Сначала сделал просто шифрованный /home при помощи LUKS.
Быстро выяснилось, что надо и /etc держать в зашифрованном виде.
Сейчас хочу сделать всю корневую ФС тоже через LUKS.
Как я понимаю /boot придётся делать в обычном виде.
В свизи с этим возникли вопросы:
1. Получится ли загружаться с GRUB, если все необходимые модули встроить в ядро?
2. Как при запуске в ядро передать, где у меня там /корень?
3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)
4. можно ли загрузочный раздел, где находятся ядра, тоже зашифровать? Есть ли в GRUB(или других загрузчиках) такая возможность?Всякие там EncFS мне не подойдёт, основное буду держать в Reiser4 или Ext4.
>1. Получится ли загружаться с GRUB, если все необходимые модули встроить в
>ядро?да
>2. Как при запуске в ядро передать, где у меня там /корень?
root=
>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)
никаких, при наличии продуманной политики backup-ов
>4. можно ли загрузочный раздел, где находятся ядра, тоже зашифровать? Есть ли
>в GRUB(или других загрузчиках) такая возможность?Нет, нельзя. Но как вариант, можно разместить ядро (лучше вместе с загрузчиком) на флешке (или на чём-нибудь подобном, с чего возможно загрузиться), после того, как система полностью загрузится флэшку можно (и нужно) удалить (ядро всегда располагается в памяти). Это методика применяется для противодействия компрометации "физического" образа ядра (тот образ, который лежит в /boot, а не в оперативной памяти).
p.s. ради интереса, погуглите ещё на тему pam_usb. Можно организовать полностью беспарольный (точнее, без ввода пароля, сам пароль разумеется существует, удобство в том, что его не нужно запоминать, а соответственно, возможны очень стойкие пароли) вход в систему при помощи одной лишь флэшки.
>>2. Как при запуске в ядро передать, где у меня там /корень?
>
>root=там же сначала loop-device с шифромание создаётся, а потом ФС монтируется.
как это всё завернуть в root= ?>>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)
>
>никаких, при наличии продуманной политики backup-овПланирую raid 5 или 6 через mdadm. Бэкапы первое время врятли будут, из-за ОЧЕНЬ больших объёмов инфы. Если только саму систему и её настройки отдельно бэкапить.
>p.s. ради интереса, погуглите ещё на тему pam_usb. Можно организовать полностью >беспарольный
>(точнее, без ввода пароля, сам пароль разумеется существует, удобство в том,
>что его не нужно запоминать, а соответственно, возможны очень стойкие пароли)
>вход в систему при помощи одной лишь флэшки.Или двух,на всякий случай :-)
Хотя я обычно пароли символов по 14 делаю, но это уже не то, что было раньше :-) ломаются за две секунды.
Возможно ради безопасность USB придётся выпиливать, ну если что , буду пробовать через pam.
Спасибо!!!
>>>2. Как при запуске в ядро передать, где у меня там /корень?
>>
>>root=
>
>там же сначала loop-device с шифромание создаётся, а потом ФС монтируется.
>как это всё завернуть в root= ?Этой опцией вы говорите ядру на каком разделе (партиции) находится у вас корень, что не имеет никакого отношения к шифрованию. О шифровании будет уже беспокоиться ram-диск. Не думаю, что вам вообще нужно беспокоиться по данному вопросу. Подавляющее большинство дистрибутивов обрабатывают эту ситуацию автоматом при установке загузчика. Исключение: slackware и gentoo. Зато оба имеют исчерпывающую документацию относительно шифрования как полностью диска, так и отдельного раздела, к которой я рекомендую обратиться, дабы иметь понятие как вообще всё это работает.
>
>>>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)
>>
>>никаких, при наличии продуманной политики backup-ов
>
>Планирую raid 5 или 6 через mdadm. Бэкапы первое время врятли будут,
>из-за ОЧЕНЬ больших объёмов инфы. Если только саму систему и её
>настройки отдельно бэкапить.
>Ну есть старая шутка о том, что пользователи делятся на две группы: первые -- ещё не делают бэкапов, вторые --_теперь_ делают.