Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Software
- » Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
#1 2015-07-04 22:02:24
dominbik - 
Członek DUG
- dominbik
- Członek DUG
- Zarejestrowany: 2011-07-25
Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
Cześć. Chciałbym zaszyfrować sobie /home/ (jest na osobnej partycji) i zastanawiam się co zacząć czytać (odnośnie które rozwiązanie użyć)
Kiedyś ludzie używali truecrypt teraz rozumiem taki standard to dm-crypt tak?
ma ktoś z tym jakieś doświadczenia (jak mocno obniża się wydajność) ?
[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]
Offline
#2 2015-07-04 22:15:23
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
2038
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:20:00)
Offline
#3 2015-07-04 22:19:08
dominbik - Członek DUG
- dominbik
- Członek DUG
- Zarejestrowany: 2011-07-25
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
tak mam i7. właśnie dlatego truecrypt wolę uniknąć
[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]
Offline
#4 2015-07-04 22:23:04
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
Jeśli procek posiada support AES-NI, to wsio rawno, Truecrypt czy Cryptsetup, AES-NI to sprzętowy akcelerator AES zapewniający szybkość na poziomie 1,5-2 GB/s.
Radzę sprawdzić w TC i Cryptsetup, który lepiej korzysta z tego modułu.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2015-07-05 08:37:03
morfik - Cenzor wirtualnego świata
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
Jeśli to ma być tylko /home/ , to możesz się pobawić http://ecryptfs.org/ . W debianie są narzędzia, które chyba za pomocą jednego klika przeszyfrują ci całą zawartość /home/$USER/ . Z LUKSem, to trzeba będzie dane przenieść na inną partycję, stworzyć kontener i wgrać dane ponownie. Ta partycja /home/ jest niegroźna i praktycznie nie ma żadnych problemów z jej montowaniem -- jak każdy inny zasób, byle przed załadowaniem się TTY, czy sesji graficznej. Tylko znów jest problem z /tmp/ , SWAP i kto wie z czym jeszcze.
Offline
#6 2015-07-05 09:47:48
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
2039
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:20:01)
Offline
#7 2015-07-05 12:38:17
morfik - Cenzor wirtualnego świata
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
Czy ja wiem, czy te 4% będzie zauważalne przy normalnej pracy? Choć w sumie nie wiem co na tym kompie ma być robione. Ja mam 2x 2ghz procek, co nie ma wsparcia dla AES, a szyfruje cały dysk AES256, zużycie procka mówi raczej samo za siebie:
Kod:
analyzing CPU 0: cpufreq stats: 2.00 GHz:13.64%, 1.87 GHz:2.56%, 1.73 GHz:2.06%, 1.60 GHz:2.56%, 1.47 GHz:3.29%, 1.33 GHz:4.14%, 1.20 GHz:7.86%, 1.07 GHz:19.34%, 933 MHz:44.55% (16433) analyzing CPU 1: cpufreq stats: 2.00 GHz:12.78%, 1.87 GHz:2.21%, 1.73 GHz:1.89%, 1.60 GHz:2.39%, 1.47 GHz:3.39%, 1.33 GHz:4.18%, 1.20 GHz:8.45%, 1.07 GHz:19.88%, 933 MHz:44.83% (16750)
Tylko to powyższe jest na uptime 15 min, Jeśli by ten sprzęt pochodził parę godzin jeszcze, to by tam na 2GHz było może ze 2-4%. Także praktycznie nie jest zauważalne to szyfrowanie. Jasne, że sprawa ma się inaczej gdy się będzie mielić pełno danych nonstop ale z dłuższej perspektywy to nie wiem czy idzie to w ogóle odczuć, no może poza samym startem systemu ewentualnie firefoxa. xD
Zawsze może sobie też testy zrobić:
Kod:
# cryptsetup benchmark
# Tests are approximate using memory only (no storage IO).
PBKDF2-sha1 516031 iterations per second
PBKDF2-sha256 356173 iterations per second
PBKDF2-sha512 244537 iterations per second
PBKDF2-ripemd160 332670 iterations per second
PBKDF2-whirlpool 106389 iterations per second
# Algorithm | Key | Encryption | Decryption
aes-cbc 128b 103.7 MiB/s 123.3 MiB/s
serpent-cbc 128b 35.0 MiB/s 162.0 MiB/s
twofish-cbc 128b 88.7 MiB/s 131.5 MiB/s
aes-cbc 256b 81.4 MiB/s 92.3 MiB/s
serpent-cbc 256b 39.7 MiB/s 162.1 MiB/s
twofish-cbc 256b 94.7 MiB/s 132.5 MiB/s
aes-xts 256b 123.1 MiB/s 122.9 MiB/s
serpent-xts 256b 143.4 MiB/s 150.9 MiB/s
twofish-xts 256b 123.0 MiB/s 122.3 MiB/s
aes-xts 512b 92.3 MiB/s 92.4 MiB/s
serpent-xts 512b 142.6 MiB/s 150.8 MiB/s
twofish-xts 512b 123.5 MiB/s 123.2 MiB/sOstatnio edytowany przez morfik (2015-07-05 12:47:43)
Offline
#8 2015-07-05 12:53:32
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
2040
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:20:02)
Offline
#9 2015-08-08 18:44:30
dominbik - Członek DUG
- dominbik
- Członek DUG
- Zarejestrowany: 2011-07-25
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
Dziękuję za wszystkie odpowiedzi. LVM on LUKS wydaje mi się najlepsze i chyba na to się zdecyduję.
