Автор Тема: Зашифровать разделы при установке  (Прочитано 6278 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Indigo

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 30
Всем привет!

Возможно ли получить зашифрованные разделы сразу после установки в custom-режиме?

Если использовать LVM и весь диск, то проблем вроде бы нет: вот статья https://xo.tc/setting-up-full-disk-encryption-on-debian-9-stretch.html

А если я выделяю больше разделов и жёстко задаю их размеры? Почему инсталлятор не даёт мне возможность сделать их encrypted сразу?
 

Оффлайн Indigo

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 30
Re: Зашифровать разделы при установке
« Ответ #1 : 13 Май 2019, 21:09:43 »
В инсталяторе паранойя не запрограммирована по умолчанию. Надо писать собственный установщик.

Ну, ёлки-палки :(

Хорошо, а если я сначала разобью диск в custom-режиме, чем потом правильно зашифровать всю систему (кроме /boot, конечно)?
 

Оффлайн Indigo

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 30
Re: Зашифровать разделы при установке
« Ответ #2 : 13 Май 2019, 22:03:32 »
symon2014, по-моему, никаких особенных словечек я не использовал.. Просто изначально я пришёл к выводу, что на домашней машины оптимально иметь /boot, /root/, /home, /tmp и /swap по отдельности. С тех пор так и повелось.
Посколько машина домашняя, контролировать состояние и размер всех разделов я вполне в состоянии самостоятельно, поэтому надобности в использовании LVM нет.
Отдавать ОСи диск полностью тоже нет желания.
Сейчас возникла необходимость хранить данные так, чтобы, если диск попадёт в чужие руки, на нём в принципе не смогли бы ничего прочитать. Бывает такая информация, разного рода.
Отсюда и мои вопросы.
« Последнее редактирование: 13 Май 2019, 22:08:17 от Indigo »
 

Оффлайн Indigo

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 30
Re: Зашифровать разделы при установке
« Ответ #3 : 13 Май 2019, 22:22:03 »
Я даже предположить не могу , где вы прочитали эту, мягко выражаясь, хренотень

Так, я в курсе, какую болтологию можно развить из темы выделения разделов. Давайте обойдёмся без этого.
Сколько-то лет назад я изучил порядочно источников (различные ситуации с крэшами разделов, дальнийшим их восстановлением, скоростью доступа и т.д. и т.п.), и тогда пришёл к этой разбивке.
Цель же свою я уже указал:

Сейчас возникла необходимость хранить данные так, чтобы, если диск попадёт в чужие руки, на нём в принципе не смогли бы ничего прочитать. Бывает такая информация, разного рода.

По-моему, всё предельно ясно.

P.S. Кстати, судя по скрину установщика девятки в статье, в нём даётся возможность вынести только /home, /var и /tmp. Или я что-то неправильно понял?
 

Оффлайн Indigo

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 30
Re: Зашифровать разделы при установке
« Ответ #4 : 13 Май 2019, 22:36:06 »
symon2014, если я решил что-то вынести - значит, на то была причина. Необязательно крэш. Это ясно из моего ответа. Если Вам нечего сказать по делу, или Вы решили зафлудить тему, давайте заканчим этот разговор.
 

Оффлайн G_r_i_g_a

  • Местный житель
  • ***
  • Сообщений: 303
Re: Зашифровать разделы при установке
« Ответ #5 : 13 Май 2019, 22:41:36 »
Возможно ли получить зашифрованные разделы сразу после установки
Можно зашифровать их отдельно, если есть необходимость. Но на мой взгляд практичнее будет шифровать не весь диск, а только отдельные разделы, н-р, хомяка, или какой-нибудь раздел с данными. Остальное же оставить как есть, без шифрования. Потому что, если зашифровать все, то при возникновении проблем, допустим при обновлении, проще снести систему, чем восстановить шифрованную. Соответственно, данные будут потеряны. Если хочешь "конфиденциальности" - не используй пк как средство хранения информации, в частности не используй на нем интернет. Шифрование "защитит" только от таких как мы, а кто в этом шарит - тому шифрование не создаст особых трудностей при получении с диска информации. При работе пк получить информацию вообще не составит труда, потому что твой шифрованный раздел будет подключен.
В шифровании тебе поможет cryptsetup. В вики когда то была статья о нем.
« Последнее редактирование: 13 Май 2019, 22:46:23 от G_r_i_g_a »
 

Оффлайн Indigo

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 30
Re: Зашифровать разделы при установке
« Ответ #6 : 13 Май 2019, 23:10:57 »
G_r_i_g_a, спасибо за ответ по существу.
Я даже пока не в курсе, какой алгоритм используется при установке. Если он стойкий, то почему он не защитит от более серьёзных угроз?
Все данные можно условно разделить на статичные и динамические (с которыми активно работаешь: загружаешь в разные программы, изменяешь и т.п.). Для первых я бы просто создал отдельный раздел и зашифровал бы его Трукриптом.
Система же шифруется для работы с динамическими данными. Чтобы обрывки этих данных нельзя было сходу достать из свопа, временных файлов отдельных программ, а имена файлов нельзя было сходу выковырять из файловой системы. Подключён комп к сети или нет - это дело десятое.

или всё делать ручкками

Судя по всему, так и придётся делать.
« Последнее редактирование: 13 Май 2019, 23:13:02 от Indigo »
 

Оффлайн G_r_i_g_a

  • Местный житель
  • ***
  • Сообщений: 303
Re: Зашифровать разделы при установке
« Ответ #7 : 13 Май 2019, 23:34:21 »
Чтобы обрывки этих данных нельзя было сходу достать из свопа, временных файлов отдельных программ, а имена файлов нельзя было сходу выковырять из файловой системы.
Тогда надо более серьезно подойти к вопросу и, допустим, если шифровать все полностью, то выносить ключ шифрования и загрузочный раздел на съемный носитель, при этом не забывая обязательно сделать бэкап носителя.
Если он стойкий, то почему он не защитит от более серьёзных угроз?
Потому что на работающем ПК можно сделать дамп оперативы, извлечь ключ и расшифровать данные.
Судя по всему, так и придётся делать.
Если ключ и загрузчик на флешку, то в любом случае все придется делать ручками.
Тут еще надо учесть, что шифрованная система работает чуть медленнее, а в случае потери носителя или падения системы, со многими данными возможно придется расстаться.
« Последнее редактирование: 13 Май 2019, 23:37:59 от G_r_i_g_a »
 

Оффлайн Indigo

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 30
Re: Зашифровать разделы при установке
« Ответ #8 : 13 Май 2019, 23:48:44 »
если шифровать все полностью, то выносить ключ шифрования и загрузочный раздел на съемный носитель, при этом не забывая обязательно сделать бэкап носителя.

Шифровать /boot, насколько я понимаю, как раз необязательно, главное чтобы сама ось не загружалась без ввода пассфразы.

Потому что на работающем ПК

На работающей машине можно много чего сделать. Мы говорим о ситуации, когда она либо выключена, либо в чужие руки попал только диск с системой.


Если кто-то ещё заинтересуется темой, даю ссылку на интересный материал. У меня тоже UEFI, так что буду разбираться.
https://meet-unix.org/2017-04-14-fde_with_uefi.html

 

Оффлайн alexxnight

  • Местный житель
  • ***
  • Сообщений: 120
Re: Зашифровать разделы при установке
« Ответ #9 : 14 Май 2019, 00:47:04 »
Если у Вас микрокод материнской платы UEFI, то у Вас 2 раздела точно будут не зашифрованы:
esp и /boot
остальное можно зашифровать.

Если Вы будете использовать микрокод BIOS или UEFI legacy support, то Вы можете зашифровать весь диск. Это наиболее безопасный вариант в случае, если Вы опасаетесь, что диск попадет в чужие руки...

Если Вы не хотите выделить весь диск под шифрование, то создайте раздел под шифрование. Далее или из под установщика, или в ручном режиме из LiveCD, установите систему на LVM, которая будет поверх зашифрованного раздела. Это позволит создать столько LVM томов, сколько нужно, под любые точки монтирования...
для более подробного разбора, могу скинуть ссылку на видео.
 

Оффлайн qupl

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 5025
  • memento mori
  • Jabber: qupl@jabber.ru
Re: Зашифровать разделы при установке
« Ответ #10 : 14 Май 2019, 12:43:57 »
* сообщения symon2014 удалены, ему выписано +20% предупреждений за флуд, qupl

Оффлайн ek-nfn

  • Devuan ASCII x64
  • Местный житель
  • ***
  • Сообщений: 249
Re: Зашифровать разделы при установке
« Ответ #11 : 14 Май 2019, 13:45:36 »
при установке шифруется любой раздел, включая и будущий swap. Кроме boot. После шифрования указываешь в каких разделах будут размещены части системы (home, / ... и т.д.). При запуске системы (после меню) последовательно вводишь пароли всех зашифрованных разделов.
 

Оффлайн Indigo

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 30
Re: Зашифровать разделы при установке
« Ответ #12 : 17 Май 2019, 18:45:25 »
Любопытно, кому-нибудь удалось уйти дальше сообщения "No root file system"?



Установка в полностью ручном режиме, без LVM.

И ещё один интересный момент: изначально планировалась разбивка

/swap (primary)
/tmp (logical)
/root (primary)
/boot (primary)
/home (logical)

/swap и /root делаем primary. Система UEFI, => где-то на диске валяется ещё одна, пока невидимая в установщике, primary-партиция. Как только создаём /boot, который автоматически тоже делается primary, весь остаток диска становится unusable, и привет -- никакого /home мы уже создать не можем.

Однако, если размечать диск в другой последовательности

/swap (primary)
/root (primary)
/boot (primary)
/tmp (logical)
/home (logical)

эта проблема не возникает.

P.S. Тип партиций дописал в списке позже, для наглядности.
« Последнее редактирование: 17 Май 2019, 19:13:12 от Indigo »
 

Оффлайн alexxnight

  • Местный житель
  • ***
  • Сообщений: 120
Re: Зашифровать разделы при установке
« Ответ #13 : 17 Май 2019, 22:34:16 »
Вы сами себе проблемы в будущем создаете...
Вы сделали 5 разделов, зашифровали их. А когда нужно будет изменить размер раздела, что делать? И при загрузке 5 раз нужно пароль вводить для расшифровки этих разделов...
 

Оффлайн Indigo

  • Пользователь
  • *
  • Topic Author
  • Сообщений: 30
Re: Зашифровать разделы при установке
« Ответ #14 : 18 Май 2019, 11:48:53 »
Да, паролей придётся вводить по числу зашифрованных разделов -- это факт. По этой причине Вы предлагаете делать систему одним разделом?

И так ли часто на домашней машине неожиданно возникает необходимость увеличить какой-то раздел? LVM -- относительно недавнее изобретение. Как раньше жили?
 

Теги: