URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4644
[ Назад ]

Исходное сообщение
"Загружаем linux с шифрованных ФС. Как далеко можно зайти?"

Отправлено cauldron , 20-Июл-10 20:34 
Сначала сделал просто шифрованный /home при помощи LUKS.
Быстро выяснилось, что надо и /etc держать в зашифрованном виде.
Сейчас хочу сделать всю корневую ФС тоже через LUKS.
Как я понимаю /boot придётся делать в обычном виде.
В свизи с этим возникли вопросы:
1. Получится ли загружаться с GRUB, если все необходимые модули встроить в ядро?
2. Как при запуске в ядро передать, где у меня там /корень?
3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)
4. можно ли загрузочный раздел, где находятся ядра, тоже зашифровать? Есть ли в GRUB(или других загрузчиках) такая возможность?

Всякие там EncFS мне не подойдёт, основное буду держать в Reiser4 или Ext4.


Содержание

Сообщения в этом обсуждении
"Загружаем linux с шифрованных ФС. Как далеко можно зайти?"
Отправлено vehn , 20-Июл-10 20:52 
>1. Получится ли загружаться с GRUB, если все необходимые модули встроить в
>ядро?

да

>2. Как при запуске в ядро передать, где у меня там /корень?

root=

>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)

никаких, при наличии продуманной политики backup-ов

>4. можно ли загрузочный раздел, где находятся ядра, тоже зашифровать? Есть ли
>в GRUB(или других загрузчиках) такая возможность?

Нет, нельзя. Но как вариант, можно разместить ядро (лучше вместе с загрузчиком) на флешке (или на чём-нибудь подобном, с чего возможно загрузиться), после того, как система полностью загрузится флэшку можно (и нужно) удалить (ядро всегда располагается в памяти). Это методика применяется для противодействия компрометации "физического" образа ядра (тот образ, который лежит в /boot, а не в оперативной памяти).

p.s. ради интереса, погуглите ещё на тему pam_usb. Можно организовать полностью беспарольный (точнее, без ввода пароля, сам пароль разумеется существует, удобство в том, что его не нужно запоминать, а соответственно, возможны очень стойкие пароли) вход в систему при помощи одной лишь флэшки.


"Загружаем linux с шифрованных ФС. Как далеко можно зайти?"
Отправлено cauldron , 20-Июл-10 21:49 
>>2. Как при запуске в ядро передать, где у меня там /корень?
>
>root=

там же сначала loop-device с шифромание создаётся, а потом ФС монтируется.
как это всё завернуть в root=   ?

>>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)
>
>никаких, при наличии продуманной политики backup-ов

Планирую raid 5 или 6 через mdadm. Бэкапы первое время врятли будут, из-за ОЧЕНЬ больших объёмов инфы. Если только саму систему и её настройки отдельно бэкапить.

>p.s. ради интереса, погуглите ещё на тему pam_usb. Можно организовать полностью >беспарольный
>(точнее, без ввода пароля, сам пароль разумеется существует, удобство в том,
>что его не нужно запоминать, а соответственно, возможны очень стойкие пароли)
>вход в систему при помощи одной лишь флэшки.

Или двух,на всякий случай :-)
Хотя я обычно пароли символов по 14 делаю, но это уже не то, что было раньше :-) ломаются за две секунды.
Возможно ради безопасность USB придётся выпиливать, ну если что , буду пробовать через pam.


Спасибо!!!


"Загружаем linux с шифрованных ФС. Как далеко можно зайти?"
Отправлено vehn , 20-Июл-10 22:09 
>>>2. Как при запуске в ядро передать, где у меня там /корень?
>>
>>root=
>
>там же сначала loop-device с шифромание создаётся, а потом ФС монтируется.
>как это всё завернуть в root=   ?

Этой опцией вы говорите ядру на каком разделе (партиции) находится у вас корень, что не имеет никакого отношения к шифрованию. О шифровании будет уже беспокоиться ram-диск. Не думаю, что вам вообще нужно беспокоиться по данному вопросу. Подавляющее большинство дистрибутивов обрабатывают эту ситуацию автоматом при установке загузчика. Исключение: slackware и gentoo. Зато оба имеют исчерпывающую документацию относительно шифрования как полностью диска, так и отдельного раздела, к которой я рекомендую обратиться, дабы иметь понятие как вообще всё это работает.

>
>>>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)
>>
>>никаких, при наличии продуманной политики backup-ов
>
>Планирую raid 5 или 6 через mdadm. Бэкапы первое время врятли будут,
>из-за ОЧЕНЬ больших объёмов инфы. Если только саму систему и её
>настройки отдельно бэкапить.
>

Ну есть старая шутка о том, что пользователи делятся на две группы: первые -- ещё не делают бэкапов, вторые --_теперь_ делают.