https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#LVM_on_LUKS
Muszę jeszcze tylko poczytać nt. tych algorytmów i kluczów, bo nwm jakie opcje przy tworzeniu bd najlepsze typu:
Kod:
cryptsetup --verbose --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda2
- chyba, że ma ktoś jakieś propozycje? (core i7 64bit system)
Dodatkowo chce zaszyfrować istniejącą instalację arch linux, więc bd musiał: zrobić gdzeiś sobie obraz systemu -> stworzyć te zaszyfrowane volumeny -> na podmontowanych wypakować stary system z jakiegoś live cd -> ogarnąć /etc/fstab , mkinitcpio (tam dodać ten hook lvm2 itd..), bootloader itd.. - nwm czy o czymś nie zapomniałem??, no i tak pewnie wyjdzie w praniu ... ;\
póki co zasymuluje sobie to na razie w wirtualce, tylko kurde -żeby zrobić obraz (bez /home na razie) czy myślicie, że:
Kod:
tar -clvpz --exclude=/mnt/* --exclude=/media/* --exclude=/proc/* --exclude=/home/* --exclude=/sys/* --exclude=/tmp/* --exclude=/dev/* --exclude=/run/* -f system.tgz /
będzie bezpieczne? czy może istnieje coś lepszego?
[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]
Offline
#10 2015-08-08 20:29:43
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
W nowych jajkach 4.1 pojawiło się szyfrowanie ext4 na poziomie systemu plików.
Zapowiada się to dosyć ciekawie, szczególnie bezpieczne przechowywanie klucza poza zasięgiem czegokolwiek z userspace, ma być używane w nowych wydaniach Androida od którejś tam wersji, pewnie 6.0.
https://lwn.net/Articles/639427/
https://docs.google.com/document/d/1ft26lUQyuSpiu6VleP70_npaWdRfXFoNnB8JYnykNTg/edit?pli=1
Moduły już są w standardowym jaju 4.1.4:
zgrep -i ext4 /proc/config.gz
CONFIG_EXT4_FS=y
CONFIG_EXT4_USE_FOR_EXT23=y
CONFIG_EXT4_FS_POSIX_ACL=y
CONFIG_EXT4_FS_SECURITY=y
[b]CONFIG_EXT4_ENCRYPTION=y
CONFIG_EXT4_FS_ENCRYPTION=y[/b][/quote]Ostatnio edytowany przez Jacekalex (2015-08-08 20:40:07)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#11 2015-08-08 22:18:54
dominbik - Członek DUG
- dominbik
- Członek DUG
- Zarejestrowany: 2011-07-25
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
Jacekalex to teraz mi namieszałeś xd. Wiadomo coś kiedy to będzie nadawać się do użytku a może już się nadaje? Nigdzie nic nie znalazłem jak to w praktyce użyć/przetestować.
[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]
Offline
#12 2015-08-08 22:46:13
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
Niedługo powinno być gotowe, jajo już support ma zarówno w przedmiocie szyfrowania jak i przechowywania kluczy, trzeba chyba poczekać, aż [b]e2fsprogs[/b] zacznie to obrabiać.
Tu masz conieco na ten temat w bardziej strawnej formie:
https://wiki.archlinux.org/index.php/Ext4#Using_ext4_per_directory_encryption
Podejrzewam, że przy wydaniu jajka 4.2 już wsio będzie brykać, przecież Developerzy jakoś musieli już to testować. ;)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#13 2015-08-08 23:36:32
dominbik - Członek DUG
- dominbik
- Członek DUG
- Zarejestrowany: 2011-07-25
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
No fajne to w sumie i nawet myślałem by to użyć, ale jednak jak korzystam z hibernacji i chciałbym mieć wszystko zaszyfrowane (a nie tylko wybrane katalogi) to szyfrowanie na poziomie systemu plików zbytnio mnie nie urządza.
[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]
Offline
#14 2015-08-09 00:04:14
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
Dlaczego? szyfrowanie, jak szyfrowanie, powinno być nawet szybsze, bo to jajo się zajmuje szyfrowaniem, a nie jakiś program z userspace.
Opracowane z resztą też do Androida, więc raczej z hibernacją powinno się dogadać bez problemu.
Szyfrowanie na poziomie systemu plików ma tą zaletę, ze programy z userspace w ogóle nie muszą wiedzieć, ze trzymają dane na szyfrowanym systemie plików.
Przy okazji, szyfrowanie per/folder nie wyklucza zaszyfrowania partycji, pozwala za to na dużą elastyczność bez bezsensownej gimnastyki, np szyfrowanie /home, który siedzi na rootfs prosto z poziomu instalatora.
W Linuxie przecież folder może być zarówno miejscem na dysku, jak i punktem montowania partycji lub dysku.
W ten sposób znikają literalnie wszystkie ograniczenia w stosowaniu szyfrowania systemu plików.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2015-08-09 00:05:27)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#15 2015-08-09 00:06:54
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
2125
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:53)
Offline
#16 2015-08-09 00:15:48
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
Tam się szyfruje inody na dysku, to trochę inna zabawa, niż te dowiązania, które wyglądają jak plik lub folder.
Całą sprawa tego szyfrowania jest z drugiej strony banalnie prosta, przechowywanie kluczy w kernelu jest od lat, system plików od zawsze, APi kryptograficzne od niemal zawsze, wiec co do czorta miałoby nie działać.
Nawet, jakby zdechło po aktualizacji kernela, to zawsze w systemie siedzi jeszcze ten starszy, na którym wszystko działa, a poza kernelem ? tylko trzeba załadować klucz do kernela, i to pewnie będzie załatwiane przez cmdline albo fstab.
Trzeba tylko poczekać na stabilne [b]e2fsprogs-1.4.13[/b].
Generalnie nie ma się za bardzo czego obawiać.
Kernel Linux to najstabilniejsza i najdoskonalsza część całego systemu, niewiele jest programów, które pod względem jakości kodu i supportu dorównują kernelowi. ;)
Cala sprawa powstała z resztą po to, żeby radykalnie uprościć szyfrowanie, i wyeliminować możliwe katastrofalne błędy, jak ostatnio w Androdzie 5.0, gdzie [b]SELinux[/b] ubijał [b]encryptfs[/b].
Szyfrowanie systemu plików na poziomie kernela i systemu plików jest najbardziej odporne na potencjalne błędy programów z userspace.
I myślę, że właśnie dlatego Ekipa Google stworzyła te łatki do Ext4. ;)
Pozdro
Ostatnio edytowany przez Jacekalex (2015-08-09 00:21:39)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#17 2015-08-09 13:35:21
dominbik - Członek DUG
- dominbik
- Członek DUG
- Zarejestrowany: 2011-07-25
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
Jacekalex no, ale na partycji swap nie mam systemu plików ext4 (musiałbym zrobić swapfile) - a korzystam z zswap - ciekawe czy to nadal będzie działać, bo robi się dość skompilkowanie..
pozatym jak to wygląda dokładnie przy LVM on LUKS?
gdzie przechowywany jest klucz i jaki program z userspace zajmuje się szyfrowaniem? myślałem, że tym zajmuje się jądro (konkretniej moduł) i nawet ext4 włącznie nie wie, że jest na zaszyfrowanym dysku a co dopiero jakieś programy w userspace...
ciekawi mnie też czy przy tym szyfrowaniu ext4 szyfrowane są również metadane. (struktura drzewa katalogów, rozmiary plików itd...)
[img]http://img34.imageshack.us/img34/5092/zw9m.png[/img] [img]http://img29.imageshack.us/img29/219/pibw.png[/img]
Offline
#18 2015-08-09 13:52:28
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
2128
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:21:56)
Offline
Strony: 1
- Forum Debian Users Gang
- » Software
- » Szyfrowanie /home lub całego dysku. Arch Linux -kilka pytań
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00012 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00162 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.141.24.134' WHERE u.id=1 |
| 0.00090 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.141.24.134', 1714713603) |
| 0.00050 | SELECT * FROM punbb_online WHERE logged<1714713303 |
| 0.00093 | DELETE FROM punbb_online WHERE ident='18.118.140.108' |
| 0.00084 | DELETE FROM punbb_online WHERE ident='47.128.122.10' |
| 0.00072 | DELETE FROM punbb_online WHERE ident='47.128.45.250' |
| 0.00056 | SELECT topic_id FROM punbb_posts WHERE id=289599 |
| 0.00170 | SELECT id FROM punbb_posts WHERE topic_id=27539 ORDER BY posted |
| 0.00083 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27539 AND t.moved_to IS NULL |
| 0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00104 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27539 ORDER BY p.id LIMIT 0,25 |
| 0.00092 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27539 |
| Total query time: 0.01078 s | |