LUKS на Fedora

[HetmanNet]

Маю новенький жорсткий диск, створив таблицю розділів GPT. Тепер найважче - якось треба встановити шифрування та форматувати у ext4, при інсталяції системи це робити легко, а ось коли вже система працює є проблема. Бо треба всі параметри аналогічні до стандартних при встановленні системи (а я їх не знаю) та найголовніше - як то зробити, бо опісля на нього перенесуться дані теки home з старого жорсткого диску, та буде встановлена наново ОС (на старий) з шифруванням та потрібно змонтувати новий диск як home в новій ОС (Fedora 18).
Тож найголовніше:
1. Як виконати шифрування та форматування зашифрованого диску в ext4?
2. Чи потрібно зберігати якісь налаштування на інший носій, щоб потім при встановленні нової ОС використати як точку монтування нового жорсткого диску теку /home, при тому не виконувати нове форматування, бо все таки на ньому будуть важливі дані. При відсутності шифрування проблем немає - вказав, погодився на зміну прав на файли, і все гуд -файли цілі і монтується де треба, а чи не буде якоїсь різниці при використані шифрованого розділу (точніше всього жорсткого диску)? Чи не вимагатиме якихось екзотичних дій?

P.S. Вирішив повернутися до шифрування системи, часи такі настали.

[Володимир Лісівка]

http://fedoraproject.org/wiki/Implementing_LUKS_Disk_Encryption

Якщо у вас щось вийшло, поділіться інформацією. :-)

[HetmanNet]

http://fedoraproject.org/wiki/Implementing_LUKS_Disk_Encryption

Якщо у вас щось вийшло, поділіться інформацією. :-)

Цю інструкцію вже маю. Перед шифруванням хочу впевнитися, що воно не збільшить значно навантаження на процесор. Бо шляху назад не буде. Одним словом визначитися, що краще - шифрувати всю систему чи окремі файли. Хоча при шифруванні лише файлів - не захищу свої скрипти і деякі консольні програми. Хтось зустрічав статті про LUCK де згадувала відмінність в навантаженні на систему? Бо на Windows встановлення подібного ПЗ збільшувало навантаження від 25% і більше, але LUKS є ПЗ що працює на рівні ядра, тож по ідеї його ефективність вища і воно неповинно значно вплинути на навантаження.

[Володимир Лісівка]

Можна зробити симлінки на свої скрипти та консольні програми, які ви хочете захистити, щоб вони вказували на криптоконтейнер.

Всю систему немає сенсу захищати —  криптоконтейнер не захищає від руткітів і буткітів. Крім того, якщо 90% інформації у контейнері вже відома і навантаження на ключ значно більше, то розшифрувати його стає на кілька десятків порядків легше.

Буде легше щось порадити, якщо я буду знати від чого саме ви захищаєтесь. :-)

Якщо ви боїтеся що прийдуть злі дядьки і конфіскують ваш компʼютер, то тримайте важливі дані десь в інтернеті (криптоконтейнер — це звичайний файл, який можна підмонтувати по sftp). Зберіть собі ядро з підтримкою AES256 — його практично неможливо розшифрувати на сьогоднішній день (AES128 — можливо), крім як методом ректального криптоаналізу. :-)

[HetmanNet]

Можна зробити симлінки на свої скрипти та консольні програми, які ви хочете захистити, щоб вони вказували на криптоконтейнер.

Всю систему немає сенсу захищати —  криптоконтейнер не захищає від руткітів і буткітів. Крім того, якщо 90% інформації у контейнері вже відома і навантаження на ключ значно більше, то розшифрувати його стає на кілька десятків порядків легше.

Буде легше щось порадити, якщо я буду знати від чого саме ви захищаєтесь. :-)

Якщо ви боїтеся що прийдуть злі дядьки і конфіскують ваш компʼютер, то тримайте важливі дані десь в інтернеті (криптоконтейнер — це звичайний файл, який можна підмонтувати по sftp). Зберіть собі ядро з підтримкою AES256 — його практично неможливо розшифрувати на сьогоднішній день (AES128 — можливо), крім як методом ректального криптоаналізу. :-)

Тримати всі важливі дані в Інтернеті погана ідея - це збільшує вразливість у рази.
Руткіт не розшифровуючи не встановиш, а від буткіта захиститися можна, на те є до біса механізмів захисту.
Залишається проблема - в Fedora при встановленні не пропонується вибір рівня криптографічного захисту. Крім того досі не знайшов інфи про навантаження на проц..

[Володимир Лісівка]

Тримати всі важливі дані в Інтернеті погана ідея - це збільшує вразливість у рази.

