View previous topic :: View next topic |
Author |
Message |
marziods Tux's lil' helper
Joined: 25 Jun 2009 Posts: 136 Location: <Roma>par lavor | Udine | Friul | Italie
|
Posted: Sun Apr 03, 2011 11:01 am Post subject: Come ottenere una home crittata? |
|
|
vorrei trovare un modo semplice per avviare la home crittata:
premetto che uso gia delle partizioni crittate che carico tramite il comando Code: | # cryptsetup create partizione /dev/sdaX
# mount /dev/mapper/partizione /mnt/part_crypt |
ora vorrei che /dev/mapper/partizione diventi la mia /home quindi necessito che all'avvio venga montata con fstab.
è possibile farlo?
grazie
Marzio _________________ linux user #493115 |
|
Back to top |
|
|
xdarma l33t
Joined: 08 Dec 2003 Posts: 719 Location: tra veneto e friuli (italy)
|
Posted: Sun Apr 03, 2011 3:32 pm Post subject: Re: Come ottenere una home crittata? |
|
|
Non ne so niente di partizioni crittate ma stavo provando DuckDuckGo e mi ha portato qui:
SECURITY System Encryption DM-Crypt with LUKS
Verso la fine c'è il capitolo: 17 Decrypting/Encrypting partitions at startup
che dovrebbe esserti utile. _________________ proud user of faKeDE-4.7.3 -> back to windowmaker -> moved to LXQt |
|
Back to top |
|
|
marziods Tux's lil' helper
Joined: 25 Jun 2009 Posts: 136 Location: <Roma>par lavor | Udine | Friul | Italie
|
Posted: Sun Apr 03, 2011 4:36 pm Post subject: |
|
|
ricordavo questo wiki... ma purtroppo sembra che http://en.gentoo-wiki.com sia giù da un po, infatti il link è nella cache di google ma non è raggiungibile...
hanno spento i server?
comunque ti ringrazio era 'dovrebbe essere' quello che cercavo
mandi mandi _________________ linux user #493115 |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Mon Apr 04, 2011 8:35 am Post subject: |
|
|
dato che la mia partizione criptrata mi serve per forza condivisa con "quell'altro" mi sono rivolto a truecrypt ma ti consiglio di verificare l'ordine di caricamento dei device in rc.conf conf.d/rc questo me lo ricordo _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
merlok n00b
Joined: 01 Apr 2011 Posts: 3
|
Posted: Tue Apr 05, 2011 10:10 am Post subject: |
|
|
Allora ti posso rispondere per grandi linee perchè il pc davanti non c'è l'ho .
Comunque in /etc/conf.d/ trovi un file di configurazione chimato cryptsetup o dm-crypt, scusa ma ora non ricordo il nome preciso, all interno inserisci la partizione crittata e il nome del relativo mapper.
Aggiungi il demone dm-crypt in boot e poi in fstab fai montere il tuo /dev/mapper/xxXXxx come /home.
Se invece ti vuoi crittare anche la root avrai bisogno di una piccola initram-fs.
Spero di esser stato chiaro |
|
Back to top |
|
|
marziods Tux's lil' helper
Joined: 25 Jun 2009 Posts: 136 Location: <Roma>par lavor | Udine | Friul | Italie
|
Posted: Sun Apr 10, 2011 4:43 pm Post subject: |
|
|
per usare gli script di init di dmcrypt dovrei usare baselayout-2 mentre io sono fermo a 1...
infatti mi avverte in fase di avvio che non si trova d'accordo
mandi mandi...
NB in effetti erano i server wiki down per un upgrade... _________________ linux user #493115 |
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
marziods Tux's lil' helper
Joined: 25 Jun 2009 Posts: 136 Location: <Roma>par lavor | Udine | Friul | Italie
|
Posted: Fri Jun 10, 2011 10:12 am Post subject: |
|
|
Quote: | Volevo provare anche io a fare una partizione crittata solo che ho trovato questo wiki ma mi sono fermato perché non capisco cosa c'entri un file initrd e poi non sono sicuro che sia realmente un wiki "funzionante" (non so perché ho questa impressione). |
siccome questa wiki è per crittare l'intero sistema ( boot compresa) non inserire un file initrd non permetterebbe il caricamento iniziale del sistema di decrittazione e quindi l'avvio del sistema stesso. (se dico boiate correggetemi pure vado a mente)
ho abbandonato per ora (ma solo per ora) l'idea di crittare /home ma mi riprometto appena la riprenderò di spiegarne i passaggi qui. _________________ linux user #493115 |
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
Posted: Tue Sep 06, 2011 7:22 pm Post subject: |
|
|
Dunque, di recente mi hanno regalato un hard disk esterno USB ed ho voluto crittarlo. Mi sono armato di pazienza ed ho usato Truecrypt, seguendo questo howto per avere un disco completamente cifrato e con filesystem NTFS (così da poter esser letto anche su Winsozz).
