Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2015-07-04 22:02:24

  dominbik - Członek DUG

dominbik
Członek DUG
Zarejestrowany: 2011-07-25

Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

Cześć. Chciałbym zaszyfrować sobie /home/  (jest na osobnej partycji) i zastanawiam się co zacząć czytać (odnośnie które rozwiązanie użyć)

Kiedyś ludzie używali truecrypt teraz rozumiem taki standard to dm-crypt tak?

ma ktoś z tym jakieś doświadczenia (jak mocno obniża się wydajność) ?


[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]

Offline

 

#2  2015-07-04 22:15:23

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

2038

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:20:00)

Offline

 

#3  2015-07-04 22:19:08

  dominbik - Członek DUG

dominbik
Członek DUG
Zarejestrowany: 2011-07-25

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

tak mam i7. właśnie dlatego truecrypt wolę uniknąć


[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]

Offline

 

#4  2015-07-04 22:23:04

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

Jeśli procek posiada support AES-NI, to wsio rawno, Truecrypt czy Cryptsetup, AES-NI to sprzętowy akcelerator AES zapewniający szybkość na poziomie 1,5-2 GB/s.

Radzę sprawdzić w TC i Cryptsetup, który lepiej korzysta z tego modułu.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2015-07-05 08:37:03

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

Jeśli to ma być tylko /home/ , to możesz się pobawić http://ecryptfs.org/ . W debianie są narzędzia, które chyba za pomocą jednego klika przeszyfrują ci całą zawartość /home/$USER/ . Z LUKSem, to trzeba będzie dane przenieść na inną partycję, stworzyć kontener i wgrać dane ponownie. Ta partycja /home/ jest niegroźna i praktycznie nie ma żadnych problemów z jej montowaniem -- jak każdy inny zasób, byle przed załadowaniem się TTY, czy sesji graficznej. Tylko znów jest problem z /tmp/ , SWAP i kto wie z czym jeszcze.

Offline

 

#6  2015-07-05 09:47:48

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

2039

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:20:01)

Offline

 

#7  2015-07-05 12:38:17

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

Czy ja wiem, czy te 4% będzie zauważalne przy normalnej pracy? Choć w sumie nie wiem co na tym kompie ma być robione. Ja mam 2x 2ghz procek, co nie ma wsparcia dla AES, a szyfruje cały dysk AES256, zużycie procka mówi raczej samo za siebie:

Kod:

analyzing CPU 0:
  cpufreq stats: 2.00 GHz:13.64%, 1.87 GHz:2.56%, 1.73 GHz:2.06%, 1.60 GHz:2.56%, 1.47 GHz:3.29%, 1.33 GHz:4.14%, 1.20 GHz:7.86%, 1.07 GHz:19.34%, 933 MHz:44.55%  (16433)

analyzing CPU 1:
  cpufreq stats: 2.00 GHz:12.78%, 1.87 GHz:2.21%, 1.73 GHz:1.89%, 1.60 GHz:2.39%, 1.47 GHz:3.39%, 1.33 GHz:4.18%, 1.20 GHz:8.45%, 1.07 GHz:19.88%, 933 MHz:44.83%  (16750)

Tylko to powyższe jest na uptime 15 min, Jeśli by ten sprzęt pochodził parę godzin jeszcze, to by tam na 2GHz było może ze 2-4%. Także praktycznie nie jest zauważalne to szyfrowanie. Jasne, że sprawa ma się inaczej gdy się będzie mielić pełno danych nonstop ale z dłuższej perspektywy to nie wiem czy idzie to w ogóle odczuć, no może poza samym startem systemu ewentualnie firefoxa. xD

Zawsze może sobie też testy zrobić:

Kod:

#  cryptsetup benchmark
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1       516031 iterations per second
PBKDF2-sha256     356173 iterations per second
PBKDF2-sha512     244537 iterations per second
PBKDF2-ripemd160  332670 iterations per second
PBKDF2-whirlpool  106389 iterations per second
#  Algorithm | Key |  Encryption |  Decryption
     aes-cbc   128b   103.7 MiB/s   123.3 MiB/s
 serpent-cbc   128b    35.0 MiB/s   162.0 MiB/s
 twofish-cbc   128b    88.7 MiB/s   131.5 MiB/s
     aes-cbc   256b    81.4 MiB/s    92.3 MiB/s
 serpent-cbc   256b    39.7 MiB/s   162.1 MiB/s
 twofish-cbc   256b    94.7 MiB/s   132.5 MiB/s
     aes-xts   256b   123.1 MiB/s   122.9 MiB/s
 serpent-xts   256b   143.4 MiB/s   150.9 MiB/s
 twofish-xts   256b   123.0 MiB/s   122.3 MiB/s
     aes-xts   512b    92.3 MiB/s    92.4 MiB/s
 serpent-xts   512b   142.6 MiB/s   150.8 MiB/s
 twofish-xts   512b   123.5 MiB/s   123.2 MiB/s

Ostatnio edytowany przez morfik (2015-07-05 12:47:43)

Offline

 

#8  2015-07-05 12:53:32

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

2040

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:20:02)

Offline

 

#9  2015-08-08 18:44:30

  dominbik - Członek DUG

dominbik
Członek DUG
Zarejestrowany: 2011-07-25

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

Dziękuję za wszystkie odpowiedzi. LVM on LUKS wydaje mi się najlepsze i chyba na to się zdecyduję.
https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#LVM_on_LUKS

Muszę jeszcze tylko poczytać nt. tych algorytmów i kluczów, bo nwm jakie opcje przy tworzeniu bd najlepsze typu:

Kod:

cryptsetup --verbose --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda2

- chyba, że ma ktoś jakieś propozycje? (core i7 64bit system)

Dodatkowo chce zaszyfrować istniejącą instalację arch linux, więc bd musiał: zrobić gdzeiś sobie obraz systemu -> stworzyć te zaszyfrowane volumeny -> na podmontowanych wypakować stary system z jakiegoś live cd -> ogarnąć /etc/fstab  , mkinitcpio (tam dodać ten hook lvm2 itd..), bootloader itd.. - nwm czy o czymś nie zapomniałem??, no i tak pewnie wyjdzie w praniu ... ;\

póki co zasymuluje sobie to na razie w wirtualce, tylko kurde -żeby zrobić obraz (bez /home na razie) czy myślicie, że:

Kod:

tar -clvpz --exclude=/mnt/* --exclude=/media/* --exclude=/proc/* --exclude=/home/* --exclude=/sys/* --exclude=/tmp/* --exclude=/dev/* --exclude=/run/* -f system.tgz /

będzie bezpieczne? czy może istnieje coś lepszego?


[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]

Offline

 

#10  2015-08-08 20:29:43

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

W nowych jajkach 4.1 pojawiło się szyfrowanie ext4 na poziomie systemu plików.
Zapowiada się to dosyć ciekawie, szczególnie bezpieczne przechowywanie klucza poza zasięgiem czegokolwiek z userspace, ma być używane w nowych wydaniach Androida od którejś tam wersji, pewnie 6.0.

https://lwn.net/Articles/639427/
https://docs.google.com/document/d/1ft26lUQyuSpiu6VleP70_npaWdRfXFoNnB8JYnykNTg/edit?pli=1

Moduły już są w standardowym  jaju 4.1.4:

zgrep -i ext4 /proc/config.gz
CONFIG_EXT4_FS=y
CONFIG_EXT4_USE_FOR_EXT23=y
CONFIG_EXT4_FS_POSIX_ACL=y
CONFIG_EXT4_FS_SECURITY=y
[b]CONFIG_EXT4_ENCRYPTION=y
CONFIG_EXT4_FS_ENCRYPTION=y[/b][/quote]

Ostatnio edytowany przez Jacekalex (2015-08-08 20:40:07)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#11  2015-08-08 22:18:54

  dominbik - Członek DUG

dominbik
Członek DUG
Zarejestrowany: 2011-07-25

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

Jacekalex to teraz mi namieszałeś xd.   Wiadomo coś kiedy to będzie nadawać się do użytku a może już się nadaje?  Nigdzie nic nie znalazłem jak to w praktyce użyć/przetestować.


[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]

Offline

 

#12  2015-08-08 22:46:13

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

Niedługo powinno być gotowe, jajo już support ma zarówno w przedmiocie szyfrowania jak i przechowywania kluczy, trzeba chyba poczekać, aż [b]e2fsprogs[/b] zacznie to obrabiać.

Tu masz conieco na ten temat w bardziej strawnej formie:
https://wiki.archlinux.org/index.php/Ext4#Using_ext4_per_directory_encryption

Podejrzewam, że przy wydaniu jajka 4.2 już wsio będzie brykać, przecież Developerzy jakoś musieli już to testować. ;)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#13  2015-08-08 23:36:32

  dominbik - Członek DUG

dominbik
Członek DUG
Zarejestrowany: 2011-07-25

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

No fajne to w sumie i nawet myślałem by to użyć, ale jednak jak korzystam z hibernacji i chciałbym mieć wszystko zaszyfrowane (a nie tylko wybrane katalogi) to szyfrowanie na poziomie systemu plików zbytnio mnie nie urządza.


