# Szyfrowanie partycji

## Mr Adam

Da się jakoś zaszyfrować partycję?

W takim wypadku jak spowalnie się praca?

I czy da się normalnie pracować z zaszyfrowaną partycją /home  :Wink: 

----------

## przemos

Mogę odpowiedzieć tylko na pierwsze pytanie - da się czywiście. Robiłem to już kiedyś ale niestety było to jakieś 2 lata temu, stąd też kompletnie nie pamiętam jak to się robiło.

----------

## Yatmai

Czytałem o tym w jakejś gazetce o Linuksach... Dane lecą na dysk poprzez crypto-loop'a  :Smile: 

----------

## rasheed

Jeden ze sposobów znajdziesz na gentoo-wiki.com

Pozdrawiam, 

Mikołaj Klimek.

----------

## kfiaciarka

A da się szyfrować partycję na której się pracuje? tzn / czy tylko inne z danymi? (pytam z ciekawości)

----------

## argasek

 *kfiaciarka wrote:*   

> A da się szyfrować partycję na której się pracuje? tzn / czy tylko inne z danymi? (pytam z ciekawości)

 

Skoro http://gentoo-wiki.com/SECURITY_Encrypting_Root_Filesystem_with_DM-Crypt to wygląda na to że tak  :Razz: 

..::Milu Edit: poprawka linka(tak by się otwierał po kliknięciu  :Wink:  )

----------

## martin.k

Poza softowym szyfrowaniem jest jeszcze SecureDisk TP-3218 PCI - daje sprzętowe szyfrowanie podłączonego hdd. Do wyboru: szyfrowanie DES/TDES 40/64/128/192-bit real-time.

Cena 160 USD   :Very Happy:   :Shocked:   :Laughing: 

Edit: niestety pod ATA HDD, brak obsługi urządzeń optycznych.

----------

## rzabcio

Mi się całkiem dobrze korzysta z TrueCrypta. Jest idealny dla "dwusystemowców".

Nie wiem tylko, czy można tworzyć partycję spod Linuksa. (Odczytywać oczywiście bez problemu.) Ja tworzyłem spod XP.

----------

## sir KAT

Ja mam zaszyfrowanego /homa za pomocą cryptsetup-luks i działa wyśmienicie. Generalnie  nie stwierdziłem zauważalnego spadku wydajności, przynajmniej podczas zwykłej pracy.

----------

## Mr Adam

a jak wygląda to szyfrowanie?

jakiś klucz się podaje przy starcie systemu?

----------

## sir KAT

Wystarczy że użytkownik się zaloguje na swoje hasło a partycja jest montowana.

----------

## Mr Adam

tak więc spytam jeszcze o

-jak mocne jest takie szyfrowanie

-co się stanie jak użytkownik zmieni hasło?

-czy root może zmienić użytkownikowi hasło?

-czy np. jak będe ściągać coś z np. bittorrenta przy założeniu że szyfrowana partycja to /home, to będą jakieś logi o tym w systemie które będzie można otworzyć?

----------

## sir KAT

 *Mr Adam wrote:*   

> tak więc spytam jeszcze o
> 
> -jak mocne jest takie szyfrowanie

 

aes sha256

 *Quote:*   

> -co się stanie jak użytkownik zmieni hasło?

 

To zależy od przyjętego rozwiązania. Generalnie najlepiej jest zrobić skrypcik do zmiany hasła tak żeby user nie musiał go zmieniać w dwóch miejscach.

 *Quote:*   

> -czy root może zmienić użytkownikowi hasło?

 

Tak.

 *Quote:*   

> -czy np. jak będe ściągać coś z np. bittorrenta przy założeniu że szyfrowana partycja to /home, to będą jakieś logi o tym w systemie które będzie można otworzyć?

 

Nie bardzo rozumiem  :Neutral: 

----------

## Mr Adam

 *sir KAT wrote:*   

> 
> 
>  *Quote:*   -czy root może zmienić użytkownikowi hasło? 
> 
> Tak.
> ...

 

1.Czyli co ta za szyfrowanie, jak ktoś włoży płytkę z gentoo, zmieni hasło dla roota i potem użytkownikowi...

2.Chodziło mi o to, czy programy p2p, np. bittorent pozostawia jakieś logi w systemie co ściągał, etc.

----------

## sir KAT

[quote="Mr Adam"] *sir KAT wrote:*   

> 
> 
> 1.Czyli co ta za szyfrowanie, jak ktoś włoży płytkę z gentoo, zmieni hasło dla roota i potem użytkownikowi...

 

W zasadzie to wprowadziłem Cię w błąd. Hasła w systemie i hasła odblokowujące zaszyfrowaną partycję to są hasła niezależne. Żeby móc zmienić hasło od partycji trzeba znać hasło ją odblokowujące.

----------

## n0rbi666

Tzn nie ma możliwości, że ktoś skasuje wpisy  z/etc/passwd - zaloguje się jako user, i otrzyma dostęp do szyfrowanej partycji ?  :Smile: 

----------

## Mr Adam

 *n0rbi666 wrote:*   

> Tzn nie ma możliwości, że ktoś skasuje wpisy  z/etc/passwd - zaloguje się jako user, i otrzyma dostęp do szyfrowanej partycji ? 

 

nie, ale można włożyć płytkę install gentoo i passwd zmienić hasło roota, można to jakoś uniemożliwić?

a jak sformatuje partycje z systemem, to co będzie z zaszyfrowaną partycją?

----------

## sir KAT

Hasła do odblokowania zaszyfrowanej partycji zapisane są na tej partycji i nie mają nic wspólnego z /etc/shadow. Wkładanie płytek, zmienianie hasła roota, kasowanie itp nie ma wpływu na zaszyfrowaną partycję. Bez znajomości jednego z haseł odblokowujących nie ma możliwości dostępu do danych na partycji.

----------

## marduk-pl

Ja poleciłbym sys-fs/loop-aes - sam tego używam i sprawuje się całkiem fajnie. A algorytm AES jest chyba aktualnie nie do złamania.

---EDIT---

dane na partycji są bezpieczne jeśli nie jest ona podmontowana, no ale załóżmy, że odejdę na 15min od komputera - w tym czasie ktoś może skopiować moje super tajne dane ;] Jest może jakiś program który odmontował by dysk np. po 10min nie używania komputera?

----------

## Mr Adam

 *marduk-pl wrote:*   

> Ja poleciłbym sys-fs/loop-aes - sam tego używam i sprawuje się całkiem fajnie. A algorytm AES jest chyba aktualnie nie do złamania.
> 
> ---EDIT---
> 
> dane na partycji są bezpieczne jeśli nie jest ona podmontowana, no ale załóżmy, że odejdę na 15min od komputera - w tym czasie ktoś może skopiować moje super tajne dane ;] Jest może jakiś program który odmontował by dysk np. po 10min nie używania komputera?

 

ROTFL  :Wink: 

może skrypcik napiszesz?

----------

## sir KAT

cryptsestup-luks też używa aes'a

----------

## Gabrys

Witam bardzo serdecznie.

Najpierw scenariusz:

Załóżmy, że mamy zrobione tak, że jak zalogujemy się do systemu użytkownikiem john, to automagicznie zostanie podmontowana jego partycja. Jeśli dobrze rozumiem, hasło do użytkownika będzie zatem takie samo jak hasło do partycji.

Teraz pytanka:

1. Można wtedy złamać hasło z /etc/shadow i w ten sposób odkodować ważne dane. Na ile silne jest szyfrowanie hasła zawartego w /etc/shadow? (Jakby hasła były nie do złamania, to nie powstałby np. johntheripper -- swoją drogą zaciągam i zobaczę jak długo to potrwa dla mojego użytkownika). Może np. wystarczy dać 16 znakowe hasło, żeby się dostatecznie uchronić przed atakami na /etc/shadow?

