Вопрос Шифрование в Linux

Больше
2 года 3 мес. назад - 2 года 3 мес. назад #11 от evgenij
evgenij ответил в теме Шифрование в Linux
Кстати. Что мешает использовать одновременно LVM/LUKS и eCryptfs ? Ничего не мешает, а результаты могут быть довольно неплохи.

Итак, вы установили систему на LVM/LUKS. Но у вас остались незашифрованные разделы, на которых вам тоже хотелось бы на всякий случай скрыть от постороннего взгляда пару-тройку каталогов с файлами. Поступаем следующим образом:

Шифруем означенные каталоги в eCryptfs, как рассказано выше. Для разнообразия можно попробовать шифровать названия файлов:
Enable filename encryption (y/n) [n]: y

Далее:

Создаем файл с произвольным названием:
sudo mkdir /root/.ecryptfs_passphrase

который содержит ваше кодовое (passphrase) слово:
passphrase_passwd=********************

Создаем файл .ecryptfsrc :
sudo mkdir /root/.ecryptfsrc

в котором (например):
key=passphrase:passphrase_passwd_file=/root/.ecryptfs_passphrase
ecryptfs_sig=*******************
ecryptfs_cipher=aes
ecryptfs_key_bytes=16
ecryptfs_passthrough=n
ecryptfs_enable_filename_crypto=y
ecryptfs_fnek_sig=*******************

, значения ecryptfs_sig и ecryptfs_fnek_sig совпадают, берем из
/root/.ecryptfs/sig-cache.txt


И теперь осталось только указать монтируемые при загрузке системы каталоги в
/etc/fstab

вот так:
/path_to_dir1 /path_to_dir1 ecryptfs defaults 0 0
/path_to_dir2 /path_to_dir2 ecryptfs defaults 0 0

Как видите, файл с кодовой фразой у нас находится на зашифрованном LVM/LUKS разделе и, когда компьютер выключен, недоступен для НСД (несанкционированного доступа). Подобная схема позволяет таким образом монтировать расшифрованные каталоги при загрузке системы, что прозрачно для вас и не требует от вас дополнительно ввода пароля: все завязано на единственный пароль LVM/LUKS, который вы вводите при загрузке системы.

Дождались! Fedora 28.
Последнее редактирование: 2 года 3 мес. назад пользователем evgenij.
Спасибо сказали: Aleksej

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
2 года 3 мес. назад #12 от Aleksej
Aleksej ответил в теме Шифрование в Linux
Пингвины рулят.
Крипторазделы вообще штука полезная... особенно в наши дни.
Небольшой набросок от Петра Волкова, получивший название "Питерский линуксмен":
Have a nice day!


Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
1 год 11 мес. назад - 1 год 11 мес. назад #13 от Aleksej
Aleksej ответил в теме Шифрование в Linux
И еще один аспект шифрования, на этот раз - шифрование трафика... анонс статьи блога HTTPS для RHEL (CentOS) , в которой достаточно подробно прокомментирована данная последовательность действий:


$ sudo yum install mod_ssl openssl
$ sudo openssl genrsa -out ca.key 1024
$ sudo openssl req -new -key ca.key -out ca.csr

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:RU
State or Province Name (full name) []:Moscow
Locality Name (eg, city) [Default City]:Moscow
Organization Name (eg, company) [Default Company Ltd]:Masterpro.ws
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:masterpro.ws
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

$ sudo openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt
Signature ok
subject=/C=RU/ST=Moscow/L=Moscow/O=Masterpro.ws/CN=masterpro.ws
Getting Private key

$ mv ca.crt /etc/pki/tls/certs
$ mv ca.key /etc/pki/tls/private/ca.key
$ mv ca.csr /etc/pki/tls/private/ca.csr

$ sudo service httpd restart                                                                                                  
Redirecting to /bin/systemctl restart  httpd.service
Последнее редактирование: 1 год 11 мес. назад пользователем Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
1 год 7 мес. назад #14 от serge
serge ответил в теме Шифрование в Linux

evgenij пишет: И теперь осталось только указать монтируемые при загрузке системы каталоги в

/etc/fstab

вот так:
/path_to_dir1 /path_to_dir1 ecryptfs defaults 0 0
/path_to_dir2 /path_to_dir2 ecryptfs defaults 0 0



Кстати необязательно, можно все опции монтирования ecryptfs прописать сразу в fstab, например:

# eCryptfs mount points
/home/username/.Private /home/username/Private ecryptfs rw,user,noauto,ecryptfs_sig=XY,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecrypfs_unlink_sigs 0 0

ПРИМЕЧАНИЕ:
  • Параметр user позволяет монтирование с ограниченными правами.
  • В параметре ecryptfs_sig замените строку XY значением сигнатуры (можно взять из mtab или sig-cache.txt).
  • Если было разрешено шифрование имён файлов, то нужно поставить дополнительный параметр монтирования ecryptfs_fnek_sig=XY, где XY тоже значение сигнатуры, что и в параметре ecryptfs_sig.
  • Последний параметр ecrypfs_unlink_sigs говорит о том, что при размонтировании ключ из брелка будет удалён.

А я смогу! - А поглядим! - А я упрямый!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.