Шифрование директорий пользователей

>> Можно ли извратиться с dm-crypt?

Запросто — pam-mount. Если не смущает размещение каждого хомяка на отдельном томе (если пользователей много, конечно :)

>> Что лучше - EncFS или CryptoFS?

Вторую не знаю, но первая вполне ok. Есть ещё eCryptFS, но настоятельно рекомендуется изучить FAQ и трижды подумать.

eCryptFS — ядерная, что даёт очевидные преимущества, но она и стековая, что может повлечь за собой некоторые нежелательные эффекты.

Я сам вчера попробовал encfs - понравилось. Одна команда - и готовы директории (шифрованная и нешифрованная). ИМХО, легче и не придумаешь.

А с dm-crypt я пытался разобраться, чтобы USB-HDD зашифровать, но что-то «ниасилил». Да и подозреваю, что чтобы работал dm-crypt, необходимо на всех компьютерах, куда винчестер будет подключаться, этот самый dm-crypt иметь. Да еще и права рута. Так что, не очень-то удобный способ.

chmod 700 /home/username
не достаточно?

Нет. Могут загрузиться с live-cd/usb, можно винт вытащить и подключить к другому компу под рутом. Что тогда?

у меня юзерские хоумы на nfs шаре с krb аутентификацией.
локально root не имеет доступа к шарам, благодаря root_squash.
а шифровать хоум диры - имхо параноя.

Всё зависит от важности данных, которые хранятся на компьютере.

уверен, при параноидальной шифрации данных, эти самые данные воруют другим способом - с помощью инсайдеров или благодаря уязвимостям в парольных политиках.

Могут загрузиться с live-cd/usb и впендюрить тебе трояна. И што дальше? Без TP это все туфта. Ерунда с шифрованием нужна только для случаев ВНЕЗАПНОЙ кражи

> а шифровать хоум диры - имхо параноя.
На ноутбуке нужно — 100%.

PS диры с torrent`ами для органов.

Для этого случая нужно иметь зашифрованный корень, с /boot (и грубом) на флешке. Чисто как дополнительную меру безопасности.

На ноутах где процессоры поддерживают инструкции AES такая конструкция (шифрованный корень + шифрованные юзердиры) вообще не заметна по нагрузке. Вполне себе так, безопасно :)

Без TP - тоже самое. Можно поменять тот модуль, который спрашивает пароль :]

Вы видимо не поняли, но на моей машине вообще ничего нету кроме зашифрованного диска.

Загрузка идет с флешки которую можно носить с собой на шее, именно на этой флешке и расположен grub, /boot, и тот модуль который спрашивает у меня пароль.
Пока флешки в ноутбуке нет, там будет просто нечему запускаться, и подменять нечего.
Соответственно стащить у меня пароль можно только хардварным методом (которая мало реальна для обычного человека), либо с подглядев из за спины.

Единственное неудобство - надо держать флешку в ноуте когда обновляешь ядро (ну или когда перегенерить initrd надо), но это по сути не так часто бывает.

Естественно это надо использовать вместе с директорией пользователя.
В итоге максимум что можно будет у меня унести, это либо ноут с активным логин-скрином, либо вообще тупо железку.
Без TPM(вы же его имели ввиду) можно будет в теории выудить пароль из RAM (если машина запущена), но опять же мы тут про других воров данных разговариваем.