The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Раздел полезных советов: Шифрование данных на существующем разделе ext4 без его переформатирования"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от auto_tips (?), 11-Сен-21, 22:37 
Можно отметить два основных способа организации шифрования данных в уже существующей файловой системе Ext4, не требующие пересоздания раздела с переносом данных из резервной копии. Первый способ заключается в использовании встроенных в Ext4 возможностей по шифрованию отдельных каталогов, а второй в использовании команды "cryptsetup reencrypt" для прозрачного переноса ФС на новый шифрованный раздел LUKS. В любом случае создание полной резервной копии перед выполнением предложенных манипуляций обязательно.

Первый способ наиболее простой и безопасный, но оно ограничен использованием отдельных шифрованных каталогов, в которые можно перенести конфиденциальные данные, требующие защиты. Шифрование в Ext4 поддерживается при использовании как минимум ядра Linux 4.1 и утилит 2fsprogs 1.43.

Выставляем в суперблоке раздела  c ФС ext4 флаг поддержки шифрования (в нашем случае /dev/sda1):

    sudo tune2fs -O encrypt /dev/sda1

Создаём каталог, в котором будут храниться зашифрованные данные текущего пользователя:

    mkdir -p /secret/home/user
  
Генерируем случайную salt-последовательность для последующего шифрования и сохраняем её в отдельный файл:

    echo 0x`head -c 16 /dev/urandom | xxd -p` > /home/user/.crypt_salt

Создаём на базе данной salt-последовательности ключ для шифрования, указав для него пароль:

    e4crypt add_key -S /home/user/.crypt_salt

    Enter passphrase (echo disabled):
    Added key with descriptor [f467134ca2c48c33]

Проверяем добавление ключа командой "keyctl show", которая поставляется в пакете keyutils.

  
Активируем шифрование для каталога /secret/home/user, указав выданный идентификатор ключа:

    e4crypt set_policy f467134ca2c48c33 /secret/home/user

Если после перезагрузки попытаться обратится к каталогу /secret/home/user без добавления ключа командой "e4crypt add_key", его содержимое будет показано в зашифрованном виде. Для расшифровки каталога при каждой загрузке необходимо настроить повторный вызов команды add_key для привязки ключа.
  
   e4crypt add_key -S /home/user/.crypt_salt

   Enter passphrase (echo disabled):
   Added key with descriptor [f467134ca2c48c33]

Для просмотра привязанного к каталогу ключа можно использовать команду

   e4crypt get_policy /secret/home/user

В случае необходимости шифрования всего содержимого можно использовать LUKS cryptsetup для шифрования имеющегося раздела без потери данных.

Отмонтируем шифруемый раздел (при изменении корневого раздела нужно загрузиться с отдельного live-дистрибутива), проверяем целостность ФС и уменьшаем размер ФС для того, чтобы разместить заголвки LUKS на диске (в ФС должно быть достаточно свободного места):

   e2fsck -f /dev/sda4
   resize2fs /dev/sda4 размер_меньше_текущего_на_32МБ

Шифруем содержимое имеющегося раздела без потери информации:
  
   cryptsetup reencrypt --encrypt /dev/sda4 --reduce-device-size 32M
  
Открываем раздел:

   cryptsetup open /dev/sdXY home
  
Увеличиваем размер ФС до свободной границы

   resize2fs /dev/mapper/home

Монтируем раздел:
  
    mount /dev/mapper/home /mnt/home

Смотрим UUID:

   blkid /dev/mapper/home

Добавляем информацию о разделе в /etc/crypttab

   home UUID=UUID_устройства_LUKS none


URL: https://askubuntu.com/questions/643577/how-to-create-ext4-en... https://unix.stackexchange.com/questions/444931/is-there-a-w...
Обсуждается: https://www.opennet.ru/tips/info/3175.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от Анонимчик (?), 11-Сен-21, 22:37 
Чем первый вариант лучше ecryptfs?
Ответить | Правка | Наверх | Cообщить модератору

2. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от hefenud (ok), 12-Сен-21, 20:56 
Хотя бы тем, что ecryptfs более не разрабатывается и объявлен депрекейтед
Уязвимости в нем не будут фиксится, разработка прекращена 5 лет назад
Ответить | Правка | Наверх | Cообщить модератору

3. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от Анонимчик (?), 12-Сен-21, 22:43 
Спасибо за инфу, даже не знал об этом.
Ответить | Правка | Наверх | Cообщить модератору

5. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от Анонимчик (?), 13-Сен-21, 10:56 
https://wiki.archlinux.org/title/Talk:Ext4:

> e4crypt tool itself is also deprecated and no longer being updated (as it was really meant more as a demonstration, not as a proper user interface to filesystem encryption)

https://wiki.archlinux.org/title/Fscrypt#Alternatives_to_con...:

> e4crypt is missing many basic features and is no longer being actively developed

Вам про это ничего не известно?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от hefenud (ok), 13-Сен-21, 12:56 
Нет, я по привычке все LUKS'ом шифрую
Когда в ext4 добавили шифрование посмотрел, подумал, что может быть полезно, но привычки менять не стал
Ответить | Правка | Наверх | Cообщить модератору

8. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от Анонимчик (?), 13-Сен-21, 13:21 
Не похоже, что ecryptfs больше не разрабатывается - https://www.spinics.net/lists/ecryptfs/.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

9. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от hefenud (ok), 13-Сен-21, 14:03 
Ну я это помню по убунтовской рассылке, в объяснениях почему именно от него отказываются
Просто я сам его использовал на десктопе и когда было объявлено, что разработка сворачивается и он депрекейтед пришлось отказаться для хома(как у настоящего параноика у меня вся система была под LUKS'ом, а /home еще и ecryptfs)

Если меня ввели в заблуждение те кто сообщали об этом в рассылке и кто соответственно убрал из Ubuntu шифрование хома, то прошу прощения, так отложилось в голове

С другой стороны раз оно выкинуто из мэйнстрим-десктопа, то ну его к черту, мало ли там будет уязвимостей которые могут использовать злоумышленники

Ответить | Правка | Наверх | Cообщить модератору

10. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от Анонимчик (?), 14-Сен-21, 09:26 
https://www.chromium.org/chromium-os/chromiumos-design-docs/...:

> Chromium OS uses the eCryptfs stacked filesystem with per-user vault directories and keysets to separate and protect each user’s cached data.

Даже так. Хотя последний релиз ecryptfs был еще 2016-05-02. В общем, странно все это. Не понятно, безопасно ее использовать или нет...

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

11. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от hefenud (ok), 14-Сен-21, 14:00 
> https://www.chromium.org/chromium-os/chromiumos-design-docs/...:
>> Chromium OS uses the eCryptfs stacked filesystem with per-user vault directories and keysets to separate and protect each user’s cached data.
> Даже так. Хотя последний релиз ecryptfs был еще 2016-05-02. В общем, странно
> все это. Не понятно, безопасно ее использовать или нет...

Ну я бы инструменту безопасности который не обновляется 5 лет не доверял
Есть известные и живые проекты, лучше пользоваться ими

Ответить | Правка | Наверх | Cообщить модератору

14. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от Анонимчик (?), 15-Сен-21, 12:12 
В общем, решил таки разобраться, deprecated ли ecryptfs или нет. Оказывается, что Ubuntu объявила как deprecated собственно поддержку ecryptfs "из коробки" (т.е. возможность при установке задать шифрование домашней папки с помощью ecryptfs) в пользу шифрования всего диска с помощью LUKS. Сама же ecryptfs ни разу не deprecated и активно развивается (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin....
Ответить | Правка | Наверх | Cообщить модератору

12. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от OpenEcho (?), 14-Сен-21, 20:04 
Посмотрите в сторону: gocryptfs

Плюсы:
- хорошо поддерживается
- может делать реверс (плюс для бэкпапов в клоуд)
- ЕМЕ, нет префикса
- Самый быстрый
- статический (т.е. работает везде)

https://nuetzlich.net/gocryptfs/comparison/

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

4. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от Аноним (4), 13-Сен-21, 04:00 
А установка убунточки до сих пор вроде предлагает зашифровать /home и конечно же там ecryptfs (который типа деприкейдет?)
Странно
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

7. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от hefenud (ok), 13-Сен-21, 12:56 
> А установка убунточки до сих пор вроде предлагает зашифровать /home и конечно
> же там ecryptfs (который типа деприкейдет?)
> Странно

Неа, с 18.04 не предлагает, предлагает криптовать всё уже 3 года, с использованием LUKS

Ответить | Правка | Наверх | Cообщить модератору

13. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от Аноним (13), 14-Сен-21, 22:58 
Шифрование данных на существующем разделе NTFS без его переформатирования    
1. Нажмите правой кнопкой по диску, выберите пункт Включить Bitlocker
2. Готово
Ответить | Правка | Наверх | Cообщить модератору

16. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от пох. (?), 16-Сен-21, 12:31 
Он, гад, еще и глумится над убогими!

Ответить | Правка | Наверх | Cообщить модератору

15. "Шифрование данных на существующем разделе ext4 без его переформатирования"  +/
Сообщение от kusb (?), 15-Сен-21, 21:51 
А зашифровать корень в первом варианте и чем тогда он будет хуже обычного? Или папку нужно пересоздавать. Наверное можно обойти.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру