Шифрование диска

Здесь был? https://www.google.com/search?q=gentoo luks

luks + lvm

Это проще всего

http://www.funtoo.org/wiki/Rootfs_over_encrypted_lvm

Хард в сейф или электромагнит магнит+включение паник кнопкой.Шифрование в реальной жизни бесполезно как выяснилось...

Побеждается терморектальным криптоанализом?)

Обычно битой по голове достаточно

https://www.pgpru.com/faq/kriptografijapraktika#h1792-12

А если сделать так, чтобы следа шифрование видно не было ? Т.е. что-то вроде скрытого раздела truecrypt

Шифрование в реальной жизни бесполезно как выяснилось...

Даже если хранишь личную информацию на рабочем ноутбуке?

А если сделать так, чтобы следа шифрование видно не было ? Т.е. что-то вроде скрытого раздела truecrypt

Без вского паяльника расскажешь - и про скрытые разделы, и про шифри, и про пароли. Добровольно, на первом жее допросе. Потому как не за свой бизнес никто задницу подставлять не будет.

http://www.carrier-lost.org/blog/fully-encrypted-gentoo-system-with-lukscrypt... «Fully encrypted gentoo system with LUKS/cryptsetup and LVM», но при этом: " Full disk encryption under GNU/Linux isn’t possible like it is with e.g. Truecrypt under Windows"

Там же написано, что надо только /boot оставить не зашифрованным. К тому же ничего не запрещает его поместить на флешку и грузить систему с нее.

А ну да , .mp3 файл в 20гб не вызывает вопросов.И опять таки,бита по голове отключает скрытый режим.

Если кому то нужна будет эта информация к примеру (ментам) они её из вас выбьют.Мы живём в снг , профита у нас от шифрования нету,можно только лишний раз привлечь внимание тем же VPN у провайдера.Когда мы станем жить в цивилизованных странах когда человеческая жизнь это не ресурс и что то значит(Германия,Дания,Австралия и т.д.) , тогда и будем использовать шифрование.

А в Gentoo есть штатная возможность использовать разделы LVM поверх шифрованного тома LUKS, как в Debian? А то в маниуле предлагается каждый раздел шифровать отдельно, это неудобно. А шифровать только /home и не шифровать, например, /var и /tmp, по-моему, смысла мало.

Профит хотя бы в том, что можно быстро сделать cryptsetup luksRemoveKey, и выбивать из тебя будет уже нечего. Ещё на лаптопе шифрование поможет в случае потери/кражи, а на работе поможет, кога решишь уволиться, чтоб никто не копался в твоём HTTP-кэше или куда там их шаловливые ручки дотянутся.

А что ты здесь-то делаешь? Тебя туда(в цивилизованные страны) не пускают что ли?

В цивилизованной Великобритании просто садят за отказ раскрыть ключ. Впрочем, я это говорю человеку, не знакомому даже с правилами пунктуации…

С GRUB 2.xx возможно «полное» шифрование, как с TrueCrypt. Но оба этих случая нельзя считать полным шифрованием в строгом смысле, поскольку загрузчики можно модифицировать. Поэтому проще разместить /boot на съёмном носителе.

Да что вы со своей паранойей. Я говорю об обыденности. У меня рабочий ноутбук, в который я перенес сове привычное рабочее окружение с помощью Dropbox. В Dropbox у меня помимо конфигов хранится некоторая личная информация, например, переписка. Я не хочу дарить куски своей личной жизни работодателю, если вдруг ноутбук придется внезапно вернуть или отдать дургому сотруднику на временное пользование.

Да , ну!? Где ты в моём списке увидел Великобританию?

С этим согласен, действительно полезно в данном случае. Я говорю , о том что в случае с (ментами,спец службами,хмурыми дядьками нанятые конкурентами) шифрование не особо поможет...

А если ключ мы и не знаем (попробуй выучи несколько тысяч бессмысленных цифр!), а он был записан на флешку, которая была успешно уничтожена?

Читай ниже, в бытовухе действительно по мелочам полезно, но когда человек шифрует весь хард,ключи носит на флешке которые тоже шифрованы другими ключами с другой флешки, которая тоже шифрована и закопанная под седьмым дубом в парке , это тупо и бесполезно.

Вы идиот , зачем это вообще нужно ? За вами спец службы охотяться? Если это так, то вы думаете вас какой то ключ спасёт ? А просто скрыть информацию , от левых людей достаточно просто трукрипта (личная инфа,переписка,фото,видео,документы,бухгалтерия). Микросд пожевать и прогладить лучше шифрования.

Я ничего не шифрую. Но такой способ (при условии, что флешка с ключом была ликвидирована) спасёт даже от паяльника (ну может и не спасёт, но данные в любом случае останутся в тайне).

У всех свои приоритеты, кому то здоровье дороже информации.

Ну всё зависит от того, какая информация. А то от неё вреда может быть больше, чем от паяльника и не только владельцу диска. Да и поняв, что задержанный чисто физически не способен расшифровать данные, от него могут и отстать.

Мне пока не было необходимости ничего шифровать, но я-то неуловимый Джо, а у других людей могут быть дела по серьёзнее.

Если кому то нужна будет эта информация к примеру (ментам) они её из вас выбьют.

Ты идиот? Шифруют данные не от спецслужб (ради такого это делают только больные параноики), а от банальной кражи компьютера, чтобы воры потом не предлагали выкупить тебе корпоративные секреты, непроданные проекты и ню-фотки твоей жены «по сходной цене». Чтобы все, что ты терял — железо, а не информацию, которая может быть куда ценнее.

Тоже хочу шифроваться. Просьба к автору дать ссылку на рабочий вариант, если всё удастся настроить.

Если кому то нужна будет эта информация к примеру (ментам) они её из вас выбьют.Мы живём в снг , профита у нас от шифрования нету,можно только лишний раз привлечь внимание тем же VPN у провайдера.

это сказки. Всегда можно зашифровать свою информацию так, что её не только не расшифруют, но и даже не найдут. Да и искать не будут. А на допрос вас повезут совсем не за то, что вы что-то скрываете от всех, всем на это наплевать. А за то, что вы что-то не то _публикуете_. Если у вас есть надёжно зашифрованное CP, которое вы НИКОМУ не показываете, то проблем не будет. Строго говоря, это даже не преступление. Но вот опубликовав это своё CP вы можете поиметь реальных проблем.

Какие-то служебные документы вы можете сохранять у себя зашифровав их ключом начальника. Ключ для расшифровки можно хранить на флешке, которую легко спрятать или уничтожить. Если вы её вовремя уничтожите, то ваши проблемы становятся проблемами вашего боса. В конце концов, изначально это _его_ проблемы. И никакой паяльник не поможет вам восстановить физически уничтоженную флешку.

Когда мы станем жить в цивилизованных странах когда человеческая жизнь это не ресурс и что то значит(Германия,Дания,Австралия и т.д.) , тогда и будем использовать шифрование.

у них тоже самое. Т.ч. даже не мечтайте.

Читай ниже, в бытовухе действительно по мелочам полезно, но когда человек шифрует весь хард,ключи носит на флешке которые тоже шифрованы другими ключами с другой флешки, которая тоже шифрована и закопанная под седьмым дубом в парке , это тупо и бесполезно.

флешку можно расколоть и кусочки спустить в унитаз. Очень удобны флешки формата micro CD, я очень сомневаюсь, что осколки можно будет собрать, очистить от г-на, склеить, и прочитать. Даже для КровавойГБни.

А шифровать всё не нужно, зачем? И да, на первом допросе можно об этом честно рассказать.

Ты идиот? Шифруют данные не от спецслужб (ради такого это делают только больные параноики), а от банальной кражи компьютера, чтобы воры потом не предлагали выкупить тебе корпоративные секреты, непроданные проекты и ню-фотки твоей жены «по сходной цене». Чтобы все, что ты терял — железо, а не информацию, которая может быть куда ценнее.