Ho usato AES in modalità normale (non è un volume nascosto) con Hash SHA-512. Tra l'altro mi piacerebbe sapere cosa ne pensate circa l'algoritmo di crittografia da utilizzare. Fra tutti gli algoritmi e combinazioni possibili AES è quello che garantisce un'accesso a disco più veloce.
Alla fine di tutto, e dopo un sacco di tempo di attesa per preparare il disco ho ottenuto il mio disco crittato, montabile e smontabile sia con la GUI di Truecrypt che tramite riga di comando.
Dal momento che anche io sono interessato a farmi una /home criptata, mi sorgono alcuni dubbi/domande.
L'howto che ho segnalato dice di fare:
Code: | rc-update add truecrypt boot |
Ciò in realtà non è necessario, e non è necessario averlo in esecuzione. Infatti riesco a montare il disco crittato anche se è stoppato.
Per quanto riguarda la /home crittata, immagino che invece serva qualche servizio in esecuzione al boot. Potrebbe essere dmcrypt (ma anche Truecrypt?), che però appartiene al pacchetto cryptsetup.
Qualche indicazione può essere presa anche dal sito di un progetto di cui faccio parte: VDD-Project. Qui si criptano delle partizioni LVM che poi vengono montate appositamente dalle macchine virtuali. Però forse abbiamo bisogno di cose più semplici.
Comunque l'idea è quella di criptare /dev/sdaX con truecrypt -t -c e poi fare in modo di montarla usando lo script dmcrypt opportunamente configurato in /etc/conf.d/dmcrypt.
In tale file ho visto le seguenti cose:
Code: | ## /home with passphrase
#target=crypt-home
#source='/dev/hda5'
|
Questa mi sembra la configurazione più semplice. Ho l'impressione che con questa configurazione venga chiesta la password in fase di boot e si proceda normalmente.
Code: | ## /home with regular keyfile
#target=crypt-home
#source='/dev/hda5'
#key='/full/path/to/homekey' |
Come sopra, ma con un file chiave.
Code: | ## /home with gpg protected key
#target=crypt-home
#source='/dev/hda5'
#key='/full/path/to/homekey:gpg' |
Come sopra ma con chiave protetta da gpg, quindi più utile. Una password per proteggere un file con la password. Dubbia utilità.
Code: | ## /home with regular keyfile on removable media(such as usb-stick)
#target=crypt-home
#source='/dev/hda5'
#key='/full/path/to/homekey'
#remdev='/dev/sda1' |
Come sopra, ma più utile. Metto la chiave su pendrive e solo se c'è la chiave dentro si procede. Te ti perdi la pendrive o comunque si rovina sei fucked.
Meglio farsi una copia.
Code: | ##/home with gpg protected key on removable media(such as usb-stick)
#target=crypt-home
#source='/dev/hda5'
#key='/full/path/to/homekey:gpg'
#remdev='/dev/sda1' |
Come sopra ma protetta con gpg.
Code: | ##/tmp with regular keyfile
#target=crypt-tmp
#source='/dev/hda6'
#key='/full/path/to/tmpkey'
#pre_mount='/sbin/mkreiserfs -f -f ${dev}'
#post_mount='chown root:root ${mount_point}; chmod 1777 ${mount_point}' |
Questo non l'ho capito molto bene.
Code: | ## Loopback file example
#mount='crypt-loop-home'
#source='/dev/loop0'
#loop_file='/mnt/crypt/home' |
Questo se non ho capito male serve solo a montare una /home che però è contenuta in un loop file.
La soluzione più semplice e pratica mi sembra la prima. La chiavetta USB è comoda ma comporta i problemi che dicevo.
A quanto ho capito dovrebbe chiedere la password mentre fa il boot e se corretta, si procede con il boot. Altrimenti? Boh!
Che dite? Approfondiamo la questione? _________________ [HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered |
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
Posted: Thu Jan 05, 2012 2:18 pm Post subject: Re: Come ottenere una home crittata? |
|
|
marziods wrote: | vorrei trovare un modo semplice per avviare la home crittata:
premetto che uso gia delle partizioni crittate che carico tramite il comando Code: | # cryptsetup create partizione /dev/sdaX
# mount /dev/mapper/partizione /mnt/part_crypt |
ora vorrei che /dev/mapper/partizione diventi la mia /home quindi necessito che all'avvio venga montata con fstab.
