Полнодисковое шифрование LUKS(dm-crypt)

Автор Argos, 07 декабря 2024, 19:21:02

« назад - далее »

0 Пользователи и 8 гостей просматривают эту тему.

Argos

Здравствуйте, помогите разобраться в паре моментов. 1) При шифровании (используя cryptsetup) раздела nvme0n1 шифрование же происходит всех трёх подразделов(т.е nvme0n1p1, nvme0n1p2, nvme0n1p3). Но в nvme0n1p1 содержится  загрузчик, следовательно если его зашифровать, потом даже не сможем получить доступ к окну для ввода пароля для монтирования, так как начальной загрузки не будет. (если это конечно так работает:). 2) Исходя из предыдущего пункта могу предположить что нужно шифровать nvme0n1p2 и nvme0n1p1(где находится загрузчик) по отдельности. Но с помощью чего тогда шифровать загрузчик? Или всё тем же методом? 3) Тут речь про SWAP(находится он в nvme0n1p3). Можно ли его удалить впринципе, так как оперативной памяти достаточно? 4) У меня есть ещё sda раздел, который мне тоже хотелось бы зашифровать, но два разных ключа для монтирования каждого раздела звучит так себе. Поэтому можно ли использовать ключ/ключевой файл, созданный при шифрование раздела nvme0n1 для шифрования sda?

dr_faust

#1
Как шифровать тут: https://debianforum.ru/index.php/topic,17908.0.html

07 декабря 2024, 20:15:04
Swap можно отключить, если не надо. Закомментиь\удалить оотвествущую строчку в fstab.
Devuan 4. Debian 12. LXDE.

dzhoser

1. Зачем шифровать загрузчик там нет чувствительных данных
2. В Swap могут попасть чувствительные данные такие как логины и пароли
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

Лия


koshak83

#4
Цитата: dr_faust от 07 декабря 2024, 20:13:14Как шифровать тут: https://debianforum.ru/index.php/topic,17908.0.html

07 декабря 2024, 20:15:04
Swap можно отключить, если не надо. Закомментиь\удалить оотвествущую строчку в fstab.

О, спасибо. Как то пропустил.  :)
Конституция СССР 1977 года.
Всесоюзный референдум о сохранении СССР 1991 года: Да- 76.4%, Нет- 21.7%, Признаны недействительными- 1.9%, Явка избирателей- 80.0%.

dr_faust

#5
Цитата: dzhoser от 07 декабря 2024, 21:35:031. Зачем шифровать загрузчик там нет чувствительных данных


Вроде теоретически можно подменить образ ядра. Это открывает полный доступ ко всей системе.

08 декабря 2024, 12:50:10
Цитата: Лия от 07 декабря 2024, 23:34:34
Цитата: dzhoser от 07 декабря 2024, 21:35:03Swap
Совсем без swap не рекомендуется, можно
sudo apt install zram-tools

Допустим, swap не будет. На что это повлияет кроме как полную утерю данных при внезптном отключении элетичества и неподдержку режима гибернации?
zram. Глянул мельком. Никак не могу понять зачем в оперативке создавать временый раздел подкачки, тем самым занимая место свободной оперативной памяти, когда можно просто использовать оперативку по ее прямому назначению.
Devuan 4. Debian 12. LXDE.

dzhoser

1. Вопрос подмены решается паролем на bios и паролем на grub.
2. В любом случае если есть физический доступ к компу все можно взломать и расшифровать весь вопрос в критичности данных наличия специального оборудования и квалификации взломщика. Остальное вопрос времени, но с современными вычислительными мощностями это не проблема.
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

Argos

#7
Спасибо всем за информацию, но остался ещё вопрос под пунктом - 4. Мои предположения, это использовать ключевой файл. Примерно то, что хочу сделать:
Шифруем вначале sda2:

cryptsetup luksFormat /dev/sda2
cryptsetup luksOpen /dev/sda2 sda2_crypt
mkfs.ext4 /dev/mapper/sda2_crypt
mount /dev/mapper/sda2_crypt /mnt/first

Внутри смонтированного первого раздела создаем ключевой файл:
dd if=/dev/urandom of=/mnt/first/keyfile bs=512 count=4
chmod 400 /mnt/first/keyfile


Шифруем второй раздел, добавив ключ из файла:

cryptsetup luksFormat /dev/nvme0n1p2
cryptsetup luksAddKey /dev/nvme0n1p2 /mnt/first/keyfile

подключение второго раздела через crypttab. Добавляем в файл /etc/crypttab:
sda2_crypt /dev/sda2 none luks
nvme0n1p2_crypt /dev/nvme0n1p2 /mnt/first/keyfile luks

Ещё такой момент, не обязательно же вначале монтировать носитель где сама система? То есть я просто заменю порядок загрузки в etc/fstab, чтобы вначале монтировался sda2 а потом только nvme0n1p2


09 декабря 2024, 16:56:05
Цитата: dzhoser от 08 декабря 2024, 18:51:081. Вопрос подмены решается паролем на bios и паролем на grub.
Вроде читал, что пароль с биос сбрасывается вытаскиванием батарейки, просто тогда какой смысл?

Лия

#8
Цитата: Argos от 09 декабря 2024, 16:51:22Вроде читал, что пароль с биос сбрасывается вытаскиванием батарейки, просто тогда какой смысл?
Настройте Secure Boot со своими ключами и подпишите ими загрузчик

09 декабря 2024, 17:34:16
Цитата: dr_faust от 08 декабря 2024, 12:46:38Допустим, swap не будет. На что это повлияет кроме как полную утерю данных при внезптном отключении элетичества и неподдержку режима гибернации?
https://habr.com/ru/companies/flant/articles/348324/
https://habr.com/ru/articles/540104/

Argos

#9
Цитата: Лия от 09 декабря 2024, 17:30:13https://habr.com/ru/companies/flant/articles/348324/
https://habr.com/ru/articles/540104/

Если же все таки оставлять swap, насколько эффективен пакет Secure Delete Tools с его sswap?

Лия

Цитата: Argos от 09 декабря 2024, 18:28:39Если же все таки оставлять swap, насколько эффективен пакет Secure Delete Tools с его sswap?
Не знаю, не пробовала :)

dzhoser

1. Secure Delete Tools сократит срок службы ssd
2. Trim не даст полностью стереть данные так как система не знает куда контроллер что записал.
Подробнее тут
Ubuntu->Linux mint->Astra Linux SE->Debian 12
Для новичков

Лия

Цитата: dr_faust от 08 декабря 2024, 12:46:38zram. Глянул мельком. Никак не могу понять зачем в оперативке создавать временый раздел подкачки, тем самым занимая место свободной оперативной памяти, когда можно просто использовать оперативку по ее прямому назначению.
Сжатие

dr_faust

#13
Цитата: Лия от 10 декабря 2024, 05:32:36
Цитата: dr_faust от 08 декабря 2024, 12:46:38zram. Глянул мельком. Никак не могу понять зачем в оперативке создавать временый раздел подкачки, тем самым занимая место свободной оперативной памяти, когда можно просто использовать оперативку по ее прямому назначению.
Сжатие
Вроде экокомии занятой оперативки за счет сжатия? Может и неплохая идея.

11 декабря 2024, 20:07:39
Цитата: dzhoser от 08 декабря 2024, 18:51:082. В любом случае если есть физический доступ к компу все можно взломать и расшифровать весь вопрос в критичности данных наличия специального оборудования и квалификации взломщика. Остальное вопрос времени, но с современными вычислительными мощностями это не проблема.
Самое главное, наличие субъекта, который знает пароли-ключи в зашифрованным носителям информации. Попадись вы со своим шифровонным компом, расскажете все за десятки минут. Не только пароли и где деньги лежат. А даже чистосердечное признание в убистве Линкольна напишите. и все сами.
А вот без субъекта все не так весело... И время тут таки большая проблема.

11 декабря 2024, 20:08:58
Цитата: dzhoser от 08 декабря 2024, 18:51:081. Вопрос подмены решается паролем на bios и паролем на grub.

Что помешает ручками и и отверткой открутить ssd\hdd, поставить в свой комп, залить нужное и вернуть все на место?

11 декабря 2024, 20:10:57
Цитата: Лия от 09 декабря 2024, 17:30:13Настройте Secure Boot со своими ключами и подпишите ими загрузчик



А зачем, если проще все в шифрораздел? один раз видел инструкцию по использованию этого секуре в линуксе со своими самопальными ключами. Мудреная. Механизм шифрования субъективно понятнее.
Devuan 4. Debian 12. LXDE.

Лия

Цитата: dr_faust от 11 декабря 2024, 20:04:19А зачем, если проще все в шифрораздел? один раз видел инструкцию по использованию этого секуре в линуксе со своими самопальными ключами. Мудреная. Механизм шифрования субъективно понятнее.
Secure Boot не заменяет шифрование, а дополняет его, обеспечивая безопасность загрузчика - например, вы подписали загрузчик и ядро и теперь при их подмене система откажется загружаться.