OpenForum RSS: Загружаем linux с шифрованных ФС. Как далеко можно зайти? https://opennet.me/openforum/vsluhforumID10/4644.html Сначала сделал просто шифрованный /home при помощи LUKS.<br>Быстро выяснилось, что надо и /etc держать в зашифрованном виде.<br>Сейчас хочу сделать всю корневую ФС тоже через LUKS.<br>Как я понимаю /boot придётся делать в обычном виде.<br>В свизи с этим возникли вопросы: <br>1. Получится ли загружаться с GRUB, если все необходимые модули встроить в ядро? <br>2. Как при запуске в ядро передать, где у меня там /корень?<br>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)<br>4. можно ли загрузочный раздел, где находятся ядра, тоже зашифровать? Есть ли в GRUB(или других загрузчиках) такая возможность?<br><br>Всякие там EncFS мне не подойдёт, основное буду держать в Reiser4 или Ext4.<br> Загружаем linux с шифрованных ФС. Как далеко можно зайти? (vehn) https://opennet.me/openforum/vsluhforumID10/4644.html#3 Tue, 20 Jul 2010 18:09:02 GMT &gt;&gt;&gt;2. Как при запуске в ядро передать, где у меня там /корень?<br>&gt;&gt;<br>&gt;&gt;root= <br>&gt;<br>&gt;там же сначала loop-device с шифромание создаётся, а потом ФС монтируется. <br>&gt;как это всё завернуть в root= ?<br><br>Этой опцией вы говорите ядру на каком разделе (партиции) находится у вас корень, что не имеет никакого отношения к шифрованию. О шифровании будет уже беспокоиться ram-диск. Не думаю, что вам вообще нужно беспокоиться по данному вопросу. Подавляющее большинство дистрибутивов обрабатывают эту ситуацию автоматом при установке загузчика. Исключение: slackware и gentoo. Зато оба имеют исчерпывающую документацию относительно шифрования как полностью диска, так и отдельного раздела, к которой я рекомендую обратиться, дабы иметь понятие как вообще всё это работает.<br><br>&gt;<br>&gt;&gt;&gt;3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)<br>&gt;&gt;<br>&gt;&gt;никаких, при наличии продуманной политики backup-ов <br>&gt;<br>&gt;Планирую raid 5 или 6 через mdadm. Бэкапы первое время врятли будут, <br>&gt;из-за ОЧЕНЬ больших объёмов инфы. Если только саму сист Загружаем linux с шифрованных ФС. Как далеко можно зайти? (cauldron) https://opennet.me/openforum/vsluhforumID10/4644.html#2 Tue, 20 Jul 2010 17:49:45 GMT &gt;&gt;2. Как при запуске в ядро передать, где у меня там /корень?<br>&gt;<br>&gt;root= <br><br>там же сначала loop-device с шифромание создаётся, а потом ФС монтируется.<br>как это всё завернуть в root= ?<br><br>&gt;&gt;3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)<br>&gt;<br>&gt;никаких, при наличии продуманной политики backup-ов <br><br>Планирую raid 5 или 6 через mdadm. Бэкапы первое время врятли будут, из-за ОЧЕНЬ больших объёмов инфы. Если только саму систему и её настройки отдельно бэкапить.<br><br>&gt;p.s. ради интереса, погуглите ещё на тему pam_usb. Можно организовать полностью &gt;беспарольный <br>&gt;(точнее, без ввода пароля, сам пароль разумеется существует, удобство в том, <br>&gt;что его не нужно запоминать, а соответственно, возможны очень стойкие пароли) <br>&gt;вход в систему при помощи одной лишь флэшки. <br><br>Или двух,на всякий случай :-)<br>Хотя я обычно пароли символов по 14 делаю, но это уже не то, что было раньше :-) ломаются за две секунды.<br>Возможно ради безопасность USB придётся выпиливать, ну если что , буду пробовать через pam. <br><br><br>Сп Загружаем linux с шифрованных ФС. Как далеко можно зайти? (vehn) https://opennet.me/openforum/vsluhforumID10/4644.html#1 Tue, 20 Jul 2010 16:52:59 GMT &gt;1. Получится ли загружаться с GRUB, если все необходимые модули встроить в <br>&gt;ядро? <br><br>да<br><br>&gt;2. Как при запуске в ядро передать, где у меня там /корень?<br><br>root=<br><br>&gt;3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)<br><br>никаких, при наличии продуманной политики backup-ов<br><br>&gt;4. можно ли загрузочный раздел, где находятся ядра, тоже зашифровать? Есть ли <br>&gt;в GRUB(или других загрузчиках) такая возможность?<br><br>Нет, нельзя. Но как вариант, можно разместить ядро (лучше вместе с загрузчиком) на флешке (или на чём-нибудь подобном, с чего возможно загрузиться), после того, как система полностью загрузится флэшку можно (и нужно) удалить (ядро всегда располагается в памяти). Это методика применяется для противодействия компрометации "физического" образа ядра (тот образ, который лежит в /boot, а не в оперативной памяти).<br><br>p.s. ради интереса, погуглите ещё на тему pam_usb. Можно организовать полностью беспарольный (точнее, без ввода пароля, сам пароль разумеется существует, удобство в том, что его не нужно за