[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]

Offline

 

#14  2015-08-09 00:04:14

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

Dlaczego? szyfrowanie, jak szyfrowanie, powinno być nawet szybsze, bo to jajo się zajmuje szyfrowaniem, a nie jakiś program z userspace.

Opracowane z resztą też do Androida, więc raczej z hibernacją powinno się dogadać bez problemu.

Szyfrowanie na poziomie systemu plików ma tą zaletę, ze programy z userspace w ogóle nie muszą wiedzieć, ze trzymają dane na szyfrowanym systemie plików.

Przy okazji, szyfrowanie per/folder  nie wyklucza zaszyfrowania partycji, pozwala za to na dużą elastyczność bez bezsensownej gimnastyki, np szyfrowanie /home, który siedzi na rootfs prosto z poziomu instalatora.

W Linuxie przecież folder może być zarówno miejscem na dysku, jak i punktem montowania partycji lub dysku.

W ten sposób znikają literalnie wszystkie ograniczenia w stosowaniu szyfrowania systemu plików.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2015-08-09 00:05:27)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#15  2015-08-09 00:06:54

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

2125

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:53)

Offline

 

#16  2015-08-09 00:15:48

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

Tam się szyfruje inody na dysku, to trochę inna zabawa, niż te dowiązania, które wyglądają jak plik lub folder.

Całą sprawa tego szyfrowania jest z drugiej strony banalnie prosta, przechowywanie kluczy w kernelu jest od lat, system plików od zawsze, APi kryptograficzne od niemal zawsze, wiec co do czorta miałoby nie działać.

Nawet, jakby zdechło po aktualizacji kernela, to zawsze w systemie siedzi jeszcze ten starszy, na którym wszystko działa, a poza kernelem ? tylko trzeba załadować klucz do kernela, i to pewnie będzie załatwiane przez cmdline albo fstab.
Trzeba tylko poczekać na stabilne [b]e2fsprogs-1.4.13[/b].

Generalnie nie ma się za bardzo czego obawiać.

Kernel Linux to najstabilniejsza i najdoskonalsza część całego systemu, niewiele jest programów, które pod względem jakości kodu i supportu dorównują kernelowi. ;)

Cala sprawa powstała z resztą po to, żeby radykalnie uprościć szyfrowanie, i wyeliminować  możliwe katastrofalne błędy, jak ostatnio w Androdzie 5.0, gdzie [b]SELinux[/b] ubijał [b]encryptfs[/b].

Szyfrowanie systemu plików na poziomie kernela i systemu plików jest najbardziej odporne na potencjalne  błędy programów z userspace.
I myślę, że właśnie dlatego Ekipa Google stworzyła te łatki do Ext4. ;)

Pozdro

Ostatnio edytowany przez Jacekalex (2015-08-09 00:21:39)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#17  2015-08-09 13:35:21

  dominbik - Członek DUG

dominbik
Członek DUG
Zarejestrowany: 2011-07-25

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

Jacekalex no, ale na partycji swap nie mam systemu plików ext4 (musiałbym zrobić swapfile) - a korzystam z zswap - ciekawe czy to nadal będzie działać, bo robi się dość skompilkowanie..

pozatym jak to wygląda dokładnie przy LVM on LUKS?
gdzie przechowywany jest klucz i jaki program z userspace zajmuje się szyfrowaniem? myślałem, że tym zajmuje się jądro (konkretniej moduł) i nawet ext4 włącznie nie wie, że jest na zaszyfrowanym dysku a co dopiero jakieś programy w userspace...

ciekawi mnie też czy przy tym szyfrowaniu ext4 szyfrowane są również metadane. (struktura drzewa katalogów, rozmiary plików itd...)


[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]

Offline

 

#18  2015-08-09 13:52:28

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań

2128

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:56)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.018 seconds, 15 queries executed ]

Informacje debugowania

Time (s) Query
0.00014 SET CHARSET latin2
0.00008 SET NAMES latin2
0.00144 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.112.23' WHERE u.id=1
0.00091 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.112.23', 1732237803)
0.00076 SELECT * FROM punbb_online WHERE logged<1732237503
0.00117 DELETE FROM punbb_online WHERE ident='18.119.120.59'
0.00103 DELETE FROM punbb_online WHERE ident='18.226.226.151'
0.00103 DELETE FROM punbb_online WHERE ident='185.191.171.12'
0.00099 DELETE FROM punbb_online WHERE ident='3.135.184.136'
0.00103 SELECT topic_id FROM punbb_posts WHERE id=289587
0.00012 SELECT id FROM punbb_posts WHERE topic_id=27539 ORDER BY posted
0.00091 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27539 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00271 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27539 ORDER BY p.id LIMIT 0,25
0.00113 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27539
Total query time: 0.01351 s