Шифрование в Debian (корневой раздел, boot, swap, home)

Автор CoolAller, 08 декабря 2017, 16:37:59

« назад - далее »

0 Пользователи и 7 гостей просматривают эту тему.

dr_faust

Цитата: CoolAller от 11 декабря 2017, 17:29:51
dr_faust, причем тут initrd? В Debian же давно используют initramfs.
Имел ввиду файлик /boot/initrd.img-
Насколько я понял из вашей ссылки, мы к нему вручную ключик добавляем. А если так, то после обновления адра и автоматического обновления сего файлика, ключик теряется.
А luks-ключики хранятся в самом начале luks-раздела.
Примечание. Допускаю, что сам что-то не так понял. Если дело обстоит менно таким образом, прошу наставить на путь истинный максимально популярно. :)
Цитата: CoolAller от 11 декабря 2017, 17:29:51
По поводу всего остального, у меня проблема с наличием свободного времени, поэтому и задал вопрос на форуме.
Постучитесь в сообщества kali linux. Сам туды не лазил никогда, то видел пару интересных штук по шифрованию ихней оси. Может они что-то подскажут. Тем более ихняя ось основана на стабильном дебиане(правда не знаю насколько пропатченом).
А тут такие хардкорные трутЪ параноики, видимо, не сидят.
Если чего интересного по теме узнаете, то черкните статейку, мы ее с бооольшим удовольствием почитаем ;)
Devuan 4. Debian 12. LXDE.

Juriy

dr_faust
С шифрованием навряд ли я Вам смогу помочь, но читая тему возникли вопросы.
1) На кой Вам шифровать корень, boot и тем более swap.
2) По чему не сделать образ /home  с помощью fsarchiver (он сожмет его), запаковать в архив под паролем, разбить на части и залить на разные облака. После границы собрать и восстановить. А таможенник пущай лазиет в чистом debian.
dr_faust
Просветите где такие границы, можно в лс, мало ли...
[свернуть]

dr_faust

#17
Цитата: Juriy от 11 декабря 2017, 19:45:41
dr_faust
С шифрованием навряд ли я Вам смогу помочь,
С шифрование помощь не мне, а CoolAller требуется. Хочет он еще и boot шифрануть, но мы не знаем как сие на дебиане делается. :(

Цитата: Juriy от 11 декабря 2017, 19:45:41
1) На кой Вам шифровать корень, boot и тем более swap.
Свап обязательно ибо всякие пароли и прочие чувствительные данные могут там лежать.
Корень? Дык может у вас на дебиане какой-нибудь террористический тор, айтупи установлен. Или фаер очень жесткий. Или в либреофисе в последних документах файлик с подозрительным названием висит. И много чего такого. Знаете, возникают вопросы, а зачем законопослушной абизянке такие правила. Кажется, что так глубоко лезть не будут? А хз, все от тех. грамотности и установленной начальством степени параноидальности таможенника зависит.
Boot? Честно говоря, я в линуксах не сильный спец, поэтому сказать, что можно вытянуть с boot не могу. Вопрос к здешним знатокам. Гражданину таможеннику, ну это я так думаю, он может быть интересен лишь в качестве свидетельства, указывающего на наличие операционки на ноуте(а зачем тогда этот чувак с собой такую флешку носит?)
Цитата: Juriy от 11 декабря 2017, 19:45:41
2) По чему не сделать образ /home  с помощью fsarchiver (он сожмет его), запаковать в архив под паролем, разбить на части и залить на разные облака. После границы собрать и восстановить. А таможенник пущай лазиет в чистом debian.
1. См. выше.
2. Хомяк и весьма большим может быть, несколько сотен гигов.
3. Про прогу вашу погуглю, может для чего-нибудь другого пригодится.
Juriy

Про страны. Те же штаты, в ихних нпа даже прописано такое право таможни. Не дашь пароли - в абизяник.
Израильские таможенники ну очень суровы. Все что угодно могут проверить и не пустить только потому, что подозрительным показался. Впрочем, думаю, с этими фокус с чистым диском не пройдет/
По сути, такое потребовать может таможенник любой страны. Случился какой-нибудь терракт, как следствие, резко подняли параноидальность силовиков - вот и будут шмонать.
Ничего тут секретно-конфеденциального с привкусом инсайда нет. Инфа хорошо известная.
[свернуть]
Devuan 4. Debian 12. LXDE.

Juriy

Извиняюсь, что в вопросе адресатом ошибся.
Не спорю, причины разные могут быть. Я просто на вопрос смотрю со своей колокольни у ТС своя.
Нужные проги можно и в /home сложить в виде пакетов, потом доставить.
Свап вообще спорный вопрос, лично пару лет не пользуюсь, и все тмп в памяти. Но почему бы его по приезду не подключить, если нужен?
/home большой, ну так тем более своё облако развернуть и выкачать.
ИМХО не загружающаяся ОС и шифрование вызовут большее подозрение чем чистая ОС. (не знал к чему можете придраться вот и накатил ОС заново)

Testing


CoolAller

#20
Testing, спасибо, посмотрю.

Цитата: dr_faust от 12 декабря 2017, 10:25:17поэтому сказать, что можно вытянуть с boot не могу
Теоретически его можно модифицировать и кейлоггер добавить. Если человек не имеет глубоких познаний в криптологии, а предмет этот очень сложный, то единственное, что он может сделать это шифровать все и только надеяться на стойкость метода шифрования. Вариант с бутом на флешке тоже нормальный, но просто влом таскать за собой еще что-то кроме самого зашифрованного диска или ноута.

vic5710

имхо лучший вариант - не класть все яйца в одну корзину. что мешает хранить конф. данные на шифрованной cdcard например?
шифрование всего диска привлечет к вам излишнее внимание

dr_faust

#22
Цитата: Juriy от 12 декабря 2017, 11:34:25
Нужные проги можно и в /home сложить в виде пакетов, потом доставить.
А еще зависимости, конфиги и т.п.
Цитата: Juriy от 12 декабря 2017, 11:34:25
Свап вообще спорный вопрос, лично пару лет не пользуюсь, и все тмп в памяти. Но почему бы его по приезду не подключить, если нужен?
На ноуте как бэ рекомендуется на случай гибернации(или как этот режим называется, не помню)
Можно и подключить. Можно вообще в файл смонтировать.
Цитата: Juriy от 12 декабря 2017, 11:34:25
/home большой, ну так тем более своё облако развернуть и выкачать.
Опять же можно.
Только в вашем варианте есть один большой недостаток: геморройно. И не быстро.
Цитата: Juriy от 12 декабря 2017, 11:34:25
ИМХО не загружающаяся ОС и шифрование вызовут большее подозрение чем чистая ОС. (не знал к чему можете придраться вот и накатил ОС заново)
При моем варианте таможенник увидит лишь чистый диск(правда перед установкой оси надо диск нулями забить). Да подозрительно, но в тех же штатах врятли завернут. Возможно, при спец. исследовании можно определить, что там что-то шифровано, но так...

Cообщение объединено 12 декабря 2017, 17:43:36

Testing, спасибо) попробуем.
Цитата: vic5710 от 12 декабря 2017, 17:25:30
имхо лучший вариант - не класть все яйца в одну корзину. что мешает хранить конф. данные на шифрованной cdcard например?
шифрование всего диска привлечет к вам излишнее внимание
Настоящие труЪ параноики наиболее ценные данные хранят отдельно. Допустим, архивчик зашифрованный в облаке или флешка в укромном месте.
Devuan 4. Debian 12. LXDE.

gardarea51

Тру параноик выносит /boot на отдельную флешку и сверяет контрольную сумму файлов в /boot до ввода пароля.
Или же держит на флешке файл ключей и также сверяет контрольную сумму файлов в /boot.
Кажется так  ;D

vic5710

Цитата: dr_faust от 12 декабря 2017, 17:38:01Настоящие труЪ параноики наиболее ценные данные хранят отдельно. Допустим, архивчик зашифрованный в облаке или флешка в укромном месте.
о том и речь. у меня постоянно в буке sdcard на 128 гиг втыкнута, в любой момент ее выдерну/вставлю

Testing


gardarea51


Testing


dr_faust

Цитата: gardarea51 от 14 декабря 2017, 07:32:03
Тру параноик выносит /boot на отдельную флешку и сверяет контрольную сумму файлов в /boot до ввода пароля.
Или же держит на флешке файл ключей и также сверяет контрольную сумму файлов в /boot.
Кажется так  ;D
А не подскажите, как реализовать сверку без ОС? Тут же сначала с livecd запуститься надо.
Devuan 4. Debian 12. LXDE.