URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5656
[ Назад ]

Исходное сообщение
"Шифрование разделов LUKS"
Отправлено sheff.artx , 03-Сен-23 08:03

Нужно создать шифрованный диск для бэкапа. (Никто не покушается на данные, но паранойя)) Во всех статьях пишут, что сначала требуется создать раздел, а после зашифровать его. Где-то встречал, что таблица разделов должна быть GPT. Но что мешает зашифровать весь диск сразу, минуя разбивку? Это работает, проверял, но какие подводные? Всем благодарен, с меня, как обычно.

Содержание

Шифрование разделов LUKS,Аноним, 12:58 , 03-Сен-23
- Шифрование разделов LUKS,Аноним, 13:09 , 03-Сен-23
  - Шифрование разделов LUKS,sheff.artx, 13:40 , 03-Сен-23
    - Шифрование разделов LUKS,Аноним, 16:17 , 03-Сен-23
Шифрование разделов LUKS,Аноним, 09:28 , 09-Сен-23
Шифрование бекапов на ISO,Аноним, 15:57 , 09-Сен-23
- Шифрование бекапов на ISO,ACCA, 06:47 , 12-Сен-23
  - Шифрование бекапов на ISO,Аноним, 10:54 , 12-Сен-23
Полнодисковое шифрование,Аноним, 08:28 , 18-Сен-23
Шифрование разделов LUKS,Аноним, 14:49 , 20-Сен-23

Сообщения в этом обсуждении

"Шифрование разделов LUKS"
Отправлено Аноним , 03-Сен-23 12:58

https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_enti...

"Шифрование разделов LUKS"
Отправлено Аноним , 03-Сен-23 13:09

Если правильно понял вводные, то недостатки такие:
* нужно помнить фиксированные настройки шифрования.
* systemd не сможет автоматически смонтировать корневой раздел. Для бэкап-диска - без разницы.
* один ключ шифрования, нельзя использовать слоты. Для бэкап-диска может быть удобно иметь несколько разных ключей: для автоматического монтирования службами целевых систем (на их ФС) и для ручного расшифрования (в голове);
А в чем проблема сделать раздел на весь бэкап-диск, а потом его весь зашифровать?

"Шифрование разделов LUKS"
Отправлено sheff.artx , 03-Сен-23 13:40

> Если правильно понял вводные, то недостатки такие:
> * нужно помнить фиксированные настройки шифрования.
> * systemd не сможет автоматически смонтировать корневой раздел. Для бэкап-диска - без
> разницы.
> * один ключ шифрования, нельзя использовать слоты. Для бэкап-диска может быть удобно
> иметь несколько разных ключей: для автоматического монтирования службами целевых систем
> (на их ФС) и для ручного расшифрования (в голове);
> А в чем проблема сделать раздел на весь бэкап-диск, а потом его
> весь зашифровать?
Спасибо за ответ и, как я понял особой разницы нет, т.к. автоматического монтирования не предвидится и монтирую руками и только я.

"Шифрование разделов LUKS"
Отправлено Аноним , 03-Сен-23 16:17

> монтирую руками и только я
Я по-началу тоже так предполагал. Но бэкапы - такая штука, которую очень желательно делать часто, а значит это должно быть легко и удобно. Иначе быстро надоедает, появляются задержки между бэкапами и риск потери свежих данных растет. К тому же, риск раскрыть пароль при вводе с клавиатуры обычным пользователем значительно выше, чем при монтировании ключом, который видит только суперпользователь с также шифрованной ФС с ОС. К тому же, если для доступа к диску используется несколько устройств с разными ключами, можно легко сменить/удалить ключ только для скомпрометированного устройства.
Ну и, наконец, возможность перешифровать диск с новыми настройками налету. Например, при устаревании (вычислительной сложности) или компрометации алгоритмов шифрования. Или просто под новый процессор, который имеет инструкции/модуль для более быстрой работы с каким-то конкретным шифром.
Короче, заголовки LUKS - это очень гибко и удобно.
> особой разницы нет
Есть ещё похожий, но более гибкий вариант: хранить заголовки LUKS на отдельном от диска устройстве. Диск будет а-ля plain-dmcrypt, но заголовки, например, на флэшке, позволят легко менять настройки/ключи шифрования. Цена: потеря данных при потере флэшки.
Подробнее:
https://wiki.archlinux.org/title/Dm-crypt/Specialties#Encryp...

"Шифрование разделов LUKS"
Отправлено Аноним , 09-Сен-23 09:28

Если для бэкапа используется выделенный диск ЦЕЛИКОМ, то разбивать его на разделы не требуется, можно шифровать диск целиком без разбивки.

"Шифрование бекапов на ISO"
Отправлено Аноним , 09-Сен-23 15:57

Бекапить на съёмный, шифрованный, жесткий диск, это хорошо.
Придерживаюсь мнения, что необходимо держать бекапы на DVD/BD (-R), лучше M-DISK.
Скрипт для бекапа, создает ISO для записи:
https://www.linux.org.ru/forum/admin/15041201?cid=15051206
https://www.linux.org.ru/forum/admin/15041201?cid=15051243
https://www.linux.org.ru/forum/admin/15041201?cid=15052218
Можно добавить упаковку и шифрование перед созданием ISO.

"Шифрование бекапов на ISO"
Отправлено ACCA , 12-Сен-23 06:47

Согласен. Возникает вопрос - а кому и как раздать ключи шифрования?
Ну, на случай если тебя совершенно случайно убил упавший самолёт, в которого попал пролетавший метеорит.

"Шифрование бекапов на ISO"
Отправлено Аноним , 12-Сен-23 10:54

> Согласен. Возникает вопрос - а кому и как раздать ключи шифрования?
В случае использования шифрования LUKS есть возможность установки нескольких паролей для разных людей.
> Ну, на случай если тебя совершенно случайно убил упавший самолёт, в которого попал пролетавший метеорит.
В случае шифрованых ISO на DVD/BD дисках, делать надо несколько версий, зашифрованных для разных людей и раздать бекапы им для хранения. Как вариант, можно dd и LUKS раздел в файл записать и на ISO закатать.
Это для фирм хорошо подходит. Хотя большинство просит не шифровать, а просто хранит бекапы в сейфе. Не любят у нас шифрование.

"Полнодисковое шифрование"
Отправлено Аноним , 18-Сен-23 08:28

Ссылка на пример полнодискового шифрования для ноута: https://www.opennet.dev/openforum/vsluhforumID3/131450.html#223

"Шифрование разделов LUKS"
Отправлено Аноним , 20-Сен-23 14:49

Часто используют связку LUKS -> LVM. Сначала шифруют физичский диск и уже его разбивают на логические разделы с помощью LVM.
GRUB поддерживает загрузку с /boot на LVM разделе, который в свою очередь размещён в разделе LUKS.