[Неуловимый Джо] Локальное шифрование раздела без доступа для root'а. Делимся советами!

> Классические схемы шифрования не надежны, если конкретно ты - не рут. Или рут не только ты.

Может быть пора уже прекращать принимать такие вещества?

Неуловимый Джо скрывается ото всех. И не доверяет никому

у него есть учётка на многопользовательской системе

Взаимно исключающие параграфы.

Хочу узнать best practices.

Быть бессме^Wрутом самому, отрубить головы всем остальным. Должен остаться только один!

Если серьёзно, может помочь свой маленький карманный одноплатник/нетбук: все файловые системы шифровать через него и раздавать только нужное файло по сетке. Всё это файло будет увидено кем попало, естественно.

В Linux есть ecryptfs почти то, что вы ищите. Правда если учесть что рут может превратиться в любого пользователя то ecryptfs не поможет.

Спасибо за совет, но в топике было уточнение

после расшифровки раздела пользователём во время работы root может сделать setuid и, о Боже!, получить всё

Я смотрел в сторону и encfs, и dm-crypt, и encryptfs. Грустно всё там.

Никак нельзя.

Рут может все. А в многопользовательской системе - еще и применить паяльник удаленно. Так что с такой паранойей на чужой системе делать нечего.

Должен тебя огорчить. Люди не способны обрабатывать файлы. Они для этого используют программы. Которые для них устанавливает root. Т.о. классический root может всегда поменять какую-то из программ на мелкий враппер, и получить таки твои данные. Зашититься от этого ты можешь только выведя программы из под управления рута. А на кой он тогда тебе нужен?

В принципе, HP-UXовая EVFS это типа решает - там доступ получают только программы, запущенные в сессии, получивший от пользователя пароль ключа. Но, см. п. 1 - руту достаточно поменять какой-нибуть «sh», или что там ты любишь запускать, и ты сам ему всё отдашь. Это, конечно, тоже можно как-то прикрывать, но грамотный рут найдёт способ, а неграмотный не нужен. В итоге всё сведётся к тому, что нужно рута кормить настолько хорошо, чтобы у него любопытство жиром заплыло, и мониторить его действия на всякий случай.

Другой вариант - полный контроль, в т.ч. физический со стороны конечного пользователя. Несовместимо c невысокой квалификацией, непрокачанной паранойей, обработкой расшифрованных данных на многопользовательских системах, и потенциальными эксплуатируемыми багами в софте. Т.е. каждому по личной планшетке, прикованной к какой-нибудь кости, с доказано правильным софтом, и ежегодные курсы параноиков.

так, я что-то не понял нифига. Если я в своей уютной убунточке при установке поставлю галочку «Шифровать домашнюю директорию», то насколько я понимаю, весь домашний раздел будет, например, заXoR'ен паролем (ну или другой криптоаглоритм с симметричным ключом), верно? И даже если злоумышленник получит физический доступ к винту, он все равно ничего оттуда не выдерет без пароля. Где я ошибаюсь?

И даже если злоумышленник получит физический доступ к винту, он все равно ничего оттуда не выдерет без пароля. Где я ошибаюсь?

сменит пароль твоего юзера, залогинится под ним и получит все данные

Жалко, что никто так и не нашёл способа. Мой совет: ZIP или RAR-архив без сжатия с шифрованием.

ну сменил и что? раздел то заXoR'ен старым паролем. Толку от смены пароля?

tar -c secret/ |bzip2|gpg -c > secret.tbz2.gpg && find secret/ -type f -execdir shred -uz '{}' \; && rm -rf secret/

gpg secret.tbz2.gpg && tar -xjf secret.tbz2 && shred -uz secret.tbz2.gpg secret.tbz2

>раздела без доступа для root'а

Упс, «раздела»

Это фантастика.

И если у него есть учётка на многопользовательской системе - он не должен доверять даже администратору.

Это допущение бредово и не работает. То что может работать - получать данные на доверенную машину, и на ней проводить обработку ))

Типа в памяти рут его нинадет низачто... Защищаться от рута _В ОБЩЕЙ СИТУАЦИИ_ нет никакого смысла. При желании Хоть сисколы дампить будет, хоть в памяти напрямую копошиться. И защиты от такого на среднестатистической машине НЕТ. Принципиально.

Это если только пользователь залогинен и вдруг решил посмотреть содержимое своего шифрованного архива. Глупая мысль пришла: развернуть поток байтов в файлах задом наперёд. root тогда ни фотки, ни видео не прочитает, разве что догадается в чём дело. А самому смотреть всё через 20-килобайтную утилиту, которая берёт видео из памяти в правильном порядке.

А ничего, что рут увидит эту 20-килобайтную утилиту?

Среди гигабайтов информации вряд ли

Вы сильно ошибаетесь. :)

Имеется в виду, что пользователь и рут работают параллельно на многопользовательской системе, и пользователь уже ввел свой пароль. В этом случае рут может добраться до уже подмонтированной (и расшифрованной) /home/username/.