The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выпуск Cryptsetup 2.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск Cryptsetup 2.0"  +/
Сообщение от opennews (ok) on 13-Дек-17, 13:04 
Доступен (http://www.saout.de/pipermail/dm-crypt/2017-December/005771....) релиз набора утилит Cryptsetup 2.0 (https://gitlab.com/cryptsetup/cryptsetup), предназначенных для настройки шифрования дисковых разделов в Linux при помощи модуля dm-crypt. Поддерживается работа с разделами dm-crypt, LUKS, loop-AES и TrueCrypt с расширениями VeraCrypt. В состав также входят утилиты veritysetup и integritysetup  для настройки средств контроля целостности данных на основе модулей
dm-verity и dm-integrity.


В новой версии обеспечена поддержка дискового шифрования с использованием формата LUKS2, примечательного упрощённой системой управления ключами, возможностью использования секторов  большого размера (4096  вместо 512, снижает нагрузку при расшифровке), символьными идентификаторами разделов (label) и средствами резервирования метаданных с возможностью их автоматического восстановления из копии в случае выявления повреждения. Поддержка ранее используемого формата LUKS1 сохранена в полном объёме с обеспечением обратной совместимости. Для преобразования из формата LUKS1 в LUKS2 реализована команда "cryptsetup convert".


В новой версии также представлена поддержка аутентифицированного дискового шифрования (Authenticated Encryption, гарантирует, что блок данных не был модифицирован обходным путём) и контроля целостности данных без шифрования на основе модуля ядра dm-integrity. Для управления модулем dm-integrity добавлена новая утилита integritysetup. Режим аутентифицированного дискового шифрования позволяет совместить защиту данных от чужих глаз и средства обеспечения целостности, как с позиции предотвращения скрытых случайных повреждений информации, так и  для блокирования внесения неавторизированных изменений на дисковом уровне.


Среди других изменений:


-  Новая реализация функции хэширования паролей PBKDF (Password-Based Key Derivation Function), ориентированная на затруднение проведения параллелизированных атак по подбору пароля по словарю (не позволяет применять GPU из-за потребности в большом размере памяти для вычисления хэша).
-  Добавлена опция  "--pbkdf-force-iterations", позволяющая самостоятельно выбрать уровень защиты PBKDF, балансируя между затруднением словарного подбора и потреблением ресурсов CPU/потреблением памяти/задержкой при входе.

-  Возможность использования хэш-функцииа Argon2 (https://password-hashing.net/#argon2) для создания ключей на основе заданного пользователем пароля.
-  Поддержка применения встроенного в ядро Linuх хранилища ключей (Kernel keyring) для передачи ключей и паролей доступа к разделу. Поддержка автоматической активации раздела по находящемуся в хранилище ключей токену.
-  Поддержка открытия разделов VeraCrypt, в которых используется Personal Iteration  Multiplier (PIM).
-  Возможность запоминания выбранных для разделов флагов (например, включение TRIM).
-  Новая команда "--deferred" которая позволяет пометить устройство для удаления, но произвести удаление после того как оно перестанет использоваться (например, после отмонтирования связанного с ним разедела).

URL: http://www.saout.de/pipermail/dm-crypt/2017-December/005771....
Новость: http://www.opennet.me/opennews/art.shtml?num=47728

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск Cryptsetup 2.0"  –9 +/
Сообщение от mumu (ok) on 13-Дек-17, 13:04 
Так и не смог разобраться во всём этом зоопарке. До сих пор не могу понять, как лучше делать: lvm поверх luks или luks поверх lvm. А теперь ещё и dm-crypt... Вообще не понятно с какого боку его использовать и как он дружит с lvm
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск Cryptsetup 2.0"  –6 +/
Сообщение от Аноним (??) on 13-Дек-17, 13:09 
Ничего из этого не используйте, лучше шифруйте отдельные файлы/каталоги. LUKS очень любит сыпаться без возможности восстановления, плавали, знаем.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Выпуск Cryptsetup 2.0"  –3 +/
Сообщение от Аноним (??) on 13-Дек-17, 13:12 
Не так. Лучше делать нешифрованный раздел, а на нём криптоконтейнеры LUKS в файлах. Для удобства можно использовать это: https://git.zx2c4.com/ctmg/about/
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 13:13 
> Ничего из этого не используйте, лучше шифруйте отдельные файлы/каталоги. LUKS очень любит
> сыпаться без возможности восстановления, плавали, знаем.

юзайте cryptsetup luksHeaderBackup - ничего не пострадает

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Выпуск Cryptsetup 2.0"  +4 +/
Сообщение от Аноним (??) on 13-Дек-17, 13:15 
> Ничего из этого не используйте, лучше шифруйте отдельные файлы/каталоги. LUKS очень любит
> сыпаться без возможности восстановления, плавали, знаем.

Можно было остановиться на : "Ничего из этого не используйте.."
Где и у кого он любит %))))

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Выпуск Cryptsetup 2.0"  +7 +/
Сообщение от Аноним (??) on 13-Дек-17, 13:15 
> Ничего из этого не используйте

Товарищ майор, залогиньтесь.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

99. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 14-Дек-17, 05:58 
Бред, там нечему сыпаться. Попробуй покупать диски не на AliExpress.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

100. "Выпуск Cryptsetup 2.0"  +1 +/
Сообщение от лютый жабист__ on 14-Дек-17, 06:19 
>LUKS очень любит сыпаться без возможности восстановления

нюню. И серверы есть с зашифрованными дисками (centos) и на рабочих ПК с арчем всё пучком уже 10+ лет, несмотря на регулярные подарки от электриков. LUKS хорошка.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Выпуск Cryptsetup 2.0"  –2 +/
Сообщение от Аноним (??) on 13-Дек-17, 13:11 
luks поверх lvm
наоборот - извращение какое-то )
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Выпуск Cryptsetup 2.0"  +4 +/
Сообщение от Аноним (??) on 13-Дек-17, 13:17 
...ею
Сначало шифруется раздел, а потом на него сажают LVM!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

23. "Выпуск Cryptsetup 2.0"  +1 +/
Сообщение от SysA on 13-Дек-17, 13:48 
> luks поверх lvm
> наоборот - извращение какое-то )

Kak раз-таки извращение - luks поверх lvm! :)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

75. "Выпуск Cryptsetup 2.0"  +2 +/
Сообщение от Аноним (??) on 13-Дек-17, 20:52 
Кому-то больше нравится сверху, кому-то — снизу. Всё нормально.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

82. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 21:52 
> Кому-то больше нравится сверху, кому-то — снизу. Всё нормально.

*Маководы c вами не согласны!*

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

84. "Выпуск Cryptsetup 2.0"  +2 +/
Сообщение от Аноним (??) on 13-Дек-17, 22:50 
Маководы могут по-тихому делать LUKS поверх LUKS или LVM поверх LVM, только пусть не утверждают, что это — норма.
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

11. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 13:19 
> Так и не смог разобраться во всём этом зоопарке. До сих пор
> не могу понять, как лучше делать: lvm поверх luks или luks
> поверх lvm.

Это зависит. Если у тебя один диск, удобнее сделать LUKS прямо на нём. Если дисков несколько, удобнее из них делать PV, а шифровать уже LV.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Выпуск Cryptsetup 2.0"  –2 +/
Сообщение от Аноним (??) on 13-Дек-17, 13:24 
В каком случае несколько дисков?
Детализируйте.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Выпуск Cryptsetup 2.0"  –1 +/
Сообщение от Greg KH on 13-Дек-17, 13:25 
Оставляй, как тебе предлагает шифровать инсталлятор твоего любимого дистра.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 13:47 
Так инсталятор то и не предлагает вариант. Выбираешь сам.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

25. "Выпуск Cryptsetup 2.0"  +2 +/
Сообщение от Greg KH on 13-Дек-17, 13:52 
Ну, раз у тебя дистр для умных, прочти уже арчевики на эту тему (как самую вменяемую документацию), и сам реши.

Я юзаю (xfs на (lvm на (luks на (диске)))) как дефолт моего дистра - проблем с дисками нет. Кроме срAн0го раздела UEFI в fat32, который уже 2 раза сыпался и приходилось перегенерировать. Вот уж мерзкая инородная субстанция!

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 14:01 
Стоп. Так смотреть что инсталятор предлагает или читать Вики? )))
В том то и дело, инсталятор дает инструменты, а как ты с ними будешь обходится и
в каком порядке это личное дело.
А вот почитать маны перед установкой колнечно не помешает,
а даже приветствуется ))
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

29. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Greg KH on 13-Дек-17, 14:07 
Читать и смотреть хотя бы сообщения в той ветке, куда отвечаешь. А то какие-то несвязные вопросы получаются.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

33. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 14:12 
Или все таки собраться с мыслями и перестать давать не нужные советы?
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Выпуск Cryptsetup 2.0"  –2 +/
Сообщение от Аноним (??) on 13-Дек-17, 14:09 
> Стоп. Так смотреть что инсталятор предлагает или читать Вики? )))
> В том то и дело, инсталятор дает инструменты, а как ты с
> ними будешь обходится и
> в каком порядке это личное дело.
> А вот почитать маны перед установкой колнечно не помешает,
> а даже приветствуется ))

проще разумеется ничего не читать, а просто поставить как предлогает дефолтный инсталлятор дефолтного дистра который поддерживает LUKS при инсталляции, как он там это сделает, уже не ваше дело, ваше дело убедится что I/O после этого нае6нется раза в 2 ;) и поставить заново тот же дистр на ext4 без LUKS & LVM, llvm или как там оно называлось...

