https://www.opennet.ru/openforum/vsluhforumID3/64137.html Задача: Обеспечить шифрование централизованного хранилища с хранением ключей шифрования на внешнем USB-носителе (воткнул ключ - работает, вытащил - не работает). Пакет truecrypt не подошел из-за особенностей его лицензии и отсутствия во многих дистрибутивах. Для шифрования было решено использовать dm-crypt, из двух фронтэндов cryptsetup и cryptmount был выбран первый.<br><br><br>++ 1. Создаем ключ.<br><br>Берём обычный Flash-накопитель на базе интерфейса USB, любого размера. Форматируем его в vfat и монтируем:<br><br> sudo su -<br> mkfs.vfat /dev/sdd1<br> mkdir /mnt/usbkey<br> mount /dev/sdd1 /mnt/usbkey<br><br>Теперь, на него нужно скопировать будущий ключ:<br><br> dd if=/dev/random of=/mnt/usbkey/public.key bs=1 count=256<br><br>Тут думаю все понятно. Теперь, ключ готов и он на флэшке.<br><br><br>++ 2. Шифрование тома.<br>У меня хранилище на зеркальном программном RAID'е. У вас может быть по-другому, но смысл тот же:<br><br> cryptsetup --verbose -c aes-cbc-essiv:sha256 luksFormat /dev/md0 /mnt/usbkey/public.key<br><br>Том зашифрован, подключа https://www.opennet.ru/openforum/vsluhforumID3/64137.html#15 Sat, 27 Feb 2010 13:58:04 GMT &gt;&gt;А у меня уже давно идея по этому поводу зудит, что бы <br>&gt;&gt;ключ брался с определенного места в локальной сети или в интернете. <br>&gt;<br>&gt;# монтируем ключ <br>&gt;# ACTION=="add", RUN+="/bin/mount -t vfat -o $env{mount_options} /dev/%k /mnt/%E{dir_name}" <br>&gt;<br>&gt;# качаим клютч <br>&gt;ACTION=="add", RUN+="wget http://microsoft.com/secrect/keys/vasya_pupkin.key -O /tmp/vasya_pupkin.key" <br><br>А в качестве ключа можно замаскироваться за безобидный ресурс <br><br>http://www.kernel.org/pub/linux/devel/binutils/binutils-2.9.5.0.27-2.9.5.0.29.diff.bz2.sign<br><br>Он там с 1999 года лежит... только эти sign 248 байт, <br>поэтому 8 байт придётся дописать спереди или сзади, <br>что из соображения безопасности даже лучше.<br><br>echo -ne "Dad+Mom*" &gt;&gt; binutils-2.9.5.0.27-2.9.5.0.29.diff.bz2.sign<br><br> https://www.opennet.ru/openforum/vsluhforumID3/64137.html#14 Sat, 27 Feb 2010 12:31:55 GMT &gt;А у меня уже давно идея по этому поводу зудит, что бы <br>&gt;ключ брался с определенного места в локальной сети или в интернете. <br><br># монтируем ключ<br># ACTION=="add", RUN+="/bin/mount -t vfat -o $env{mount_options} /dev/%k /mnt/%E{dir_name}"<br><br># качаим клютч <br>ACTION=="add", RUN+="wget http://microsoft.com/secrect/keys/vasya_pupkin.key -O /tmp/vasya_pupkin.key"<br><br># открываем наш криптованный том<br>ACTION=="add", RUN+="/sbin/cryptsetup --key-file /tmp/vasya_pupkin.key luksOpen /dev/md0 public"<br><br># навсякий убиваем <br>ACTION=="add", RUN+="rm -f /tmp/vasya_pupkin.key"<br><br>&gt; Т.е. ничего совать в компьютер не надо. <br>&gt; А в случае чего ключик можно в нужное время потереть и аха... <br><br>Тока можно словит сканером.<br><br> <br> https://www.opennet.ru/openforum/vsluhforumID3/64137.html#13 Sat, 27 Feb 2010 04:56:38 GMT ENV{dir_name}=="?*" в данном случае должна быть равна usbkey<br> https://www.opennet.ru/openforum/vsluhforumID3/64137.html#12 Fri, 26 Feb 2010 20:33:43 GMT &gt;А у меня уже давно идея по этому поводу зудит, что бы <br>&gt;ключ брался с определенного места в локальной сети или в интернете. <br>&gt;<br>&gt;Т.е. ничего совать в компьютер не надо. А в случае чего ключик <br>&gt;можно в нужное время потереть и аха... <br><br>Рекомендую запомнить мат. функцию, и её точность. <br><br>напр. кв. корень из номера квартиры + год рождения в -1 степени. <br><br>sqrt(17) + 1990^(-1) или sqrt(17)+1/1990 = 4.123608139 (запятую потом убираем)<br><br>если в текстовом виде, функции можно начинать с большой буквы <br><br>Arcsin(4)+Sqrt(17) - минимальные требования выполнены - 2 цифер, 2 большие букаф, 2 махонькие и два символа. <br> <br><br><br> <br><br> <br> https://www.opennet.ru/openforum/vsluhforumID3/64137.html#11 Fri, 26 Feb 2010 20:04:53 GMT &gt;# если не sd уходим<br>&gt; KERNEL!="sd[a-z][0-9]", GOTO="end"<br>&gt; # если переменная существует, то отмонтируем /public<br>&gt; ACTION=="remove", ENV{dir_name}=="?*", RUN+="/bin/umount -l /public"<br><br>То есть, при вынимании любого USB являющегося usb-sorage, будет размонтирован /public? :)<br> <br>Я б добавил <br><br>ACTION=="remove", ID_VENDOR_ID != 058f, ID_MODEL_ID !== 6387, ID_SERIAL_SHORT != d625939567421c, GOTO = "end" <br><br>и тоже самое при add <br><br>ACTION=="add", ID_VENDOR_ID == 058f, ID_MODEL_ID == 6387, ID_SERIAL_SHORT == d625939567421c, GOTO = "end"<br><br>Всё ID можно поймать при вынимании, всовывание флешки через:<br><br># udevadm monitor --property &#124; tee &#124; grep "ID_[MSV]"<br> <br> https://www.opennet.ru/openforum/vsluhforumID3/64137.html#10 Thu, 25 Feb 2010 13:33:47 GMT флэшку вытащить - более надёжно, чем тереть<br> https://www.opennet.ru/openforum/vsluhforumID3/64137.html#9 Thu, 25 Feb 2010 10:46:06 GMT все что может пропасть из дистрибутива, а точнее вообще не существовать в нем - мне не подойдет, я думаю это логично. можно на этом закончить.<br> https://www.opennet.ru/openforum/vsluhforumID3/64137.html#8 Wed, 24 Feb 2010 17:27:53 GMT А у меня уже давно идея по этому поводу зудит, что бы ключ брался с определенного места в локальной сети или в интернете.<br>Т.е. ничего совать в компьютер не надо. А в случае чего ключик можно в нужное время потереть и аха...<br> https://www.opennet.ru/openforum/vsluhforumID3/64137.html#7 Wed, 24 Feb 2010 12:56:09 GMT Ты написал как будто тебе не подошла лицензия :)<br>