Зашифровать разделы при установке

Автор Indigo, 13 мая 2019, 19:11:18

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

Indigo

Всем привет!

Возможно ли получить зашифрованные разделы сразу после установки в custom-режиме?

Если использовать LVM и весь диск, то проблем вроде бы нет: вот статья https://xo.tc/setting-up-full-disk-encryption-on-debian-9-stretch.html

А если я выделяю больше разделов и жёстко задаю их размеры? Почему инсталлятор не даёт мне возможность сделать их encrypted сразу?

Indigo

Цитата: symon2014 от 13 мая 2019, 20:25:36В инсталяторе паранойя не запрограммирована по умолчанию. Надо писать собственный установщик.

Ну, ёлки-палки :(

Хорошо, а если я сначала разобью диск в custom-режиме, чем потом правильно зашифровать всю систему (кроме /boot, конечно)?

Indigo

#2
symon2014, по-моему, никаких особенных словечек я не использовал.. Просто изначально я пришёл к выводу, что на домашней машины оптимально иметь /boot, /root/, /home, /tmp и /swap по отдельности. С тех пор так и повелось.
Посколько машина домашняя, контролировать состояние и размер всех разделов я вполне в состоянии самостоятельно, поэтому надобности в использовании LVM нет.
Отдавать ОСи диск полностью тоже нет желания.
Сейчас возникла необходимость хранить данные так, чтобы, если диск попадёт в чужие руки, на нём в принципе не смогли бы ничего прочитать. Бывает такая информация, разного рода.
Отсюда и мои вопросы.

Indigo

Цитата: symon2014 от 13 мая 2019, 22:13:09Я даже предположить не могу , где вы прочитали эту, мягко выражаясь, хренотень

Так, я в курсе, какую болтологию можно развить из темы выделения разделов. Давайте обойдёмся без этого.
Сколько-то лет назад я изучил порядочно источников (различные ситуации с крэшами разделов, дальнийшим их восстановлением, скоростью доступа и т.д. и т.п.), и тогда пришёл к этой разбивке.
Цель же свою я уже указал:

Цитата: Indigo от 13 мая 2019, 22:03:32Сейчас возникла необходимость хранить данные так, чтобы, если диск попадёт в чужие руки, на нём в принципе не смогли бы ничего прочитать. Бывает такая информация, разного рода.

По-моему, всё предельно ясно.

P.S. Кстати, судя по скрину установщика девятки в статье, в нём даётся возможность вынести только /home, /var и /tmp. Или я что-то неправильно понял?

Indigo

symon2014, если я решил что-то вынести - значит, на то была причина. Необязательно крэш. Это ясно из моего ответа. Если Вам нечего сказать по делу, или Вы решили зафлудить тему, давайте заканчим этот разговор.

G_r_i_g_a

#5
Цитата: Indigo от 13 мая 2019, 19:11:18Возможно ли получить зашифрованные разделы сразу после установки
Можно зашифровать их отдельно, если есть необходимость. Но на мой взгляд практичнее будет шифровать не весь диск, а только отдельные разделы, н-р, хомяка, или какой-нибудь раздел с данными. Остальное же оставить как есть, без шифрования. Потому что, если зашифровать все, то при возникновении проблем, допустим при обновлении, проще снести систему, чем восстановить шифрованную. Соответственно, данные будут потеряны. Если хочешь "конфиденциальности" - не используй пк как средство хранения информации, в частности не используй на нем интернет. Шифрование "защитит" только от таких как мы, а кто в этом шарит - тому шифрование не создаст особых трудностей при получении с диска информации. При работе пк получить информацию вообще не составит труда, потому что твой шифрованный раздел будет подключен.
В шифровании тебе поможет cryptsetup. В вики когда то была статья о нем.

Indigo

#6
G_r_i_g_a, спасибо за ответ по существу.
Я даже пока не в курсе, какой алгоритм используется при установке. Если он стойкий, то почему он не защитит от более серьёзных угроз?
Все данные можно условно разделить на статичные и динамические (с которыми активно работаешь: загружаешь в разные программы, изменяешь и т.п.). Для первых я бы просто создал отдельный раздел и зашифровал бы его Трукриптом.
Система же шифруется для работы с динамическими данными. Чтобы обрывки этих данных нельзя было сходу достать из свопа, временных файлов отдельных программ, а имена файлов нельзя было сходу выковырять из файловой системы. Подключён комп к сети или нет - это дело десятое.

Цитата: symon2014 от 13 мая 2019, 22:43:30или всё делать ручкками

Судя по всему, так и придётся делать.

G_r_i_g_a

#7
Цитата: Indigo от 13 мая 2019, 23:10:57Чтобы обрывки этих данных нельзя было сходу достать из свопа, временных файлов отдельных программ, а имена файлов нельзя было сходу выковырять из файловой системы.
Тогда надо более серьезно подойти к вопросу и, допустим, если шифровать все полностью, то выносить ключ шифрования и загрузочный раздел на съемный носитель, при этом не забывая обязательно сделать бэкап носителя.
Цитата: Indigo от 13 мая 2019, 23:10:57Если он стойкий, то почему он не защитит от более серьёзных угроз?
Потому что на работающем ПК можно сделать дамп оперативы, извлечь ключ и расшифровать данные.
Цитата: Indigo от 13 мая 2019, 23:10:57Судя по всему, так и придётся делать.
Если ключ и загрузчик на флешку, то в любом случае все придется делать ручками.
Тут еще надо учесть, что шифрованная система работает чуть медленнее, а в случае потери носителя или падения системы, со многими данными возможно придется расстаться.

Indigo

Цитата: G_r_i_g_a от 13 мая 2019, 23:34:21если шифровать все полностью, то выносить ключ шифрования и загрузочный раздел на съемный носитель, при этом не забывая обязательно сделать бэкап носителя.

Шифровать /boot, насколько я понимаю, как раз необязательно, главное чтобы сама ось не загружалась без ввода пассфразы.

Цитата: G_r_i_g_a от 13 мая 2019, 23:34:21Потому что на работающем ПК

На работающей машине можно много чего сделать. Мы говорим о ситуации, когда она либо выключена, либо в чужие руки попал только диск с системой.


Если кто-то ещё заинтересуется темой, даю ссылку на интересный материал. У меня тоже UEFI, так что буду разбираться.
https://meet-unix.org/2017-04-14-fde_with_uefi.html


alexxnight

Если у Вас микрокод материнской платы UEFI, то у Вас 2 раздела точно будут не зашифрованы:
esp и /boot
остальное можно зашифровать.

Если Вы будете использовать микрокод BIOS или UEFI legacy support, то Вы можете зашифровать весь диск. Это наиболее безопасный вариант в случае, если Вы опасаетесь, что диск попадет в чужие руки...

Если Вы не хотите выделить весь диск под шифрование, то создайте раздел под шифрование. Далее или из под установщика, или в ручном режиме из LiveCD, установите систему на LVM, которая будет поверх зашифрованного раздела. Это позволит создать столько LVM томов, сколько нужно, под любые точки монтирования...
для более подробного разбора, могу скинуть ссылку на видео.

qupl

* сообщения symon2014 удалены, ему выписано +20% предупреждений за флуд, qupl

ek-nfn

при установке шифруется любой раздел, включая и будущий swap. Кроме boot. После шифрования указываешь в каких разделах будут размещены части системы (home, / ... и т.д.). При запуске системы (после меню) последовательно вводишь пароли всех зашифрованных разделов.
Debian 11 xfce

Indigo

#12
Любопытно, кому-нибудь удалось уйти дальше сообщения "No root file system"?



Установка в полностью ручном режиме, без LVM.

И ещё один интересный момент: изначально планировалась разбивка

/swap (primary)
/tmp (logical)
/root (primary)
/boot (primary)
/home (logical)

/swap и /root делаем primary. Система UEFI, => где-то на диске валяется ещё одна, пока невидимая в установщике, primary-партиция. Как только создаём /boot, который автоматически тоже делается primary, весь остаток диска становится unusable, и привет -- никакого /home мы уже создать не можем.

Однако, если размечать диск в другой последовательности

/swap (primary)
/root (primary)
/boot (primary)
/tmp (logical)
/home (logical)

эта проблема не возникает.

P.S. Тип партиций дописал в списке позже, для наглядности.

alexxnight

Вы сами себе проблемы в будущем создаете...
Вы сделали 5 разделов, зашифровали их. А когда нужно будет изменить размер раздела, что делать? И при загрузке 5 раз нужно пароль вводить для расшифровки этих разделов...

Indigo

Да, паролей придётся вводить по числу зашифрованных разделов -- это факт. По этой причине Вы предлагаете делать систему одним разделом?

И так ли часто на домашней машине неожиданно возникает необходимость увеличить какой-то раздел? LVM -- относительно недавнее изобретение. Как раньше жили?