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "Выпуск Cryptsetup 2.0"  +1 +/
Сообщение от Аноним (??) on 13-Дек-17, 14:14 
>[оверквотинг удален]
>> ними будешь обходится и
>> в каком порядке это личное дело.
>> А вот почитать маны перед установкой колнечно не помешает,
>> а даже приветствуется ))
> проще разумеется ничего не читать, а просто поставить как предлогает дефолтный инсталлятор
> дефолтного дистра который поддерживает LUKS при инсталляции, как он там это
> сделает, уже не ваше дело, ваше дело убедится что I/O после
> этого нае6нется раза в 2 ;) и поставить заново тот же
> дистр на ext4 без LUKS & LVM, llvm или как там
> оно называлось...

Вот откровение!! Бл... Я столько лет жил неправильно!!
Горе! ))
Вот у меня инсталятор не предлагает ничего. Я выбрал неправильный дистр? )))))))
Напишине об этом тому же Debian.org ))))

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

53. "Выпуск Cryptsetup 2.0"  +/
Сообщение от scorry (ok) on 13-Дек-17, 16:36 
> ... ваше дело убедится что I/O после
> этого нае6нется раза в 2 ;) и поставить заново тот же
> дистр на ext4 без LUKS & LVM, llvm или как там
> оно называлось...

(приподняв бровь) А вы, надо полагать, LUKS устанавливаете для увеличения IOPS?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

27. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 14:06 
а что за дистр, если не секрет?
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Greg KH on 13-Дек-17, 14:07 
> а что за дистр, если не секрет?

centoso

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

37. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 14:16 
>> а что за дистр, если не секрет?
> centoso

Так нормальные дистрибутивы нужно выбирать.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

40. "Выпуск Cryptsetup 2.0"  –1 +/
Сообщение от Greg KH on 13-Дек-17, 14:19 
Типа, выбирай нормальный, т.к. в линуксе нормально - это когда ничего не работает? Нет, спасибо. У меня пусть будет ненормальный, который работает. И никаких просадок iops нет, проверено, если что.

Любители искать на жопу приключения пусть продолжают игнорировать документацию и спрашивать в 1024 раз на форуме одно и то же.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

42. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 14:31 
1024? Так это человек-рыбка.
Нормальный - этот который дает выбор, а не ставится как хочет!
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

44. "Выпуск Cryptsetup 2.0"  –3 +/
Сообщение от Greg KH on 13-Дек-17, 14:37 
Что проку в том выборе, если как раз нужный мне параметр выбрать не предлагает _никто_. А именно - тип файловой системы под UEFI-раздел. Можно сколько угодно жонглировать костылями и бредить "выбором", только это всё пустое. Sane defaults рулят, а процесс выбора между двумя стульями меня не заводит.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

46. "Выпуск Cryptsetup 2.0"  +1 +/
Сообщение от Аноним (??) on 13-Дек-17, 15:14 
Спасибо, вот только драйверов ФС в биосах и не хватает.

https://habrahabr.ru/post/342482/#comment_10523248

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

77. "Выпуск Cryptsetup 2.0"  –2 +/
Сообщение от Greg KH on 13-Дек-17, 20:59 
> Спасибо, вот только драйверов ФС в биосах и не хватает.

ясно, спеки uefi разрабатывали высокомерные школьники под руководством эффективных из МС.

Почему то находящиеся рядом ext4 на /boot, и xfs на /storage (это то, что без luks и lvm) не вызывают никаких проблем, однако же fat на uefi разделе постоянно спамит в лог о необходимости fsck, а после проверки крашится.

Нет, ну конечно, раз на хабре храбрые школьники написали, значит "неуиновна". Ну что ж, я рад, что все удовлетворены "грамотными" спецификациями. Это же самое главное - красивые спецификации!

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

80. "Выпуск Cryptsetup 2.0"  +1 +/
Сообщение от yukra on 13-Дек-17, 21:37 
> Спасибо, вот только драйверов ФС в биосах и не хватает.
> https://habrahabr.ru/post/342482/#comment_10523248

Это не совсем верная информация. UEFI Specification Version 2.7 ( доступен по ссылке http://www.uefi.org/sites/default/files/resources/UEFI_Spec_... ), раздел "13.3 File System Format":
The file system supported by the Extensible Firmware Interface is based on the FAT file system. EFI defines a specific version of FAT that is explicitly documented and testable.
Conformance to the EFI specification and its associate reference documents is the only definition of FAT that needs to be implemented to support EFI. To differentiate the EFI file system from pure FAT, a new partition file system type has been defined.
...
The definition of the EFI file system will be maintained by specification and will not evolve over time to deal with errata or variant interpretations in OS file system drivers or file system utilities. Future enhancements and compatibility enhancements to FAT will not be automatically included in EFI file systems. The EFI file system is a target that is fixed by the EFI specification, and other specifications explicitly referenced by the EFI specification.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

109. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 14-Дек-17, 19:51 
Никто, конечно, не запрещает добавить драйверы для поддержки других ФС. Я даже видел открытые реализации, если не изменяет память.

Если конкретному пользователю они нужны, пусть он их и добавляет себе в прошивку.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

18. "Выпуск Cryptsetup 2.0"  +1 +/
Сообщение от Аноним (??) on 13-Дек-17, 13:39 
> Так и не смог разобраться во всём этом зоопарке. До сих пор
> не могу понять, как лучше делать: lvm поверх luks или luks
> поверх lvm.

Тут нет лучше-хуже, у этих способов разные характеристики и как делать зависит от того что тебе нужно и как тебе удобнее.

> А теперь ещё и dm-crypt... Вообще не понятно с
> какого боку его использовать и как он дружит с lvm

LUKS реализован с помощью dm-crypt, считай что это одно и то же

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

24. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 13:49 
А чего потратить 15 минут личного времени и прочитать хотя бы Вики?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

32. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Ващенаглухо (ok) on 13-Дек-17, 14:10 
Шифруйте весь диск целиком вместе с /boot. grub умеет грузится с luks разделов.
lvm так вообще не особо нужен, часто разбивку меняете ?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

39. "Выпуск Cryptsetup 2.0"  –1 +/
Сообщение от Аноним (??) on 13-Дек-17, 14:18 
В теории ДА, но затрах..ся в натуре делать.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

41. "Выпуск Cryptsetup 2.0"  –1 +/
Сообщение от Greg KH on 13-Дек-17, 14:24 
> lvm так вообще не особо нужен, часто разбивку меняете ?

Каждый раз, как ставлю без lvm, потом бешусь, что решил потакать своему ОКР и исключил якобы ненужную прослойку. То корень требуется расширить, то /var отпочковать, то storage от home отпочковать, то под виртуалку выделить чистый раздел (кстати пришел к выводу, что это для рабочей станции непрактично, лучше использовать образом в файле, а не томе lvm, но это оффтоп) - и без lvm это лишний геморрой, с lvm намного меньше.


Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

49. "Выпуск Cryptsetup 2.0"  –1 +/
Сообщение от Crazy Alex (ok) on 13-Дек-17, 16:04 
Что в LVM смущает, так это то, что он провоцирует сборную солянку, при которой если один из винтов навернулся - вместо того, чтобы восстановить только его содержимое (а то и просто заменить и тихо перекачать торренты) придётся из бэкапа тащить всё.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

56. "Выпуск Cryptsetup 2.0"  +1 +/
Сообщение от пох on 13-Дек-17, 17:01 
> Что в LVM смущает, так это то, что он провоцирует сборную солянку

а в zfs/btrfs ты тоже собираешь том из нескольких не-redundant vdev?

безумству храбрых - венок со скидкой.

Никто не мешает ни держать по отдельному lv на каждый pv, чтобы они наворачивались поштучно, ни cобрать зеркало/raid любой мощности внутри группы.

В lvm лично меня смущает что он отдельная прослойка, имеющая свойство рушиться отдельно от нижележащей fs и вышеустановленного шифрования (которые и сами по себе в любой момент могут порадовать крэшем), и восстанавливать это почти невозможно.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

62. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Crazy Alex (ok) on 13-Дек-17, 17:44 
Нет. Я ж не ынтырпрайз. Просто держу отдельные XFS-разделы и по возможности раскладываю на них данные по каким-то логическим группам. Простота восстановления (из бэкапа или из внешних источников) - один из критериев. И, опять же, поскольку это домашнее железо и время восстановления или постоянная доступность не критичны - никаких рейдов  там не было и не будет. Лучше в бэкап лишний диск сунуть.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

72. "Выпуск Cryptsetup 2.0"  +/
Сообщение от пох on 13-Дек-17, 20:39 
> Лучше в бэкап лишний диск сунуть.

а смысл переводить киловатты и терабайты на такой бэкап? (который дома чаще всего и развернуть-то некуда, поэтому всегда сомневаешься в его жизнеспособности)
В 2way mirror смысл простой - если он _правильно_ сделан (кто сказал dm? Убивайте, пока маленький!) он дает 2x ускорение по чтению при небольшой потере при записи. (с raid5 и особенно 6 все не так солнечно, но хороший контроллер все еще позволяет получить заметно больше чем с единичного диска)

Ну и да, это домашнее железо, мне не только не платят зарплату за беготню вокруг дохлого диска, но еще и, пока не восстановишь, не получится немножечко май...ой, немножечко заработать на других лoхах, if any. Вдвойне обидно.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

74. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Greg KH on 13-Дек-17, 20:52 
Так, подождите, какую формулу вы предлагаете? Сейчас уже поздно, хочется спать, не могу распарсить, но интересно. Если я правильно улавливаю: что вместо md?
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

79. "Выпуск Cryptsetup 2.0"  +/
Сообщение от пох on 13-Дек-17, 21:24 
> Так, подождите, какую формулу вы предлагаете?

я никакой не предлагаю, мы тут уже в сторону от темы криптсетапов ушли - у меня дома нет настолько важных врагам данных и в таком объеме, чтобы тотально шифровать диски. А вот их содержимое мне было бы крайне обидно потерять, поэтому raid малехо есть. (кстати, враги нанесут мне максимальный ущерб, тупо сп..в носители)

Если бы я торговал в розницу хмурым и cp оптом, обошелся бы встроенным шифрованием ленововского ноута. Сервис центр в свое время развел руками, если и есть там такие приборы, обычному майору о них не расскажут.

Если торгуешь хмурым уже оптом, или финансировал избирательную компанию Трампа и под тебя копают одновременно ФБР, АНБ и ФСБ, и непременно с линукса - вероятно, использовал бы ext4 over dm. Если линукс не обязательное требование - geli+zfs, этому набору я доверяю в значительно большей степени (и на предмет не превращения контактов нужных людей в тыкву в том числе).

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

87. "Выпуск Cryptsetup 2.0"  +1 +/
Сообщение от Отсутствуют данные в поле Name on 14-Дек-17, 00:13 
Позиция ясна - МНЕ НЕЧЕГО СКРЫВАТЬ ))
Шифрование зло ))
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

113. "Выпуск Cryptsetup 2.0"  +/
Сообщение от scorry (ok) on 15-Дек-17, 11:36 
> я никакой не предлагаю, ...

отыменна (с)

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

98. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Crazy Alex (ok) on 14-Дек-17, 03:24 
если с бэкапом не чудить, а тупо делать rsync - никаких сомнений в работоспособности. если винт засбоит - увижу, если рсинк отвалится - письио не придёт. Скорость чтения и записи тоже не особо важна. А всей беготни кругом в случпе чего - воткнуть диск, разметить и тот же rsync в обратную сторону. затрат моего времени и получаса не будет.

Да, если что - бэкап - имеется в виду на отдельно стоящую железку.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

102. "Выпуск Cryptsetup 2.0"  +/
Сообщение от пох on 14-Дек-17, 09:52 
> никаких сомнений в работоспособности

пара секторов с чем-то важным, но не обновлявшимся уже не читаются - но "никаких сомнений".

> А всей беготни кругом в случпе чего - воткнуть диск, разметить

поставить и настроить систему (с крипто еще отдельно потрахаться, и чем сложнее выбранный механизм, тем дольше)... в общем, не на полчаса тут возни, не на пол-часа.

А с рейдом - дохлое или просто подозрительное выдернул, бросил в ящик с надписью "дискеты", новое воткнул, через день вспомнил - проверил что подцепилось и ссинкалось.

> Да, если что - бэкап - имеется в виду на отдельно стоящую железку.

которая вечно жрет электричество, жужжит и греется. (или которую надо не забывать вкл/выкл)

в общем, не вижу явного смысла в лишних сущностях дома.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

107. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Crazy Alex (ok) on 14-Дек-17, 15:47 
Может, и бывает такое, что при абсолютно чистом SMART вдруг "пара секторов перестаёт читаться". Но ни у меня. ни у знакомых не было, специально интересовался. Меня такие шансы устраивают. Плюс самое важное в облаках ещё хранится. Всё там держать - дороговато стало, как отменили анлим Амазона.

Поставаить и настроить систему? Ну да, там часа два уйдёт - разметить, накатить базовый образ, выдрать из бэкапа /etc и /var/lib/portage/world, сказать emerge @world и уйти спать. Система у меня летит максимум раз в пять лет (реже, наверное) - не проблема, мягко говоря.