Якщо використовується сильне шифрування, то хіба не пофік де тримати дані?

Зчитати дані можна дистанційно і з вашого компʼютера — є купа задокументованих вразливостей у мережних картах, у бездротових клавіатурах, у моніторах. Навіть стукіт клавіатури розпізнати можна.

Руткіт не розшифровуючи не встановиш,

А як же ж тоді їх встановлюють? :-)
Мені дуже неприємно коли я знаходжу віндузячу вірусню у /tmp, яку я підхоплюю через Вогнелиса, тому що я розумію що лінуксову вірусню я там не знайду. ;-)

а від буткіта захиститися можна, на те є до біса механізмів захисту.

Від буткітів практично немає захисту, якщо він завантажився, — є дуже багато місць, де може сховатися буткіт: в біосі компʼютера, вінчестера чи мережної плати. Найбільш дієвий спосіб захисту це переведення носіїв, з яких запускається система (біос, флеш, вінчестер), в режим тільки для читання без можливості зняття захисту після того як він був увімкнений, або використання одноразових систем (напр. віртуальних).

Залишається проблема - в Fedora при встановленні не пропонується вибір рівня криптографічного захисту.

По замовчуванню використовується AES128, так як це залишає американським спецслужбам шанс (але надзвичайно дорогий шанс). AES256 такого шансу не залишає (хоча його і опустили до 2²¹¹ варіантів), але він їсть на 40% більше процесорного часу.

Крім того досі не знайшов інфи про навантаження на проц.

Якщо ваш компʼютер здатен закодувати/розкодувати 100МіБ даних на секунду, то при швидкості читання/запису на диск у 25МіБ/с, навантаження на проц складатиме 25%.

[HetmanNet]

Тримати всі важливі дані в Інтернеті погана ідея - це збільшує вразливість у рази.

Якщо використовується сильне шифрування, то хіба не пофік де тримати дані?

Зчитати дані можна дистанційно і з вашого компʼютера — є купа задокументованих вразливостей у мережних картах, у бездротових клавіатурах, у моніторах. Навіть стукіт клавіатури розпізнати можна.

Руткіт не розшифровуючи не встановиш,

А як же ж тоді їх встановлюють? :-)
Мені дуже неприємно коли я знаходжу віндузячу вірусню у /tmp, яку я підхоплюю через Вогнелиса, тому що я розумію що лінуксову вірусню я там не знайду. ;-)

а від буткіта захиститися можна, на те є до біса механізмів захисту.

Від буткітів практично немає захисту, якщо він завантажився, — є дуже багато місць, де може сховатися буткіт: в біосі компʼютера, вінчестера чи мережної плати. Найбільш дієвий спосіб захисту це переведення носіїв, з яких запускається система (біос, флеш, вінчестер), в режим тільки для читання без можливості зняття захисту після того як він був увімкнений, або використання одноразових систем (напр. віртуальних).

Залишається проблема - в Fedora при встановленні не пропонується вибір рівня криптографічного захисту.

По замовчуванню використовується AES128, так як це залишає американським спецслужбам шанс (але надзвичайно дорогий шанс). AES256 такого шансу не залишає (хоча його і опустили до 2²¹¹ варіантів), але він їсть на 40% більше процесорного часу.

Крім того досі не знайшов інфи про навантаження на проц.

Якщо ваш компʼютер здатен закодувати/розкодувати 100МіБ даних на секунду, то при швидкості читання/запису на диск у 25МіБ/с, навантаження на проц складатиме 25%.

Не пофіг, це вже доведено американськими спецслужбами.
З монітора зчитати можна лише зображення з нього - але в реальності, ми отримуємо розмите зображення, дуже, там розібрати текст майже не реально.
Щодо клавіатури згоден.. є така проблема. Та й вона є з кожним безпровідним пристроєм.
Про мережеву карту - там немає вразливостей, там є спеціальний бекдор для спецслужб, для блокування бекдора виробники надають оновлення, яке доступне лише ЄС та Японії. В цьому винен біль про захист дітей від педофілів у мережі, ніби це треба для допомоги відстежувати педофілів, цей бекдор є в усіх роутерах, телефонах, і т.д. (в телефонах з'явився для захисту від терористів). Одним словом педофілів у США кількість зростає як і зростала і ніфіга він їм не допоміг.
Ви не перші знаходити віндузяцьку вірусню в тимчасових файлах, я її звідки пачками вишкрібаю.
Щодо інструкції - загалом вона працездатна, тобто користуватися можна. Щодо навантаження - воно мабуть дійсно буде чималим. Мабуть краще просто надалі шифрувати найважливіше окремими ключами, бо шифрування всього підряд мабуть не найкраща ідея.