è possibile farlo?
grazie
Marzio |
Ciao Marzio,
ho ripreso un po' la faccenda ed in pochi passi sono riuscito a mettere su, una home criptata.
In giro ci sono per lo più guide che prevedono la criptazione di tutto / ma con pochi e semplici passi si può avere la /home criptata. Ecco come ho fatto.
Per prima cosa, ho preso come riferimento questo Wiki: DM-Crypt.
Procediamo per gradi.
Effettuare il backup del contenuto della partizione /home.
Impostare il kernel secondo il seguente schema:
Code: | File systems --->
<*> Second extended fs support
<*> Reiserfs support
Device Drivers --->
Block devices --->
<*> Loopback device support
< > Cryptoloop Support
(4096) Default RAM disk size (kbytes)
Multiple devices driver support (RAID and LVM) --->
<*> Device mapper support
<*> Crypt target support
General Setup --->
[*] Initial RAM filesystem and RAM disk (initramfs/initrd) support
Cryptographic API --->
<*> SHA 224 and SHA256 digest algorithm
<*> AES cipher algorithms (x86_64) |
Nel mio caso ho impostato solo ext2 ed ext4 come built-in, poiché uso solo quei due filesystem.
(Il supporto a initramfs in realtà non è necessario se si sta criptando solo la home)
Installare cryptsetup e multipath-tools:
Code: | emerge cryptsetup multipath-tools |
Code: | rc-update add dmcrypt boot |
Supponendo che /dev/sda3 sia la partizione che contiene i dati della /home operiamo uno shred sulla stessa per rendere illeggibili i dati precedenti:
Code: | shred -v -n 2 /dev/sda3 |
Formattare la partizione con luks per creare l'header e la master key:
Code: | cryptsetup -y -s 256 luksFormat /dev/sda3 |
Digitare YES e inserire la password scelta.
Nota:
man cryptsetup wrote: | Default mode is configurable during compilation, you can see compiled-in default using cryptsetup --help. If not changed, the default is for plain dm-crypt and LUKS mappings "aes-cbc-essiv:sha256". |
Quindi nel comando qui sopra è sottintesa la seguente opzione:
Code: | --cipher aes-cbc-essiv:sha256 |
Nel caso si voglia usare un altro algoritmo di cifratura, apportare le modifiche necessarie alla configurazione del kernel.
Associare /dev/sda3 a /dev/mapper/home:
Code: | cryptsetup luksOpen /dev/sda3 home |
A questo punto la partizione /dev/sda3 è accessibile tramite /dev/mapper/home.
Attenzione: questa è solo un'impostazione temporanea. Più avanti le istruzioni per rendere la cosa automatica al boot.
Formattare e montare la partizione:
Code: | mkfs.ext4 /dev/mapper/home
mount /dev/mapper/home /home |
Ora è possibile copiare il contenuto della /home (precedentemente spostato da un'altra parte nel caso non si trattasse di una nuova installazione) nella nuova partizione criptata.
Modificare i file:
/etc/fstab: | /dev/mapper/home /home ext4 noatime 0 1 |
/etc/conf.d/dmcrypt: | ## /home with passphrase
target=home
source='/dev/sda3' |
Al prossimo reboot verrà chiesta la password per accedere alla partizione di /home.
Ora però mi è rimasto un dubbio: quanto è forte la protezione che ho usato?
Come migliorare il tutto? _________________ [HOWTO] Come criptare la /home usando cryptsetup e luks
[HOWTO] Abilitare il supporto al dom0 XEN su kernel 3.X
Help answer the unanswered
Last edited by fbcyborg on Thu Jan 05, 2012 5:30 pm; edited 1 time in total |
|
Back to top |
|
|
maurs Tux's lil' helper
Joined: 16 Oct 2005 Posts: 85
|
Posted: Thu Jan 05, 2012 3:12 pm Post subject: |
|
|
Su ubuntu è possibile impostare la cryptazione della home in modo che venga "decryptata" al momento del login, evitando così di dover inserire due password.
Anche se di sicuro la tua soluzione è molto più sicura (password diverse), quella in ubuntu è molto più lineare.
Sarebbe interessante portare questa modalità anche su gentoo, se non esiste già... _________________ MaUrS
[HOW-TO] Gentoo su PC datati (aka Portatile Felice)
Maurs' Blog
VDD Project |
|
Back to top |
|
|
fbcyborg Advocate
Joined: 16 Oct 2005 Posts: 3056 Location: ROMA
|
|
Back to top |
|
|
|