Мелкий бэкап-сервер ничего лишнего не жрёт (и умеет отрубать винт) и отлично решает проблему "вчера что-то снёс, сегодня опомнился", а это случается несколько чаще, чем умершие винты, во всяком случае, у меня.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

108. "Выпуск Cryptsetup 2.0"  +1 +/
Сообщение от пох on 14-Дек-17, 17:30 
> Может, и бывает такое, что при абсолютно чистом SMART вдруг "пара секторов перестаёт читаться"

Пока не попробуешь именно эти прочитать - он и будет чистым. А когда не прочитаются - depends ;-)

Ну и гуглодок тебе на закусочку: http://research.google.com/archive/disk_failures.pdf
(он немного устарел, но общий вывод не изменяется последние десять лет - сообщения смарта не имеют никакой корелляции с внезапным превращением диска в тыкву. _изменение_ этих сообщений - имеет, но его можно не успеть увидеть)

> emerge @world и уйти спать

даже так все плохо?
а работа, которую ты собирался делать, еще недельку подождет? Ну, в этом случае, понятно, можно ничем не заморачиваться.

мне хотелось бы от домашней системы совершенно другого - она может стоять месяц, но когда мне понадобилось что-то где-то сделать - она должна работать, а не ой, диски отвалились.

случайно что-то удалить на домашней системе, где никто кроме меня не лазит - мне ни разу не удавалось. Наверное, автоснапшоты от такого бы вполне спасли, но я в них большого смысла не вижу, а в моем варианте они получаются небесплатными.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

34. "Выпуск Cryptsetup 2.0"  +/
Сообщение от nazarpc on 13-Дек-17, 14:13 
У меня LUKS поверх сырого диска, а внутри обычная GPT с разделами либо, для системного диска, сразу BTRFS. С GPT приходится выполнять дополнительную команду для того чтобы можно было монтировать отдельные разделы, но работает больше года без проблем.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

36. "Выпуск Cryptsetup 2.0"  +1 +/
Сообщение от nazarpc on 13-Дек-17, 14:16 
> У меня LUKS поверх сырого диска, а внутри обычная GPT с разделами
> либо, для системного диска, сразу BTRFS. С GPT приходится выполнять дополнительную
> команду для того чтобы можно было монтировать отдельные разделы, но работает
> больше года без проблем.

Ах да, ESP раздел с grub, четырьмя модулями для расшифровки и конфигом в 300 байт на отдельном незашифрованном разделе на флэшке. Всё вместе четверть мегабайта. Всё остальное зашифровано.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

58. "Выпуск Cryptsetup 2.0"  –1 +/
Сообщение от Онаним on 13-Дек-17, 17:10 
> До сих пор не могу понять, как лучше делать

лучше всего GEOM_ELI и не парить мозг.
как известно, "FreeBSD - лучший Линукс".

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

70. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 20:16 
>> До сих пор не могу понять, как лучше делать
> лучше всего GEOM_ELI и не парить мозг.
> как известно, "FreeBSD - лучший Линукс".

Это которое на i5 c AES-NI и AES-XTS 128 aж под 300 МБ/с выдает?
> "FreeBSD - лучший тормоз"

fix


Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

61. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 17:30 
Ставь Ubuntu и делай что она говорит.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

111. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Envek (ok) on 14-Дек-17, 23:13 
Ага, вот только инсталлятор Ubuntu не умеет в шифрование диска целиком, только хомяк можно зашифровать. А если паранойя мучает и нужно зашифровать всё к чертям, то достаётся воот такой бубен: https://help.ubuntu.com/community/ManualFullSystemEncryption
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

66. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Sir Govein on 13-Дек-17, 17:48 
Значит не надо тебе, мал еще.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

81. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Va (??) on 13-Дек-17, 21:42 
Лучше loop-aes.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

101. "Выпуск Cryptsetup 2.0"  +/
Сообщение от лютый жабист__ on 14-Дек-17, 06:24 
> До сих пор могу понять, как лучше делать: lvm поверх luks или luks поверх lvm

LVM ненужен. Зеркало mdadm-ом, потом luks и на нем обычные разделы.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 13:14 
> Для преобразования из формата LUKS1 в LUKS2 реализована команда "cryptsetup convert".

Но размер сектора при этом изменить не получится, я правильно понимаю?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Выпуск Cryptsetup 2.0"  –1 +/
Сообщение от Аноним (??) on 13-Дек-17, 14:07 
>> Для преобразования из формата LUKS1 в LUKS2 реализована команда "cryptsetup convert".
> Но размер сектора при этом изменить не получится, я правильно понимаю?

скорей всего нет, это при форматировании ручном, в инсталляторах я такой фичи нигде не видел. за исключением дефолтного инсталлера фри пожалуй ;)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Выпуск Cryptsetup 2.0"  +/
Сообщение от ryoken (ok) on 13-Дек-17, 13:27 
> -  Новая реализация функции хэширования паролей PBKDF (Password-Based Key Derivation Function),
> ориентированная на затруднение проведения параллелизированных атак по подбору пароля
> по словарю (не позволяет применять GPU из-за потребности в большом размере
> памяти для вычисления хэша).

