Шифрование в Debian (корневой раздел, boot, swap, home)

[dr_faust]

dr_faust, причем тут initrd? В Debian же давно используют initramfs.

Имел ввиду файлик /boot/initrd.img-
Насколько я понял из вашей ссылки, мы к нему вручную ключик добавляем. А если так, то после обновления адра и автоматического обновления сего файлика, ключик теряется.
А luks-ключики хранятся в самом начале luks-раздела.
Примечание. Допускаю, что сам что-то не так понял. Если дело обстоит менно таким образом, прошу наставить на путь истинный максимально популярно.

По поводу всего остального, у меня проблема с наличием свободного времени, поэтому и задал вопрос на форуме.

Постучитесь в сообщества kali linux. Сам туды не лазил никогда, то видел пару интересных штук по шифрованию ихней оси. Может они что-то подскажут. Тем более ихняя ось основана на стабильном дебиане(правда не знаю насколько пропатченом).
А тут такие хардкорные трутЪ параноики, видимо, не сидят.
Если чего интересного по теме узнаете, то черкните статейку, мы ее с бооольшим удовольствием почитаем

[Juriy]

dr_faust
С шифрованием навряд ли я Вам смогу помочь, но читая тему возникли вопросы.
1) На кой Вам шифровать корень, boot и тем более swap.
2) По чему не сделать образ /home  с помощью fsarchiver (он сожмет его), запаковать в архив под паролем, разбить на части и залить на разные облака. После границы собрать и восстановить. А таможенник пущай лазиет в чистом debian.

dr_faust

Просветите где такие границы, можно в лс, мало ли...

[свернуть]

[dr_faust]

dr_faust
С шифрованием навряд ли я Вам смогу помочь,

С шифрование помощь не мне, а CoolAller требуется. Хочет он еще и boot шифрануть, но мы не знаем как сие на дебиане делается.

1) На кой Вам шифровать корень, boot и тем более swap.

Свап обязательно ибо всякие пароли и прочие чувствительные данные могут там лежать.
Корень? Дык может у вас на дебиане какой-нибудь террористический тор, айтупи установлен. Или фаер очень жесткий. Или в либреофисе в последних документах файлик с подозрительным названием висит. И много чего такого. Знаете, возникают вопросы, а зачем законопослушной абизянке такие правила. Кажется, что так глубоко лезть не будут? А хз, все от тех. грамотности и установленной начальством степени параноидальности таможенника зависит.
Boot? Честно говоря, я в линуксах не сильный спец, поэтому сказать, что можно вытянуть с boot не могу. Вопрос к здешним знатокам. Гражданину таможеннику, ну это я так думаю, он может быть интересен лишь в качестве свидетельства, указывающего на наличие операционки на ноуте(а зачем тогда этот чувак с собой такую флешку носит?)

2) По чему не сделать образ /home  с помощью fsarchiver (он сожмет его), запаковать в архив под паролем, разбить на части и залить на разные облака. После границы собрать и восстановить. А таможенник пущай лазиет в чистом debian.

1. См. выше.
2. Хомяк и весьма большим может быть, несколько сотен гигов.
3. Про прогу вашу погуглю, может для чего-нибудь другого пригодится.

Juriy

Про страны. Те же штаты, в ихних нпа даже прописано такое право таможни. Не дашь пароли - в абизяник.
Израильские таможенники ну очень суровы. Все что угодно могут проверить и не пустить только потому, что подозрительным показался. Впрочем, думаю, с этими фокус с чистым диском не пройдет/
По сути, такое потребовать может таможенник любой страны. Случился какой-нибудь терракт, как следствие, резко подняли параноидальность силовиков - вот и будут шмонать.
Ничего тут секретно-конфеденциального с привкусом инсайда нет. Инфа хорошо известная.

[свернуть]

[Juriy]

Извиняюсь, что в вопросе адресатом ошибся.
Не спорю, причины разные могут быть. Я просто на вопрос смотрю со своей колокольни у ТС своя.
Нужные проги можно и в /home сложить в виде пакетов, потом доставить.
Свап вообще спорный вопрос, лично пару лет не пользуюсь, и все тмп в памяти. Но почему бы его по приезду не подключить, если нужен?
/home большой, ну так тем более своё облако развернуть и выкачать.
ИМХО не загружающаяся ОС и шифрование вызовут большее подозрение чем чистая ОС. (не знал к чему можете придраться вот и накатил ОС заново)

[Testing]

Всем привет!

Полное шифрование диска:
- для Arch Linux - http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/
- для Debian based - http://www.pavelkogan.com/2015/01/25/linux-mint-encryption/

[CoolAller]

Testing, спасибо, посмотрю.

поэтому сказать, что можно вытянуть с boot не могу

Теоретически его можно модифицировать и кейлоггер добавить. Если человек не имеет глубоких познаний в криптологии, а предмет этот очень сложный, то единственное, что он может сделать это шифровать все и только надеяться на стойкость метода шифрования. Вариант с бутом на флешке тоже нормальный, но просто влом таскать за собой еще что-то кроме самого зашифрованного диска или ноута.

[vic5710]

имхо лучший вариант - не класть все яйца в одну корзину. что мешает хранить конф. данные на шифрованной cdcard например?
шифрование всего диска привлечет к вам излишнее внимание

[dr_faust]

Нужные проги можно и в /home сложить в виде пакетов, потом доставить.

А еще зависимости, конфиги и т.п.

Свап вообще спорный вопрос, лично пару лет не пользуюсь, и все тмп в памяти. Но почему бы его по приезду не подключить, если нужен?

На ноуте как бэ рекомендуется на случай гибернации(или как этот режим называется, не помню)
Можно и подключить. Можно вообще в файл смонтировать.

/home большой, ну так тем более своё облако развернуть и выкачать.

Опять же можно.
Только в вашем варианте есть один большой недостаток: геморройно. И не быстро.

ИМХО не загружающаяся ОС и шифрование вызовут большее подозрение чем чистая ОС. (не знал к чему можете придраться вот и накатил ОС заново)

При моем варианте таможенник увидит лишь чистый диск(правда перед установкой оси надо диск нулями забить). Да подозрительно, но в тех же штатах врятли завернут. Возможно, при спец. исследовании можно определить, что там что-то шифровано, но так...
Cообщение объединено 12 декабря 2017, 17:43:36
Testing, спасибо) попробуем.

имхо лучший вариант - не класть все яйца в одну корзину. что мешает хранить конф. данные на шифрованной cdcard например?
шифрование всего диска привлечет к вам излишнее внимание

Настоящие труЪ параноики наиболее ценные данные хранят отдельно. Допустим, архивчик зашифрованный в облаке или флешка в укромном месте.

[gardarea51]

Тру параноик выносит /boot на отдельную флешку и сверяет контрольную сумму файлов в /boot до ввода пароля.
Или же держит на флешке файл ключей и также сверяет контрольную сумму файлов в /boot.
Кажется так 

[vic5710]

Настоящие труЪ параноики наиболее ценные данные хранят отдельно. Допустим, архивчик зашифрованный в облаке или флешка в укромном месте.

о том и речь. у меня постоянно в буке sdcard на 128 гиг втыкнута, в любой момент ее выдерну/вставлю

[Testing]

Для труЪ этого еще мало.
Читаем еще тут и тут.

[gardarea51]

Очень интересное чтиво.. 

[Testing]

Если очень интересно, тогда еще добавлю. 
https://www.cryfs.org/comparison

[dr_faust]

Тру параноик выносит /boot на отдельную флешку и сверяет контрольную сумму файлов в /boot до ввода пароля.
Или же держит на флешке файл ключей и также сверяет контрольную сумму файлов в /boot.
Кажется так 

А не подскажите, как реализовать сверку без ОС? Тут же сначала с livecd запуститься надо.