+1

Ты идиот? Шифруют данные не от спецслужб (ради такого это делают только больные параноики), а от банальной кражи компьютера, чтобы воры потом не предлагали выкупить тебе корпоративные секреты, непроданные проекты и ню-фотки твоей жены «по сходной цене». Чтобы все, что ты терял — железо, а не информацию, которая может быть куда ценнее.

Нет, он школо-ло и ему этого не понять... его задача вбросить :) ЗЫ теоретикам: а нафига спецслужбам расшифровывать данные рядового обывателя/сотрудника фирмы? И вообще сколько в нашей стране рабочих мест, на которых сидят лица с настолько ценными данными что бы паяльники в зад пихать и битой по башке бить?! Шифрование куда как годно укрывать данные от конкурентов, мелких мусорков, простой случайной утечки и прочее. Я не отрицаю что рядовой отброс в погонах может вкатать неилюзорных, но если он такая мразь люлей выпишет и без повода... Тоже касается и прочих не чистых на руку...

А в Gentoo есть штатная возможность использовать разделы LVM поверх шифрованного тома LUKS, как в Debian?

Можно в dracut и в свежих версиях genkernel.

Микросд пожевать и прогладить лучше шифрования.

Зачем лучше, если можно совмещать? ☺

когда человек шифрует весь хард,ключи носит на флешке которые тоже шифрованы другими ключами с другой флешки, которая тоже шифрована и закопанная под седьмым дубом в парке , это тупо и бесполезно

Полезно быть готовым к полной потере всего зашифрованного, тогда не жалко хрумкать последний ключ.

А горячую информацию лучше вообще не трогать.

Как правильно зашифровать полностью весь диск

Это как раз не проблема. Он шифруется точно так же, как например в openSUSE или Ubuntu.

Тут фишка в другом. Никто не знает как правильно настроить систему чтобы при загрузке она обратилась к криптоконтейнеру, спросила у владельца пароль, открыла криптоконтейнер и считала оттуда разделы и/или ФС. В том числе и корневую, дабы продолжить загрузку рабочего окружения. Никто не знает, как правильно настроить Генту так, чтобы она засыпала и просыпалась без проблем имея своп в криптоконтейнере.

Все гентушники (и даже гентушницы) услышав вопрос о криптовании «корня» меняются в лице. Выражение делается снисходительно-надменным. Они в двух словах объясняют, что вопрошающий лох и нуб. Что криптование делается совершенно просто. Пересыпают разъяснения несколькими малознакомыми терминами для пущей убедительности.

И как бы ты ни ходил вокруг них, реального ответа, совета или инструкции ты не получишь! Настоящий гентушник(ца) по определению знает как закриптовать «корень», а раз ты спрашиваешь, значит премерзостный Убунтоид, мышевоз, и вообще предмет прозрачный для того чтобы дать тебе настоящие разъяснения.

В крайнем случае, чтобы отвязаться от настырного недотёпы, тебя пошлют на какие-нибудь страницы с инструкциями настолько путанными, что только через три дня проб и ошибок ты поймешь, что ходишь кругами по одному месту.

Если ты окажешься достаточно настойчивым, ты обязательно обнаружишь нескольких гентушников, у которых вся система кроме бута закриптована. Но на все расспросы «как?» они будут ходить кругами, сыпать выдуманными и настоящими терминами... Будут водить тебя за нос до тех пор, пока ты либо не потеряешь интерес к вопросу, либо поймешь, что криптование в Генте вещь настолько секретная, что если бы они и рассказали тебе «как?», им бы пришлось тебя убить.

Ответ на твой вопрос, как ни странно, прост. В Генте можно закриптовать систему, ведь она сделана из тех же компонентов, что и любой попсовый дистрибутив. Проблема в том, что «как это настроить?» никто не знает. А те кто знали, видимо померли.