За видяхи обидно :D. На современных гигабайты памяти (а на профессиональных так и пара десятков гигабайт бывает). Неужто не хватает..? :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Фуррь (ok) on 13-Дек-17, 13:40 
>Неужто не хватает..? :)

Хватает, но видеопамять потому и видео, что предназначена для графической информации, а не обычной.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

21. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Анонимы on 13-Дек-17, 13:45 
Давно уже нет
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

38. "Выпуск Cryptsetup 2.0"  +/
Сообщение от nazarpc on 13-Дек-17, 14:17 
Память это память. Её без разницы какие байты хранить.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

43. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 14:37 
АМДшных карт не касается. Авторы видимо не вкрусе, но современные АМДшные ГПУ(по краней мере в ОпенЦЛ) автоматом лезут в оперативку, если видео памяти недостаточно.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

59. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 17:25 
Никто не занимается оптимизацией, щас модно быдлoкод.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

83. "Выпуск Cryptsetup 2.0"  +/
Сообщение от yukra on 13-Дек-17, 22:16 
>> -  Новая реализация функции хэширования паролей PBKDF (Password-Based Key Derivation Function),
>> ориентированная на затруднение проведения параллелизированных атак по подбору пароля
>> по словарю (не позволяет применять GPU из-за потребности в большом размере
>> памяти для вычисления хэша).
> За видяхи обидно :D. На современных гигабайты памяти (а на профессиональных так
> и пара десятков гигабайт бывает). Неужто не хватает..? :)

А вы почитайте про архитектуру современных видюх, хотя бы в общих чертах, и внезапно выясниться что имея гигабайты памяти на борту конкретному ядру доступны килобайты\мегабайты памяти.
Или можете просто утешать себя что параллельные вычисления на gpu на порядки быстрей чем на cpu.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

50. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 16:08 
А вот такой вопрос: я на vps храню конфиги и ключи openvpn в шифрованном контейнере, если я расшифровал и смонтировал его, то админ vps может просматривать его содержимое? Если да, то как этого избежать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "Выпуск Cryptsetup 2.0"  +/
Сообщение от одмин on 13-Дек-17, 17:03 
> А вот такой вопрос: я на vps храню конфиги и ключи openvpn
> в шифрованном контейнере, если я расшифровал и смонтировал его, то админ
> vps может просматривать его содержимое? Если да, то как этого избежать?

да, яаа - МОГУ!
никак, куда ты от меня денешься-то? Даже когда ты вводишь свой суперсекретный пароль, я уже в этот момент могу его перехватить.


Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

88. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 14-Дек-17, 00:17 
Шифрование зло!
Все под колпаком. И ТЫ тоже!
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

63. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Crazy Alex (ok) on 13-Дек-17, 17:45 
Только железо с амд-шной шифрованной памятью и подобным спасёт
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

73. "Выпуск Cryptsetup 2.0"  +/
Сообщение от пох on 13-Дек-17, 20:42 
> Только железо с амд-шной шифрованной памятью и подобным спасёт

это только от соседа-васи, проломившегося в гипервизор, может спасет.
А от меня не спасет, штатные интерфейсы никто не отменял. (буду я еще память вручную читать и разбираться где там порнуха, где пароли от нее, больно надо)

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

91. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Мненечегоскрывать on 14-Дек-17, 00:22 
Правильно! Ничего не спасет.
Лапки кверху. Шифрование зло!
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

96. "Выпуск Cryptsetup 2.0"  +/
Сообщение от пох on 14-Дек-17, 00:48 
> Правильно! Ничего не спасет.
> Лапки кверху. Шифрование зло!

на впс на чужом сервере? безусловно.
Перевод невосполнимых ресурсов планеты на имитацию безопасности.

первое, что я сделаю, если мне есть что скрывать - сныкаю это на железке под моим контролем и с надежной защитой от физического доступа. А уже потом буду думать, что и как тут шифровать, и надо ли это делать вообще. Возможно, рва с крокодилами и автоматических огнеметов и без того будет достаточно, а данные потерять не хочется.


Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

103. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 14-Дек-17, 11:38 
Т.е. у всех окружающих такая же жизненая ситуация и модель угроз как у вас?
Ну тогда все человнечество должно прислушаться к вашему мнению.
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

105. "Выпуск Cryptsetup 2.0"  +/
Сообщение от пох on 14-Дек-17, 13:10 
вы опять разговариваете с воображаемыми друзьями.
Я, в отличие от вас, отвечал на вопрос инициатора треда, "модель угроз" он сформулировал чётко. Ему - от злонамеренного "одмина" - не поможет. Еще и навредит, засветив, какие именно он выбирает пароли. Еще и не только ему, а и в соседнюю vps через известные методы атаки может утечь.

