Есть ли какой нибудь простенький howto для того, что бы зашифровать свой домашний раздел так же как в Ubuntu/Fedora?
Есть ли какой нибудь простенький howto для того, что бы зашифровать свой домашний раздел так же как в Ubuntu/Fedora?
- sys-fs/ecryptfs-utils (требует ecryptfs в ядре), он же используется в ubuntu
- luks - позволяет шифровать все кроме загрузчика и ядра (возможно grub2 умеет ставиться в т.ч. при шифрованом /boot, надо читать и смотреть его модули)
Разработчики калькулэйт могут добавить в инсталятор возможность шифрования хомяка по любому из приведенных Михаилом вариантов
Убунта ведь может, хочется и в кальке этот функционал.
в режиме builder добавь в образ cryptsetup и в ядре :
# Device Drivers ---> [*] Block devices ---> [*] Multiple devices driver support (RAID and LVM) ---> <*> Device mapper support <M> Crypt target support
разрабам кальки это не нужно … дистр то для малого и среднего бизнеса 
жаль, а было бы интересно решение из коробки…)))))))
Добавим, как время будет.
По просьбе Alexander Tratsevskiy переношу в этот топик комментарии из обсуждения новости “Calculate Install 3 Alpha 1 скоро…”:
http://www.calculate-linux.ru/blogs/show/356
основные мысли по теме шифрования в CL:
Aleksandr P.:
encfs для /home как в убунту, или же шифрование диска а ля opensuse/debian (LUKS???)
Dmitry Fomenko:
Из личного опыта использование энки - очень критична к версии dev-libs/boost. Два раза ломалась при апдейте последнего. Хорошо, в дженте можно откатиться к предыдущей версии любой либы.
Из давно используемого - sys-fs/cryptsetup, который LUKS. Работает на ЦентОС и на Кальке (CDS). Пашет не первый год с критичными приложениями: 1С, Постгрес, пара внутренних БДшек. Метод расшифровки на выбор - либо ключ на любом носителе (флешка, винт), либо вводи пароль с консоли. Вот это и есть оптимальный вариант. Ну это так, на будущее.
Михаил Гагауз:
encfs для /home как в убунту, или же шифрование диска а ля opensuse/debian
А разве в ubuntu не ecryptfs?
Из давно используемого - sys-fs/cryptsetup ... Вот это и есть оптимальный вариант
Не совсем согласен.
Насколько я помню cryptsetup шифрует партицию, а не директорию. И у него своя область применения, допустим бутовая флешка с openvpn/ssh ключами для доступа к офису находясь далеко от дома/офиса(отпуск к примеру).
А в случае же когда необходимо прозрачно зашифровать хомяки отдельных пользователей (и этих пользователей на машине больше одного) ecryptfs больше подходит(про encfs ничего не скажу, не читал).
Даже если злоумышленик завладеет носителем, весь контент (или отдельная директория, тут смотря как настроишь) будет зашифрована паролем юзера (насколько я понимаю, и тут возможны варианты), т.е. уволенный сотрудник или маски-шоу внезапно "экспроприировавшие" харды получат лишь загружаемую систему, но с зашифрованными данными пользователей (остается лишь верить в разумность юзеров и криптостойкость их паролей).
Кстати, вопрос тем кто имеет опыт работы с cryptsetup, ecryptfs и encfs.
Есть ли в этих системах механизм смены пароля/ключа которым шифруются данные налету? И если есть - существует ли какая-то защита от сбоев(ну вроде как если произойдет перезагрузка - чтоб можно было продолжить перекодирование введя лишь новый пароль)?
4. Aleksandr P.:
именно русского перевода документации eCryptfs не нашел, но вот интересная подробная статья (на примере debian все описано пошагово, делается ручками в консоли, мне как юзеру понравилось, может будет полезно и вам/нам):
http://www.ashep.org/2012/ecryptfs-i-shifrovanie-domashnego-kataloga-v-linux/
официальные переводы на русский вот тут посмотрите:
https://translations.launchpad.net/ecryptfs/trunk/+pots/ecryptfs-utils/ru/+translate
п с: думаю надо предусмотреть и шифрование swap? это было бы логично:
http://ubuntism.ru/2011/09/ecryptfs-post-install/
п п с: как сменить пароль в ecryptfs за полчаса гугления не нашел.
Добавил(а) Aleksandr P около 1 часа назад
http://www.gentoo-wiki.info/HOWTO_Encrypt_Your_Home_Directory_Using_EncFS
инструкция по шифрованию хомяка юзера в gentoo, интересно было бы встроить в инсталятор?
ну или LUKS, как выше предлагали...может найдем решение и в инсталяторе появится пункт для параноиков и владельцев командировочных ноутбуков с шифрованием хомяка или корня?
Aleksandr P wrote:
может найдем решение и в инсталяторе появится пункт для параноиков и владельцев командировочных ноутбуков с шифрованием хомяка или корня?
добавь в режиме --build
emerge cryptsetup && rc-update add dmcrypt boot
через gnome-disk-utility (если консоль не нравится) создай раздел с паролем , кальковский инсталер нормально ставит на dm-0 /home . Самое сложное , это после установки (не ребутясь) примонтировать новую корневую и изменить 2 строчки в /etc/conf.d/dmcrypt примерно так :
## /home with passphrase
target=home
source='/dev/sda2'Алексей, осторожный оптимизм мне внушает то, что Alexander Tratsevskiy в комментариях http://www.calculate-linux.ru/blogs/show/356 попросил вынести обсуждение в отдельный топик и выразил пожелание найти некое решение и реализовать его.
если бы позиция разработчика была бы “решительное нет”, то, естественно, есть несколько толковых gentoo инструкций как реализовать шифрование хомяка, корня, свапа, автомонтирование внешних дисков через LUKS, и прочая, прочая, прочая.
п с: за совет спасибо, так лаконично еще не видел описание процедуры шифрования. Единственно, у меня CLD а не CLDG, соответственно gnome-disk-utility отсутствует. В KDE есть аналог?
п п с: я за решения “искарапки”, поскольку:
- такая опция есть во всех основных дистрибутивах, CL/Gentoo я отношу к основным.
- на новом ноутбуке HP из множества дистрибутивов и сборок великолепно завелся и работает именно CLD, а на всех ноутбуках, с которыми летаю в командировки, я шифрую хомяк.
- решения “искаропки” снижают порог вхождения в CL/Gentoo для юзеров, дистрибутив CL очень хорош, но есть трудности с администрированием для неопытных юзеров.
Aleksandr P wrote:
… Единственно, у меня CLD а не CLDG, соответственно gnome-disk-utility отсутствует. В KDE есть аналог?
у меня ОпенБокс … поэтому загляните в меню программ для работы с диском сами
з.ы. ну или
man cryptsetupноутбук с CLD дома, на работе под офтопиком, поэтому менюшку поизучаю вечером)))
Aleksandr P wrote:
По просьбе Alexander Tratsevskiy переношу в этот топик комментарии из обсуждения новости “Calculate Install 3 Alpha 1 скоро…”:
Надо было создать топик в разделе “Общий” а не сюда прикреплять 
А то пользователям не CLDX он невиден ( тем которые в эту ветку не лазят)
может модератор форума перенесет эту тему в Общее???
Если я скопирую туда в новую тему - все форматирование побьется, вручную оформлять форматирование сейчас времени нет, пишу с работы.