LINUX.ORG.RU

Шифрование раздела


0

1

Есть HDD с установленным Linux.. необходимо зашифровать его таким образом, чтобы разделы данного диска не монтировались в более других дистрибутивах (ну кроме, может быть, /boot) (или монтировались с мусором), НО при родной загрузке в родном ПК никаких ключей у пользователей не спрашивалось.. возможно ли такое? если да, то в какую сторону гуглить? )


>> НО при родной загрузке в родном ПК никаких ключей у пользователей не спрашивалось.. возможно ли такое? если да, то в какую сторону гуглить? )

Гугли в сторону скриптов для cryptsetup. Генерацию ключа можно завязать на ID железок. Ещё можно брать ключ с внешнего носителя.

При таком подходе имеет смысл добавить резервный ключ, который хранить в надёжном месте.

GotF ★★★★★
()
Ответ на: комментарий от GotF

> Гугли в сторону скриптов для cryptsetup. Генерацию ключа можно завязать на ID железок.
+1; из initramfs будет работать.

tn1
()
Ответ на: комментарий от GotF

>>Гугли в сторону скриптов для cryptsetup. Генерацию ключа можно завязать на ID железок

усложняется дело тем, что это виртуальная машина (virtualbox).. т.е. не хочется утечки данных с .vdi при монтировании этого самого .vdi к другой машине... сама по себе утечка образа винта не критична - все консоли заблокированы и т.д. и т.п... однако при монтировании этого образа - все данные на ладоне.. (( поэтому, имхо, ID железа здесь не подойдет..

siniy-p
() автор топика
Ответ на: комментарий от GotF

есть образ .vdi - хочу, чтобы он загружался на любой машине с virtualbox, НО не хочу, чтобы этот образ вытащили и примонтировали на том-же live-cd с последующем chroot'ом... На пальцах: дистрибутив, в котором нет возможности поиметь юзеру доступ к файловой системе. Необходимо защитить этот дистрибутив от mount'а в том же live-cd

siniy-p
() автор топика
Ответ на: комментарий от siniy-p

Не выйдет. От чрута можно огородиться только шифрованием, а по этому поводу я уже написал выше.

GotF ★★★★★
()
Ответ на: комментарий от siniy-p

Ах да, есть ещё один вариант — разместить ключ прямо на диске (например, внутри initrd). С точки зрения безопасности это клиника, но твою задачу решает полностью :)

GotF ★★★★★
()
Ответ на: комментарий от GotF

спасибо за наводку, поробую.. ) с результатом отпишу )

siniy-p
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.