Причем ситуация аналогична и для любых ее деривативов.

Причем ситуация аналогична и для любых ее деривативов.

А как реализовано шифрование в liberte linux ?

Вот так куча 4.2 и FUDа. Долго тужился?

Лучше бы howto в вики написал, раз такой звездатый.

Зачем тужится?

Прочитай внимательно тред. Воспользуйся поиском и найди другие треды по этой теме. Прочитай внимательно их. Ты сам все увидишь.

Лучше бы howto в вики написал, раз такой звездатый.

Иногда я это делаю. Там где моих хомячковых запасов серого вещества хватает. Я не склонен скрывать знания, и при случае могу ими поделиться даже с незнакомцем.

Т.е. это невозможно или все-таки возможно (криптование всего диска, включая своп) ?

Когда мы станем жить в цивилизованных странах когда человеческая жизнь это не ресурс и что то значит(Германия,Дания,Австралия и т.д.)

Сделал мой день.

А шифрование хранилищ обычно используется для защиты от корпоративного шпионажа. Если спецслужбы придут и попросят доступ к защищенной инфе, то без проблем отдам, но там для них нет ничего особо интересного.

Хм. У меня же закриптован.

Это не особо сложно. Криптовать умеет Debian, Ubuntu, openSUSE, Fedora, etc даже на уровне инсталлятора.

У меня есть древние три диска по 80 Gb. Я сделал на них три криптоконтейнера, а в них одну volume group и уже в группе один logical volume. Теперь у меня один диск на ~220Gb.

$ sudo pvdisplay -C
  PV         VG       Fmt  Attr PSize   PFree
  /dev/dm-0  vgsystem    lvm2 a-    18.99g    0  
  /dev/dm-5  vg       lvm2 a-    74.52g    0 
  /dev/dm-7  vg       lvm2 a-    74.52g    0 
  /dev/dm-8  vg       lvm2 a-    74.52g    0
$ sudo vgdisplay -C
  VG       #PV #LV #SN Attr   VSize   VFree
  vg         3   1   0 wz--n- 223.57g    0 
  vgsystem      1   3   0 wz--n-  18.99g    0 
$ sudo lvdisplay -C
  LV      VG       Attr   LSize   Origin Snap%  Move Log Copy%  Convert
  trinity vg       -wi-ao 223.57g                                      
  home    vgsystem    -wi-ao   2.49g                                      
  root    vgsystem    -wi-ao   8.50g                                      
  swap    vgsystem    -wi-ao   8.00g

А для того, чтобы не вводить пароль каждый раз (для доступа к криптоконтейнеру) я вместо паролей сделал для них ключи и прописал их в crypttab:

# <target name>	<source device>		<key file>	<options>
pvcrypt         /dev/sda2		none		luks,retry=1
pvfirst		/dev/sdc1	/root/first.keyfile	luks
pvsecond	/dev/sdd1	/root/second.keyfile	luks
pvthird		/dev/sde1	/root/third.keyfile	luks

Пользовался этой инструкцией. А когда она не сработала на 12.04, пришлось убить двое суток на расследование и дополнение.

Тебе дали очень очень похожую инструкцию. Я ее помню, но тогда она была покороче и не сработала в моих кривых ручонках. Попробуй, возможно они таки раскрыли свой секрет :)

Причем, что немаловажно. На ноуте при такой схеме в Ubuntu 12.04 работает и suspend и hibernate. На домашнем у меня какая-то задница с железом, suspend не работает, но зато работает hibernate.

Проблема еще актуальна? А то товарищ valich разбудил мое спящее чувство сознательности =)
В свое время сам задавался подобным вопросом и из ссылок:
http://www.funtoo.org/wiki/Rootfs_over_encrypted_lvm
http://en.gentoo-wiki.com/wiki/Initramfs
http://www.gentoo.org/doc/en/initramfs-guide.xml
собрал для себя необходимый материал.
Остановился на схеме lvm поверх luks. Реализовать легко, управлять еще проще.
/dev/sda1 - EFI
/dev/sda2 - NTFS (Windows 7 c Prey на случай кражи ноута)
/dev/sda3 - /boot
/dev/sda4 - luks

Подготовительные операции перед установкой заключались в следующем:

• Заполнение раздела случайными данными
  dd if=/dev/urandom of=/dev/sda4 (Процедура реально долгая, но насколько понимаю необходимая, т.к. усложняет возможную работу криптоаналитикам. Если нет желания ждать, можно воспользоваться frandom или badblocks)
  
• Шифрование раздела
  cryptsetup -c aes-xts-plain -s 256 -h sha256 luksFormat /dev/sda4 (Не хочешь запоминать пароли? Не вопрос, посмотри на -d /путь/заранее/приготовленному/ключу. Потом не забудь его подложить в самосборный initrd)
  cryptsetup luksOpen /dev/sda2 gentoo
• Создание логических разделов
  pvcreate /dev/mapper/gentoo
  vgcreate cryptvg /dev/mapper/gentoo
  lvcreate -L 30G -n root cryptvg
  lvcreate -L 4G -n swap cryptvg
  lvcreate -L 10G -n portage cryptvg
  lvcreate -l 100%FREE -n home cryptvg
• Дальше стандартная установка по рукокниге (на этапе конфигурирования ядра не забудь проверить, что поддержка шифрования устройств и необходимые алгоритмы встроены в ядро не модулями)
  <*> Crypt target support
  -*- AES cipher algorithms
  <*> XTS support и т.д.

Самая петрушка началась, когда понадобилось каким-то образом загрузиться. :) Я выбрал самодельный initrd, делал по мануалу слово в слово, менял только номера разделов и имена логических дисков. Если нужно могу выложить содержимое init-файла и самого initrd диска.

• Создать inird с помощью genkernel - genkernel --install --lvm --luks all
• C dracut даже с ключами заморачиваться не надо, просто проследи чтоб в make.conf были указаны нужные модули, ну и не забудь его потом вызвать
  DRACUT_MODULES=«lvm crypt»
  

Что касается сокрытия зашифрованных данных в некоторой области диска, можно отказаться от LUKS и для cryptsetup указывать смещение, начиная с которого нужно расшифровывать sda. Либо можно хранить заголовок от LUKS отдельно (начиная с 1.4.0 cryptsetup вроде это умеет), например в initrd, а его в свою очередь на флешке или еще где. Признаюсь, сам подобное не реализовывал, только видел маны, но уверен что такой изврат не сильно сложнее, чем вышеуказанная схема. Это что касается технических аспектов..
Другой вопрос - эффективность шифрования. Я лично его использую только на случай кражи ноутбука разными люмпенами, так как считаю не эффективным при сокрытии данных от государства и органов. Людям в сером ведь совсем не обязательно ломать AES и т.п. чтоб собрать доказательную базу, признание тоже будет вполне весомым аргументом, а уж каким способом оно будет получено одному богу известно.

dd if=/dev/urandom of=/dev/sda4 (Процедура реально долгая, но насколько понимаю необходимая, т.к. усложняет возможную работу криптоаналитикам. Если нет желания ждать, можно воспользоваться frandom или badblocks)

Во-первых, badblocks тоже использует urandom. Во-вторых, есть быстрый и надёжный способ: создать LUKS-том и перезаписать его нулями (подключив, конечно).

aes-xts-plain

Думаю, пока лучше aes-cbc-essiv. XTS имеет некоторые нюансы и пока вроде нет однозначного вывода о его «лучшести».

есть быстрый и надёжный способ: создать LUKS-том и перезаписать его нулями

# cryptsetup --cipher=aes-ctr-plain64 --key-size=256 --key-file=/dev/random create randomize /dev/путь_к_разделу && dd if=/dev/zero of=/dev/mapper/randomize && cryptsetup remove randomize && sync