Автор Тема: Шифрование в Debian (корневой раздел, boot, swap, home)  (Прочитано 8328 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн CoolAller

Всем привет! Подскажите как правильно сделать шифрование всех разделов в Debian (корневой раздел, boot, swap, home), так чтобы при загрузке GRUB2 просил пароль для доступа к последующей инициализации ядра и загрузке системы. Если можно поясните, как теперь обстоит дело с init с приходом systemd. Можно ли настроить шифрование на этапе установки Debian? Нужно ли в данном случае делать home и boot отдельными разделами?
« Последнее редактирование: 10 Декабря 2017, 03:44:46 от CoolAller »
 

Оффлайн Ogis1975

Re: Шифрование в Debian (корневой раздел, boot, swap, home)
« Ответ #1 : 08 Декабря 2017, 20:27:09 »
Читайте тут. Только не понимаю, зачем это нужно....
 

Оффлайн dogsleg

Re: Шифрование в Debian (корневой раздел, boot, swap, home)
« Ответ #2 : 09 Декабря 2017, 11:24:45 »
Проще всего делать полное шифрование через программу установки. При автоматической разметке можно выбрать несколько вариантов (вынести /home, /var, /tmp на отдельные разделы). Причём, предлагаемые настройки по умолчанию довольно разумные, а если что-то хочется изменить, то это можно сделать, сразу же открыв программу разметки в установщике.

В случае с UEFI получается примерно так:

первый раздел: /boot/efi -- 500 Мб, fat32
второй раздел: /boot --  250 Мб, ext2
третий раздел: шифрованный -- остальное место, lvm2 pv

Перед записью изменений диск заполняется случайными данными. Это может занять много времени, но лучше этот шаг не пропускать, поскольку он повышает безопасность. В противном случае будет намного проще выяснить, где лежат зашифрованные данные, а где их нет.

Третий раздел уже делится на всё, что вам надо, и шифруется целиком. То есть, шифруется всё кроме /boot и /boot/efi; шифруется даже /swap (это очень важно, так как незашифрованный swap позволяет выдёргивать из памяти чувствительные данные). Пароль для расшифровки запрашивается после загрузки базового образа. Дальше загрузка идёт как обычно.

Cообщение объединено 09 Декабря 2017, 11:32:10
Только не понимаю, зачем это нужно....

Например, затем, что если злоумышленник завладеет, допустим, вашим выключенным ноутбуком, ему будет очень сложно получить данные, хранящиеся на диске.
« Последнее редактирование: 09 Декабря 2017, 11:32:10 от dogsleg »
 

Оффлайн ek-nfn

Re: Шифрование в Debian (корневой раздел, boot, swap, home)
« Ответ #3 : 09 Декабря 2017, 13:41:03 »
Например, затем, что если злоумышленник завладеет, допустим, вашим выключенным ноутбуком, ему будет очень сложно получить данные, хранящиеся на диске.
Разве недостаточно для этого шифрования лишь домашнего каталога и swap ? Зачем шифровать всю систему? По мне так еще проще иметь шифрованный каталог с важными документами, монтируемый автоматически или вручную. Работу с кэшами организовать с учетом секретности. Системе будет еще легче, так как избавит от шифрования кучи никому ненужного мусора и системного софта.
Debian 10 xfce
 

Оффлайн CoolAller

Re: Шифрование в Debian (корневой раздел, boot, swap, home)
« Ответ #4 : 09 Декабря 2017, 14:40:09 »
Разве недостаточно для этого шифрования лишь домашнего каталога и swap ?
Нет, недостаточно, так как много информации хранится в том же каталоге etc.
« Последнее редактирование: 09 Декабря 2017, 14:41:49 от CoolAller »
 

Оффлайн dogsleg

Re: Шифрование в Debian (корневой раздел, boot, swap, home)
« Ответ #5 : 09 Декабря 2017, 14:47:42 »
Зачем шифровать всю систему? По мне так еще проще иметь шифрованный каталог с важными документами, монтируемый автоматически или вручную.

Можно, но в таком случае злоумышленнику будет проще найти тот небольшой кусок данных, который его интересует. Для некоторых методов атаки на зашифрованные данные критичен размер этих данных, если вы зашифруете не только данные (допустим, номер вашей кредитной карты, что займёт, скажем, 100 КБ), но и шум (100 КБ полезной нагрузки среди 250 ГБ шума), разобраться будет намного сложнее.

Главное учитывать, от каких угроз и что вам надо защитить. Конечно, шифровать весь диск не всегда оправдано. Хотя, честно сказать, для пользователя современного компьютера повседневная работа с полностью зашифрованным диском практически не отличается по быстродействию от работы без шифрования. На своём ноутбуке вряд ли кто-то будет запускать что-то настолько критически завязанное на операции ввода/вывода.
« Последнее редактирование: 09 Декабря 2017, 14:50:34 от dogsleg »
 

Оффлайн ek-nfn

Re: Шифрование в Debian (корневой раздел, boot, swap, home)
« Ответ #6 : 09 Декабря 2017, 15:03:59 »
если вы зашифруете не только данные (допустим, номер вашей кредитной карты, что займёт, скажем, 100 КБ), но и шум (100 КБ полезной нагрузки среди 250 ГБ шума), разобраться будет намного сложнее.

Если так критично, то шифровать не каталоги и файлы, а использовать шифрованный контейнер любого приемлемого размера. В этом случае опять же нет нагрузки на систему шифрованием никому не нужных десятков тысяч файлов. А нагрузка при шифровании на систему есть. Особенно это заметно при обработке графики и видео, где и без шифрования забираются почти все ресурсы.
Debian 10 xfce
 

Оффлайн dogsleg

Re: Шифрование в Debian (корневой раздел, boot, swap, home)
« Ответ #7 : 09 Декабря 2017, 15:15:44 »
Вопрос-то был о том, как сделать, а не о то, подходит это или нет.

Оффлайн Ogis1975

Re: Шифрование в Debian (корневой раздел, boot, swap, home)
« Ответ #8 : 09 Декабря 2017, 15:37:42 »
ему будет очень сложно получить данные, хранящиеся на диске.
Это совсем несложно (для знающего человека). Поверь.
 

Оффлайн ek-nfn

Re: Шифрование в Debian (корневой раздел, boot, swap, home)
« Ответ #9 : 09 Декабря 2017, 15:45:38 »
Вопрос-то был о том, как сделать, а не о то, подходит это или нет.

нет.. вопрос, по которому мы с вами полемизируем, был такой
Цитировать
Только не понимаю, зачем это нужно....
И я также не понимаю, зачем простому пользователю шифровать всю систему, потерянный ноутбук которого, подберет дворник Вася с соответствующими познаниями в криптографии. Ему не система нужна будет, а лишь данные пользователя.

« Последнее редактирование: 09 Декабря 2017, 20:26:15 от ek-nfn »
Debian 10 xfce
 

Оффлайн CoolAller

Re: Шифрование в Debian (корневой раздел, boot, swap, home)
« Ответ #10 : 09 Декабря 2017, 15:51:53 »
Народ, кто-нибудь может внятно объяснить как сделать? Желательно в виде мануала, как сделать через установщик и с уже установленной системой. Во время установки я выбираю опцию использовать весь диск с шифрованием с размещением home на одном разделе. Потом выдаются созданные автоматически разделы, при этом, насколько я понял, ни boot ни swap не зашифрованы. Насколько я знаю, в GRUB2 нужно прописывать опцию для обращения к зашифрованному разделу boot для запроса пароля для доступа к дальнейшей инициализации ядра. Как это сделать и как включить шифрование для swap и boot?
Spoiler: ShowHide
« Последнее редактирование: 09 Декабря 2017, 16:11:32 от CoolAller »
 

Оффлайн dr_faust

Re: Шифрование в Debian (корневой раздел, boot, swap, home)
« Ответ #11 : 09 Декабря 2017, 19:27:55 »
Берем 2 флешки.
На 1 записываем образ дебиантовский.
На второй создаем раздел в мб 200, форматируем в какой-нибудь ext2/3/4. Сюды мы /boot поставим. Также /boot можно поставить на раздел на диске, однако в любом случае он должен быть не зашифрован. Вы, как я понимаю, труТЪ параноик, поэтому описываю трутЪ способ.
Загружаемся, не забывая воткнуть и вторую флешку.
При разметке выбираем раздел на влешке под /boot.
Диск же целиком криптуем, потом внутри создаем lvm-тома: root, home, swap, var или какие вам там разделы нужны. Монтируем их соответственно. Провкряем правильность и запускаем установку дебиана. Перезагружаемся, не забывая воткнуть флешку с загрузчиком, вводим пароль, заходим. Смотрим все ли работает.
На всякий пожарный делаем бэкап заголовка luks-тома
cryptsetup luksHeaderBackup /dev/sda --header-backup-file <файл бэкапа> У вас скорее всего так и будет /dev/sda. Шифруем файлик(можно тем же gpg, он во всех дистрах есть) и прячем в надежных местах(желательно таких мест несколько иметь)
Сама же загрузочная флешка легко восстанавливается. ничем не отличается от воссановления груба за тем исключением, что вам сразу надо будет расшифровать luks-том, инициализировать(
vgscan
vgchange -ay
)
 и примонтировать lvm-тома, в /etc/fstab указать новый uuid boot-раздела. Загрузочная запись записывается на флешку.
Надеюсь, все популярно расписал.
Debian 10. LXDE.
 
Пользователи, которые поблагодарили этот пост: CoolAller

Оффлайн CoolAller

Re: Шифрование в Debian (корневой раздел, boot, swap, home)
« Ответ #12 : 10 Декабря 2017, 00:35:38 »
dr_faust, а зачем это шаманство с выносом boot на флешку, если его можно зашифровать и оставить на том же носителе, что и вся система? GRUB2 же умеет обращаться к шифрованному разделу boot:
GRUB_ENABLE_CRYPTODISK=y
GRUB_CRYPTODISK_ENABLE=y
В общем, насколько я понял, средствами инсталлятора Debian нельзя сделать полное шифрование диска с /boot. Придется пробовать делать по этой инструкции, только предвижу, что гемороя там будет...

Кстати кто-нибудь знает, что происходит с блоками SSD при создании шифрованных разделов, когда инсталлятор "стирает" на нем данные? Видит ли он разницу между hdd и ssd или ему фиолетово?

Как в Debian добавить luks-ключ в initramfs? Нашел описание в мануале к archlinux и еще больше запутался. Может кто-нибудь пояснить как это сделать?

PS. Для арча кстати есть целый мануал по созданию полностью зашифрованного диска, жаль что для Debian такого нет.
« Последнее редактирование: 10 Декабря 2017, 15:40:39 от CoolAller »
 

Оффлайн dr_faust

Re: Шифрование в Debian (корневой раздел, boot, swap, home)
« Ответ #13 : 10 Декабря 2017, 15:48:58 »
dr_faust, а зачем это шаманство с выносом boot на флешку
На таможенных границах определенных государств любят изучать содержимое носителей информации.
Как, я понимаю, при использовании схемы с шифрованием /boot при включении пароль все равно предложит ввести. Гражданин таможенник повторит свою просьбу, а если не соглашишься, то кинут тебя, скуку такую, в иноземный абизянник.
В нашем же случае, перед пересечение границы мы просто форматируем флешку с загрузчиком и удаляем с харда luks-заголовок (с помощью dd, сколько там  бит нулями перезписать точно не помню). После же пересечения мы просто восстанавливем заголовок и загрузочную флешку( для этого ливсд надо, возможно нет)

, если его можно зашифровать и оставить на том же носителе, что и вся система?
1. Не знал. Спасибо за ссылку. Надо будет попробовать. Однако
2. От гражданина таможенника, как я понял, не поможет
3. Геморройно ручками делать
3.1. Не ну в начале пожно потратить пару часов на базовую установку и настройку, однако тот же initrd пересобирается при обновлении ядра, а в дебианте патчат ядро весьма часто. Что каждый раз ручками править? Да ну нафиг
3.2. Но больше всего в установке дистров ручками мне не нравиться необходимость ручками пакеты ставить, попутно разбираясь что надо, а что не очень. Мне бы перезагрузил - и графика есть, и нет искаропки, и раузер, чтобы возможные проблемы погуглить и т.д. А серьезно допиливать неделю это не по мне. У меня искаропки и то месяц до ума и до своих требований к юзабельности довожу.

В общем, насколько я понял, средствами инсталлятора Debian нельзя сделать полное шифрование диска с /boot.
ХЗ. Не приходило на ум такое попробовать, однако можете попытаться!

Придется пробовать делать по этой инструкции, только предвижу, что гемороя там будет...
Открою вам страшную тайну...
Spoiler: ShowHide

Страшную-страшную. Т.ч. сядьте поудобне, чтобы о косяк не удариться
[spoiler]
Вы можете помочь появлению сей функции в дебиане. Допилите инсталлятор и все. Мы вам все спасибо скажем!
И статейку по свои приключения написать можете. Мы ее также с удовольствием почитаем и, думаю, на дебиан вики с удовольствием разместят.
Дерзайте ;)
[/spoiler]
[/spoiler]

Cообщение объединено 10 Декабря 2017, 15:58:01
Я с загрузкой и ядром на уровне ввести такаю-то команду в консольке, поэтому за дурные вопросы не пинайте, а лучше проветите.
Я так понимаю при полном шифровании собственно из груба остается только mbr размером 512 байт(или 1 кбайт, не помню точно). И именно код, записанный туды, будет оуществлять расшифровку. Так?
« Последнее редактирование: 10 Декабря 2017, 15:58:01 от dr_faust »
Debian 10. LXDE.
 

Оффлайн CoolAller

Re: Шифрование в Debian (корневой раздел, boot, swap, home)
« Ответ #14 : 11 Декабря 2017, 17:29:51 »
dr_faust, причем тут initrd? В Debian же давно используют initramfs. После обновления ядра происходит и обновление initramfs и luks-ключи же от этого никуда не деваются, если я не прав, то поправьте.

По поводу всего остального, у меня проблема с наличием свободного времени, поэтому и задал вопрос на форуме.
 

Теги:
     

    Шифрование вместо окна входа

    Автор Linuxnoob

    Ответов: 19
    Просмотров: 2803
    Последний ответ 02 Июня 2017, 11:38:05
    от ChubaDuba
    Полное шифрование

    Автор F Nikolaev

    Ответов: 2
    Просмотров: 1708
    Последний ответ 14 Октября 2012, 17:13:15
    от F Nikolaev
    Шифрование файлов

    Автор kolts

    Ответов: 3
    Просмотров: 1110
    Последний ответ 07 Августа 2017, 19:39:37
    от ek-nfn
    шифрование диска

    Автор surfer

    Ответов: 10
    Просмотров: 1623
    Последний ответ 28 Декабря 2016, 05:50:39
    от oermolaev
    Шифрование диска с установленным debian.

    Автор malok

    Ответов: 3
    Просмотров: 658
    Последний ответ 25 Октября 2019, 16:46:58
    от alexxnight