The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Шифрование разделов LUKS"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Шифрование, SSH, SSL)
Изначальное сообщение [ Отслеживать ]

"Шифрование разделов LUKS"  +/
Сообщение от sheff.artxemail (ok), 03-Сен-23, 08:03 
Нужно создать шифрованный диск для бэкапа. (Никто не покушается на данные, но паранойя)) Во всех статьях пишут, что сначала требуется создать раздел, а после зашифровать его. Где-то встречал, что таблица разделов должна быть GPT. Но что мешает зашифровать весь диск сразу, минуя разбивку? Это работает, проверял, но какие подводные? Всем благодарен, с меня, как обычно.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Шифрование разделов LUKS"  +/
Сообщение от Аноним (1), 03-Сен-23, 12:58 
https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_enti...

Ответить | Правка | Наверх | Cообщить модератору

2. "Шифрование разделов LUKS"  +/
Сообщение от Аноним (1), 03-Сен-23, 13:09 
Если правильно понял вводные, то недостатки такие:
* нужно помнить фиксированные настройки шифрования.
* systemd не сможет автоматически смонтировать корневой раздел. Для бэкап-диска - без разницы.
* один ключ шифрования, нельзя использовать слоты. Для бэкап-диска может быть удобно иметь несколько разных ключей: для автоматического монтирования службами целевых систем (на их ФС) и для ручного расшифрования (в голове);

А в чем проблема сделать раздел на весь бэкап-диск, а потом его весь зашифровать?


Ответить | Правка | Наверх | Cообщить модератору

3. "Шифрование разделов LUKS"  +/
Сообщение от sheff.artxemail (ok), 03-Сен-23, 13:40 
> Если правильно понял вводные, то недостатки такие:
> * нужно помнить фиксированные настройки шифрования.
> * systemd не сможет автоматически смонтировать корневой раздел. Для бэкап-диска - без
> разницы.
> * один ключ шифрования, нельзя использовать слоты. Для бэкап-диска может быть удобно
> иметь несколько разных ключей: для автоматического монтирования службами целевых систем
> (на их ФС) и для ручного расшифрования (в голове);
> А в чем проблема сделать раздел на весь бэкап-диск, а потом его
> весь зашифровать?

Спасибо за ответ и, как я понял особой разницы нет, т.к. автоматического монтирования не предвидится и монтирую руками и только я.

Ответить | Правка | Наверх | Cообщить модератору

4. "Шифрование разделов LUKS"  +/
Сообщение от Аноним (1), 03-Сен-23, 16:17 
> монтирую руками и только я

Я по-началу тоже так предполагал. Но бэкапы - такая штука, которую очень желательно делать часто, а значит это должно быть легко и удобно. Иначе быстро надоедает, появляются задержки между бэкапами и риск потери свежих данных растет. К тому же, риск раскрыть пароль при вводе с клавиатуры обычным пользователем значительно выше, чем при монтировании ключом, который видит только суперпользователь с также шифрованной ФС с ОС. К тому же, если для доступа к диску используется несколько устройств с разными ключами, можно легко сменить/удалить ключ только для скомпрометированного устройства.
Ну и, наконец, возможность перешифровать диск с новыми настройками налету. Например, при устаревании (вычислительной сложности) или компрометации алгоритмов шифрования. Или просто под новый процессор, который имеет инструкции/модуль для более быстрой работы с каким-то конкретным шифром.
Короче, заголовки LUKS - это очень гибко и удобно.

> особой разницы нет

Есть ещё похожий, но более гибкий вариант: хранить заголовки LUKS на отдельном от диска устройстве. Диск будет а-ля plain-dmcrypt, но заголовки, например, на флэшке, позволят легко менять настройки/ключи шифрования. Цена: потеря данных при потере флэшки.
Подробнее:
https://wiki.archlinux.org/title/Dm-crypt/Specialties#Encryp...

Ответить | Правка | Наверх | Cообщить модератору

5. "Шифрование разделов LUKS"  +/
Сообщение от Аноним (5), 09-Сен-23, 09:28 
Если для бэкапа используется выделенный диск ЦЕЛИКОМ, то разбивать его на разделы не требуется, можно шифровать диск целиком без разбивки.
Ответить | Правка | Наверх | Cообщить модератору

6. "Шифрование бекапов на ISO"  +/
Сообщение от Аноним (6), 09-Сен-23, 15:57 
Бекапить на съёмный, шифрованный, жесткий диск, это хорошо.

Придерживаюсь мнения, что необходимо держать бекапы на DVD/BD (-R), лучше M-DISK.

Скрипт для бекапа, создает ISO для записи:
https://www.linux.org.ru/forum/admin/15041201?cid=15051206
https://www.linux.org.ru/forum/admin/15041201?cid=15051243
https://www.linux.org.ru/forum/admin/15041201?cid=15052218

Можно добавить упаковку и шифрование перед созданием ISO.

Ответить | Правка | Наверх | Cообщить модератору

7. "Шифрование бекапов на ISO"  +/
Сообщение от ACCA (ok), 12-Сен-23, 06:47 
Согласен. Возникает вопрос - а кому и как раздать ключи шифрования?

Ну, на случай если тебя совершенно случайно убил упавший самолёт, в которого попал пролетавший метеорит.

Ответить | Правка | Наверх | Cообщить модератору

8. "Шифрование бекапов на ISO"  +/
Сообщение от Аноним (8), 12-Сен-23, 10:54 
> Согласен. Возникает вопрос - а кому и как раздать ключи шифрования?

В случае использования шифрования LUKS есть возможность установки нескольких паролей для разных людей.

> Ну, на случай если тебя совершенно случайно убил упавший самолёт, в которого попал пролетавший метеорит.

В случае шифрованых ISO на DVD/BD дисках, делать надо несколько версий, зашифрованных для разных людей и раздать бекапы им для хранения. Как вариант, можно dd и LUKS раздел в файл записать и на ISO закатать.

Это для фирм хорошо подходит. Хотя большинство просит не шифровать, а просто хранит бекапы в сейфе. Не любят у нас шифрование.

Ответить | Правка | Наверх | Cообщить модератору

10. "Полнодисковое шифрование"  +/
Сообщение от Аноним (10), 18-Сен-23, 08:28 
Ссылка на пример полнодискового шифрования для ноута: https://www.opennet.ru/openforum/vsluhforumID3/131450.html#223
Ответить | Правка | Наверх | Cообщить модератору

11. "Шифрование разделов LUKS"  +/
Сообщение от Аноним (11), 20-Сен-23, 14:49 
Часто используют связку LUKS -> LVM. Сначала шифруют физичский диск и уже его разбивают на логические разделы с помощью LVM.
GRUB поддерживает загрузку с /boot на LVM разделе, который в свою очередь размещён в разделе LUKS.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру