Ответ на: комментарий от n0mad

Мне нужно на уровне файлов. Но спасибо за инфу, на досуге погуглю...

Конечно suum cuique как еще древние говорили, но все же, чем на уровне файлов лучше блочного? Тем более, что ты так и так весь хомяк собрался закриптовать. Так выдели под него отдельный раздел и закрывай его.

Кстати, где-то я недавно видел что-то про какой-то баг в дебиане (или не только) в случае шифрования целиком своего раздела и со свопом. Непомню что там было, но вроде какие-то приколы с инициализацией из-за того, что своп затирал содержимое.

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 1)
Ответ на: комментарий от praseodim

Конечно suum cuique как еще древние говорили, но все же, чем на уровне файлов лучше блочного? Тем более, что ты так и так весь хомяк собрался закриптовать. Так выдели под него отдельный раздел и закрывай его.

Всем спасибо за советы. Про блочное точно было, просто забыл.
Там же можно установить систему в зашифрованный LVM том, но у меня это внешний HDD для винды в том числе и под Linux выделено всего 40G первого первичного раздела.
Идея шифрования на уровне файлов мне нравится тем что не надо заботиться о выборе размера, и хочу в перспективе применить её на расширенном NTFS разделе. Опять же не надо будет вырезать отдельное место для линукса.
Задача этого винта - перенос данных, а система как починочная на всякий случай и безопасность нужна по большому счёту лишь для кэша браузеров и паролей хранящихся в них.
В общем вопрос ещё открыт. Нужен хауту для шифрования хомяков в Debian Buster на уровне файлов.

n0mad ★★★
() автор топика
Ответ на: комментарий от n0mad

Мне нравится как этот Buster установленный на L655 работает на 3Q QOO.
На нем же, на штатном винте живёт Debian Stretch и теряет курсор после закрытия панели. Приходится прибегать Ctrl-Alt-F1,Ctrl-Alt-F7.
Придётся и штатную систему переставлять. Как раз на тот USB данные и вынесу...

n0mad ★★★
() автор топика
Ответ на: комментарий от n0mad

Вот в ubuntu всё достаточно прозрачнно...
$sudo ecryptfs-migrate-home
$sudo ecryptfs-setup-swap
...

n0mad ★★★
() автор топика
Ответ на: комментарий от n0mad

Не увидел предложений шифрования...

Это всё происки гэбни. Они спрятали, чтобы получить доступ к твоим данным.

te111011010
()
Последнее исправление: te111011010 (всего исправлений: 1)
Ответ на: комментарий от anonymous

Ну там баг, в целом, типа, по восприятию. Ну и обновился ты, а ecryptfs у тебя был домашний каталог зашифрован. Что делать? Даунгрейдиться опять?

turtle_bazon ★★★★★
()
Ответ на: комментарий от turtle_bazon

Ну там баг, в целом, типа, по восприятию. Ну и обновился ты, а ecryptfs у тебя был домашний каталог зашифрован. Что делать? Даунгрейдиться опять?

Это какой то крандец... (простите что выпал)
Серьёзный дистр а нет такой нужной вещи как шифровка хомяка...
Я тупо не хочу чтобы мои браузерные кэши ушли... скажем при краже ноутбука... Да есть может какие то уязвимости - но для их эксплуатации надо комплекс мер. Меня интересует сугубо сохранность в случае кражи... Его и вскрывать с пристрастием никто не будет...
На уровне дистра это должно быть «как два пальца обоссать», а тут такая поза....

n0mad ★★★
() автор топика
Ответ на: комментарий от n0mad

Серьёзный дистр а нет такой нужной вещи как шифровка хомяка

Ты комментарии читаешь через один, или по какому-то другому принципу?

anonymous
()
Ответ на: комментарий от n0mad

Бомбануло то как! Меня сеть ударной волной через экран телефона не сдуло.

Причём тут дистрибутив? На сегодняшний день нет хорошего инструмента для шифрования файлов, а те что были - дырявые. Остаётся только шифровать блочное устройство. Luks доступен почти во всех установщиках. В Debian установка с использованием luks есть в установщике из коробки.

anonymous
()
Ответ на: комментарий от n0mad

Шифровать весь диск много проще, файловое шифрование сделать сложнее, чем luks или truecrypt. Поддерживать васяноподелки с «авось сойдёт»... Это не в традициях debian, а поза не в дистре, а в секурити. Шифрование никто не делает «от сестрёнки», это обман людей, или хорошо или никак. Ну кроме проприетаршиков. Те ксор на внешних hdd продавали.

FedyaPryanichkov ★★
()
Последнее исправление: FedyaPryanichkov (всего исправлений: 1)
Ответ на: комментарий от anonymous

Ты комментарии читаешь через один, или по какому-то другому принципу?

Я их забываю :( - писал же: «выпал» и не осталось инфы про encfs
Пойду курить encfs в приложении к Debian Buster.

n0mad ★★★
() автор топика
Ответ на: комментарий от anonymous

Причём тут дистрибутив? На сегодняшний день нет хорошего инструмента для шифрования файлов, а те что были - дырявые. Остаётся только шифровать блочное устройство. Luks доступен почти во всех установщиках. В Debian установка с использованием luks есть в установщике из коробки.

У меня целый зоопарк всего и желания/возможности всё перекраивать - нет.
Как я понимаю шифрование на уровне разделов - требует ввода пароля при загрузке, ну или для каждого хомяка свой раздел со своим паролем?
Это переразбивка винта, данные надо куда то скинуть,перекинуть,...
Опять же загрузка с паролем не интересует. Система при загрузке не должна требовать пароль и открывать что то секретное. Это уже по факту удалённого или локального логина пользователя.
Было бы интересно шифрование хомяков «из коробки». Дырявость в процессе работы не интересует. Интересна лишь стойкость к взлому на холодную...

n0mad ★★★
() автор топика
Ответ на: комментарий от FedyaPryanichkov

Шифровать весь диск много проще, файловое шифрование сделать сложнее, чем luks или truecrypt. Поддерживать васяноподелки с «авось сойдёт»... Это не в традициях debian, а поза не в дистре, а в секурити. Шифрование никто не делает «от сестрёнки», это обман людей, или хорошо или никак. Ну кроме проприетаршиков. Те ксор на внешних hdd продавали.

Но шифрование на уровне раздела - требует ввода пароля на этапе загрузки?
Или грузить обрезок а «взлёт» делать удалённо? Всё крайне сложно. Хотя конечно ни кто не мешает засунуть хомяки в файлы на разделе... Грузится вася и ему монтируется /home/вася.хоум->вася но всё равно оверхид большой...
«васяноподелки» интересуют лишь стойкостью к холодному взлому. Взлом на этапе MITM это уже проблемы дизайна всей системы. Тем не менее я не спецагент для того чтобы мне требовалось «серьёзное» шифрование. Мне достаточно того к которому не сможет получить доступ - средний взломщик...

n0mad ★★★
() автор топика
28 апреля 2020 г.
Ответ на: комментарий от n0mad

тоже искал алтернативу выпиленному eCryptfs и наткнулся на fscypt

стильно, модно, молодежно :)

Arix
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.