Szyfrowanie partycji - co jak i czym?

BeteNoire · Veteran Joined: 25 Sep 2005 Posts: 1822

Lepiej późno niż wcale - postanowiłem zaszyfrować kilka partycji.
Pytanie jak w temacie. A konkretniej chodzi o m.in. o to jaki wybrać filesystem i jaki sposób szyfrowania do sporej partycji (150 GB) z rozmaitymi prywatnymi mediami, z której w 95% czasu następuje tylko odczyt.
Do tej pory miałem na niej xfs, bo najlepiej wypadał w testach dla dużych partycji i dużych plików, ale nie wiem czy nie pogryzie się z szyfrowaniem.

Odrzuciłem z góry reiserfs, bo jest za wolny na duże partycje. Do wynalazków typu reiser4/ext4 nie mam zaufania, wolę zostać na tym co już od lat działa bezawaryjnie.

Dodatkowo chcę zaszyfrować /home, to są przeważnie małe partycje, gdzie trzymam głównie konfigi, maile, dokumentacje i drobne, prywatne rzeczy. Mam na nich reiserfs.

No i podstawowa sprawa: czym szyfrować? Co jest już najbardziej sprawdzone/popularne/bezawaryjne?
_________________
powered by power plant

Poe · Posted: Sun Feb 07, 2010 3:01 pm Post subject:

truecrypt jest czyms najbardziej popularnym, multi platformowym, chyba najłatwiejszym w organizacji, a jednoczesnie daje wysoki poziom bezpieczeństwa. ale z mojej strony, to tylko teoria, w końcu nie testowałem, uznałem, ze szyfrowanie danych na lapku moze mieć negatywny wpływ na działanie baterii (długość działania na jednym naładowaniu) ze względu na operacje (de)/szyfrowania w locie.

co do FS'a, nie chciałbym tutaj robić flamewara żadnego. ale osobiście do XFS nie mam za grosz zaufania. co chwile słysze o utracie danych z tego fs'a. od zawsze mam reiserfs, w tej chwili na partycji niemal 200gb z /home i śmiga jak należy, a zdarzała się i rozładowana bateria, jakieś resety czy tego typu sprawy.
_________________
Hardware:HP Pavilion DV6875SE[C2DT5550@1.83GHz_3GB-DDR2_320GB-SATA_GF8400GS]
http://poe.art.pl/ - fotografia artystyczna
http://poe.art.pl/blog - III Rzeczywistość Polska
RLU#342333

ryba84 · n00b Joined: 31 Dec 2008 Posts: 59

Ja mam zaszyfrowany cały dysk w lapku poza katalogiem /boot. Wszystko szyfrowane z pomocą cryptsetup z luks (algorytm szyfrujący aes-xts-plain z 512 bitowym kluczem). Klucze przechowuję na pendrive. Wszystko zrobione za pomocą tego tutoriala. Z tąd wziąłem plik init.

Ps. przy szyfrowaniu 1 partycji polecam zaszyfrować swapa i /tmp losowym kluczem co by się żadne dane nie wydostały niezaszyfrowane. Można to ustawić w /etc/conf.d/dmcrypt. Partycje szyfrowane stałymi kluczami również tam ustawisz. Tylko przy tak zaszyfrowanym swapie nie działa hibernacja. Jeśli jej potrzebujesz to musisz się posłużyć wyżej wymienionymi tutorialami aby zbudować odpowiedzni initramfs i swapa zaszyfrować również stałym kluczem.

mormo · n00b Joined: 01 Aug 2008 Posts: 9

Ja osobiscie mam lapka z ext 4 partycja 120G dmcrypt luks

i nie mialem nigdy zadnych problemow

http://www.lnxadmin.pl/index.php?id=dmcrypt_luks

SlashBeast · Posted: Mon Feb 08, 2010 8:07 am Post subject:

Od niedawna uzywam ext4 na dmcryptach moich (ogarnia juz barrier device mapper!), jestem zadowolony. cryptsetup luks z aex-xts-plain 512. Zarowno rootfs jak i home + kazdy zewnetrzny dysk na tym jedzie. Truecrypta olej, tylko sie nerwow najesz przy aktualizacji jak nagle (znowu) zrzuca wpsarcie dna CLI w linuksie czy cos innego odwala.

Moj init z initramfs:

BeteNoire · Veteran Joined: 25 Sep 2005 Posts: 1822

Ok, a więc dm-crypt i luks. Skoro system plików nie ma znaczenia, to zostanę przy starych wyborach (xfs/rfs).

Dokumenty, które przeglądam, mówią o wykorzystaniu pam do automatycznej autoryzacji i dostępie do szyfrowanej partycji, by nie musieć podawać hasła przy bootowaniu.
Można to osiągnąć bez pam? Wszystkie moje gentoo-boksy są bez-pamowe.
_________________
powered by power plant

lazy_bum · Guru Joined: 16 Feb 2005 Posts: 593

Odnośnie szyfrowania… ktoś spotkał się z utratą danych na takich partycjach? Jakiś hardrebooty, błędy fs, kernel panic, podobne przypadki?
_________________
roslin uberlay

SlashBeast · Posted: Fri Feb 12, 2010 5:49 pm Post subject:

Mozesz montowac dmcrypt na podstawie klucza. Utraty danych na dmcrypcie czy jego korupcji nigdy nie doswiadczylem (moze dlatego, ze nie uzywam xfs?). :-)

_________________
[ BETTER-initramfs ] [ Public foo-overlay ] [ Gentoo Forums GoogleCSE ] [ slashbeast twitter ]

ryba84 · n00b Joined: 31 Dec 2008 Posts: 59

Żadnych problemów nie doświadczyłem z dmcryptem. System plików to ext4. Co do kluczy ja przechowuję w postaci niezaszyfrowanej na pendrivie. Jak ktoś ma chęć to może np. dla niepoznaki wrzucić te klucze na końcu do plików powiedzmy z mp3, ale mi się nie chciało modyfikować skryptów startowych aby były w stanie z takiego klucza skorzystać. A no i jadę na jajku zen-sources 2.6.31, bo na 2.6.32 mam sporadyczne zwisy przez xorga na intelu.

SlashBeast · Posted: Sat Feb 13, 2010 8:34 am Post subject:

Kluczy moze byc kilka, moze to byc plik czy haslo, albo jedno, albo drugie. Co do intela i 2.6.32 - win zen-sources, przeciez to jest masakryczna anarchia i chaos w tych zrodlach, znajomy ktory to uzywa mowi, ze praktycznie kazda wersja 2.6.32 zena ma jakies hardcorowe bledy.
_________________
[ BETTER-initramfs ] [ Public foo-overlay ] [ Gentoo Forums GoogleCSE ] [ slashbeast twitter ]

ryba84 · n00b Joined: 31 Dec 2008 Posts: 59

Zwisy na 2.6.32 to nie wina patchy zen-sources. Mam ten sam błąd, więc problem również z gentoo-sources jak i waniliowym kernelem.

mbar · Veteran Joined: 19 Jan 2005 Posts: 1700 Location: Poland

też polecam