В других случаях - возможно, поможет. А возможно найдутся решения попроще и поэффективнее.

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

106. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 14-Дек-17, 13:30 
У меня друзей нет. А в треде переобулись, а вы и не заметили.
Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

64. "Выпуск Cryptsetup 2.0"  +6 +/
Сообщение от Kima on 13-Дек-17, 17:46 
А что там с форками легендарного TrueCRYPT? Они еще живые или все подохли?

В википедии например: https://ru.wikipedia.org/wiki/TrueCrypt

Нашел в ссылках вот такого продолжателя: https://truecrypt.ch/

Но там в блогах 1.5 года ничего не писали, видимо проект сдох.

Еще нашел вот такое: https://www.veracrypt.fr/en/Home.html

Но там какой-то левый сайт, сделанный на коленке... Но вроде прога развивается. Не знаю. Какие еще форки есть, или это лучшее из живого?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

65. "Выпуск Cryptsetup 2.0"  +3 +/
Сообщение от Kima on 13-Дек-17, 17:47 
Кстати, есть вообще смысл этого добра в Linux, когда есть GPG?
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

67. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Crazy Alex (ok) on 13-Дек-17, 19:17 
как бы разные сценарии использования
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

93. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Мненечегоскрывать on 14-Дек-17, 00:30 
Некромант?
Смотри - ZuluCrypt
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

71. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 13-Дек-17, 20:23 
# device-mapper table хранит всю информацию, включая ключ шифрования
dmsetup table DEVICE > file

# Использование сохраненной table
cat file | dmsetup create DEVICE

# раньше, в целях безопасности, можно было удалить устройство сразу после монтирования
dmsetup remove DEVICE

Но, с некоторых пор - это не так: в случае взлома, кражи учётных данных и т.п., злоумышленник спокойно сольёт табличку и всё...

Кто-то скажет, что если есть root доступ - можно скопировать расшифрованные файлы из примонтированного LUKS. Это не всегда возможно - обём/скорость/... А вот нагрянувшие маски-шоу вполне себе поимеют инфу с изъятого диска, когда табличка уже у них в руках.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

104. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 14-Дек-17, 11:44 
>[оверквотинг удален]
> # Использование сохраненной table
> cat file | dmsetup create DEVICE
> # раньше, в целях безопасности, можно было удалить устройство сразу после монтирования
> dmsetup remove DEVICE
> Но, с некоторых пор - это не так: в случае взлома, кражи
> учётных данных и т.п., злоумышленник спокойно сольёт табличку и всё...
> Кто-то скажет, что если есть root доступ - можно скопировать расшифрованные файлы
> из примонтированного LUKS. Это не всегда возможно - обём/скорость/... А вот
> нагрянувшие маски-шоу вполне себе поимеют инфу с изъятого диска, когда табличка
> уже у них в руках.

Шифрование используется только против спецслужб и полиционеров?
Выключение питания нынче вообще не в тренде?

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

110. "Выпуск Cryptsetup 2.0"  +/
Сообщение от _ (??) on 14-Дек-17, 21:37 
>>нагрянувшие маски-шоу

Всё - поздно пить Боржоми :(
Ты в шоколаде пока интересанты тебя не видят. Напрочь.
>Выключение питания нынче вообще не в тренде?

Тебя попросят включить обратно и ввести пароль.
Возможно даже _горячо_ попросят :)))


ЗЫЖ у трукрипта были скрытые контейнеры ... но кому надо про них тоже знает, что ты только коллекию пи*ек шифруешь - могут и не поверить :)

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

112. "Выпуск Cryptsetup 2.0"  +/
Сообщение от Аноним (??) on 14-Дек-17, 23:33 
Когда вы уже устанете страшилки одни и теже рассказывать?
Вот сколько шифрование существует, столько х..ню эту пишете..
После включения питалова, может вдруг оказаться что пароль
нЕкчему и нЕкуда будет вводить!
Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

114. "Выпуск Cryptsetup 2.0"  +/
Сообщение от нах on 16-Дек-17, 01:26 
> После включения питалова, может вдруг оказаться что пароль нЕкчему и нЕкуда будет вводить!

в смысле, сработает система самоподрыва или впрыска иприта в помещение?
(не советую использовать зарин и другие более современные дешевые заменители - эффект не тот...собственно, он прямо противоположный желаемому)

В остальных случаях ты можешь сильно расстроиться от того, что паяльник-то. в отличие от пароля, будет и куда, и кому ввести.

Вот, например, несколько бородатых любителей телеграмма в питере - уже во всем сознались. Был ли у них при этом на самом деле телеграм, или товарищ майор его с собой на флэшке принес и именно ради него все и затевалось - дело темное. Партия сказала - надо - значит, будут любить и петь об этом песни в любом случае.

Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру