Монтирование шифрованного диска при загрузке системы

0

2

ЛОР, позитивных выходных тебе.

Что имеем? Имеем ноутбук со свежеустановленной Fedora 19 на борту. В ходе установки весь диск был зашифрован и расшифровывается в ходе загрузки после ввода ключевой фразы.

Что хотелось бы? Что бы диск расшифровывался «на лету», в ходе загрузки сисетмы при наличии вставленной SD карточки.

Из идей, которые пришли в голову - создать файл-ключ, с помощью которого расшифровывается диск, положить ключ на SD карточку (собственно, это уже сделано мной и в той же рискмоде вручную с помощью файла расшифровать диски удаётся) и каким-либо способом показать системе что за ключём нужно идти туда-то.

Если бы речь шла не о шифровании всего диска (включая системные разделы), то всё решилось бы достаточно просто с помощью crypttab файла, но у меня зашифровано всё, в том числе и система.

Если есть способ решить имеющуюся у меня задачу, буду благодарен за подсказку, в какую сторону отправиться на поиски решения. Спасибо.

Ссылка

←	Поменять файловую систему на флэшке

Вопрос чайника: HTTPS через открытый Wi-Fi безопасно?

→

Да способ есть. Самописный initramfs на любом носителе с которого может грузится твой комп в него же можно поместить и ключ для расшифровки.

init_6 ★★★★★
(26.10.13 20:51:02 MSK)

Ссылка

Вот тут копал?

Про F17: https://lists.fedoraproject.org/pipermail/users/2012-August/423515.html

Про баг и workaround в F18/F19: http://forums.fedoraforum.org/showthread.php?p=1662443

alpha ★★★★★
(26.10.13 20:52:00 MSK)

EncryptedFilesystemHowto5

~~Deathstalker~~ ★★★★★
(26.10.13 20:53:45 MSK)

Ссылка

Спасибо всем.

kp ★
(26.10.13 21:02:21 MSK) автор топика

Ссылка

Ответ на: комментарий от alpha 26.10.13 20:52:00 MSK

Про F17: https://lists.fedoraproject.org/pipermail/users/2012-August/423515.html

Я только одного не понял здесь:

rd.luks.key=<filename>:<device>

Что в моём случае нужно прописать вместо filename? SD карта у меня /dev/mmcblk0, раздел где лежит файл /dev/mmcblk0p1 - куда раздел должен быть смонтирован при таком раскладе?

kp ★
(26.10.13 21:08:19 MSK) автор топика

Ответ на: комментарий от kp 26.10.13 21:08:19 MSK

см. man dracut.cmdline

keypath is a path to key file to look for. It's REQUIRED. When keypath ends with '.gpg' it's considered to be key encrypted symmetrically with GPG. You will be prompted for password on boot. GPG support comes with 'crypt-gpg' module which needs to be added explicitly.
keydev is a device on which key file resides. It might be kernel name of devices (should start with «/dev/»), UUID (prefixed with «UUID=») or label (prefix with «LABEL=»). You don't have to specify full UUID. Just its beginning will suffice, even if its ambiguous. All matching devices will be probed. This parameter is recommended, but not required. If not present, all block devices will be probed, which may significantly increase boot time.

Так что можно наверное uuid взять, и будет как-то так: rd.luks.key=/key_file:UUID=403C-A34B

alpha ★★★★★
(27.10.13 00:42:56 MSK)

Ссылка

Это очень не безопасно. Имеет смысл иметь эту карточку только как дополнительный метод проверки, но не как основной точно.

~~ktulhu666~~ ☆☆☆
(28.10.13 01:06:57 MSK)

Ответ на: комментарий от ktulhu666 28.10.13 01:06:57 MSK

Хм, а какие есть серьёзные аргументы против этого? Кроме как кража/потеря/поломка карточки?

kp ★
(28.10.13 09:39:32 MSK) автор топика

Ответ на: комментарий от kp 28.10.13 09:39:32 MSK

Ну Вы сами себе аргументы нашли, как я вижу. :) Просто не совсем понятно, зачем использовать шифрование, когда оно так уязвимо из-за карточки становится.

~~ktulhu666~~ ☆☆☆
(28.10.13 10:27:51 MSK)

Ответ на: комментарий от ktulhu666 28.10.13 10:27:51 MSK

Ну Вы сами себе аргументы нашли, как я вижу. :) Просто не совсем понятно, зачем использовать шифрование, когда оно так уязвимо из-за карточки становится.

Зачем использовать шифрование если оно все равно не поможет против ректального криптоанализа?

А по сабжу: При размерах современных флешек можно разбить так что тот ключик никто и не заметит даже если он будет под самыми глазами лежать. Ну а так или иначе а пароли все равно нужно как то хранить соответственно все равно они уязвимы.

init_6 ★★★★★
(28.10.13 10:34:00 MSK)

Ответ на: комментарий от init_6 28.10.13 10:34:00 MSK

Зачем использовать шифрование если оно все равно не поможет против ректального криптоанализа?

А запятые помогут?

А по сабжу: При размерах современных флешек можно разбить так что тот ключик никто и не заметит даже если он будет под самыми глазами лежать. Ну а так или иначе а пароли все равно нужно как то хранить соответственно все равно они уязвимы.

Я не понимаю, в чём проблема запомнить 12+ символьный пароль?

~~ktulhu666~~ ☆☆☆
(28.10.13 10:37:06 MSK)

Ответ на: комментарий от ktulhu666 28.10.13 10:37:06 MSK

А запятые помогут?

Нет вот если только еще немного неуместной иронии.

Я не понимаю, в чём проблема запомнить 12+ символьный пароль?

Один единственный? Вообще никакого. А теперь усложняем до состояния реальной жизни когда паролей все-же несколько чуть более чем один единственный да еще и с условием, что иногда эти пароли таки просто необходимо менять на новые. Нет. Все еще ничего трудного.

init_6 ★★★★★
(28.10.13 10:46:07 MSK)

Ответ на: комментарий от init_6 28.10.13 10:46:07 MSK

Один единственный? Вообще никакого. А теперь усложняем до состояния реальной жизни когда паролей все-же несколько чуть более чем один единственный да еще и с условием, что иногда эти пароли таки просто необходимо менять на новые. Нет. Все еще ничего трудного.

Тогда карточка должна использоваться как дополнительный метод + 8символьный пароль. Или 20 символьный в виде какой-нибудь цитаты малоизвестной.

~~ktulhu666~~ ☆☆☆
(28.10.13 10:48:55 MSK)

Ответ на: комментарий от ktulhu666 28.10.13 10:48:55 MSK

Тогда карточка должна использоваться как дополнительный метод + 8символьный пароль. Или 20 символьный в виде какой-нибудь цитаты малоизвестной.

Спасибо капитан. И да в luks емнип можно на один носитель до 8ми паролей так что проблем нет никаких.

init_6 ★★★★★
(28.10.13 11:06:17 MSK)

Ссылка

Ответ на: комментарий от alpha 26.10.13 20:52:00 MSK

В общем, удалось осуществить задуманное только добавив файл в конфиг dracut и пересобрав initramfs. Мне такой вариант вполне подходит, потому как boot у меня на флешке, так что в итоге я имею то что хотел.

А вот просто кинуть файл на флешку и указать в параметрах ядра где он лежит, увы, не удалось. Даже после выполнения рекомендаций с dracut'ом по ссылке на форуме.

В любом случае, очень благодарен за подсказки в нужном направлении.

kp ★
(30.10.13 20:53:34 MSK) автор топика

Ответ на: комментарий от kp 30.10.13 20:53:34 MSK

А почему ход решения проблема не опубликуешь?

~~ktulhu666~~ ☆☆☆
(08.11.13 09:27:13 MSK)

Ответ на: комментарий от ktulhu666 08.11.13 09:27:13 MSK

Потому что публиковать стоит только 100% корректное решение, а у меня, пока что, при обновлении ядра моя схема слетела и пересборка initramfs не помогет. Смотрю вот в чём дело. Решение, конечно же опубликую как только пойму что оно точно рабочее.

kp ★
(08.11.13 10:18:55 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Поменять файловую систему на флэшке

Security

Вопрос чайника: HTTPS через открытый Wi-Fi безопасно?

→

Похожие темы