2. Czy możliwe jest nieszyfrowanie całego /home/user a jedynie jakiegoś innego katalogu przy zachowaniu funkcjonalności automatycznego montowania?

3. Jakiś HOWTO to tego o co pytam?

Dziękuję. (Jak coś z tego co pytam jest łatwe do znalezienia na G. to widocznie nie umiem dobrze stawiać zapytań).

----------

## sir KAT

 *Gabrys wrote:*   

> 
> 
> Załóżmy, że mamy zrobione tak, że jak zalogujemy się do systemu użytkownikiem john, to automagicznie zostanie podmontowana jego partycja. Jeśli dobrze rozumiem, hasło do użytkownika będzie zatem takie samo jak hasło do partycji.
> 
> 

 

Tak, będzie takie samo ale w ogólności nie musi być tylko wtedy John będzie musiał wpisywać drugie hasło żeby zmontować partycję.

 *Quote:*   

> 
> 
> 1. Można wtedy złamać hasło z /etc/shadow i w ten sposób odkodować ważne dane. Na ile silne jest szyfrowanie hasła zawartego w /etc/shadow?
> 
> 

 

Zależy od użytego algorytmu, domyślnie jest md5 ale od pewnego czasu nie jest już uznawany za bardzo mocny więc ja osobiście stosuję blowfish. Do tego jeśli hasło jest naprawdę mocne to raczej jest nie do złamanie w realnym czasie.

 *Quote:*   

> 
> 
> 2. Czy możliwe jest nieszyfrowanie całego /home/user a jedynie jakiegoś innego katalogu przy zachowaniu funkcjonalności automatycznego montowania?
> 
> 

 

Montować możesz dowolną partycję nie musi być to /home/user.

 *Quote:*   

> 
> 
> 3. Jakiś HOWTO to tego o co pytam?
> 
> 

 

http://olewaczers.eu.org/cryptedhome.php

http://www.saout.de/tikiwiki/tiki-index.php?page=EncryptHomeDirUsingLUKS

http://www.google.pl

----------

## Gabrys

Zrobiłem według tego:

https://forums.gentoo.org/viewtopic-t-274651.html

Nie we wszystkim jest aktualne, także trzeba brać poprawki.

Powiem tak. Wygląda to super, bo hasło do szyfrowania (i odszyfrowania) partycji jest trzymane w pliku /home/quake.key. Ale ten plik jest zaszyfrowany poprzez moje hasło do systemu. Tak więc mogę zmienić sobie hasło usera i przeszyfrować ten plik i wszystko działa. A fizycznie hasło do partycji jest 512 bitowe, w każdym razie bardzo mocne.

Jak to powiedział mój kolega: "sam bym tego lepiej nie wymyślił".

Pozdrawiam!

----------

## Paczesiowa

apropo wydajnosci to mam partycje zaszyfrowana aes z truecrypta na serverze plikow i p3 800mhz wiecej jak 4mb/s nie wyciaga. da sie zyc ogolnie.

----------

## Yatmai

 *marduk-pl wrote:*   

> dane na partycji są bezpieczne jeśli nie jest ona podmontowana, no ale załóżmy, że odejdę na 15min od komputera - w tym czasie ktoś może skopiować moje super tajne dane ;] Jest może jakiś program który odmontował by dysk np. po 10min nie używania komputera?

 

Ja mam w cronie wpisane żeby co 10 minut dawał umount /partycja jest to o tyle fajne, że jeśli aktualnie jest ona używana to mi jej nie odmontuje w połowie kopiowania danych  :Very Happy: 

----------

## Gabrys

Wydajność. Przy normalnej pracy spadek wydajności prawie niezauważalny. Techniczne testy mówią o spadku z wartości 30 MB/s do jakichś 26 MB/s, więc stosunkowo nie duży spadek. W zastosowaniach ekstremalnych, np.:

cat /dev/hda13 | bar -s 7200m | gzip -3 - > hda13/2007-01-02.gz

czyli kopiowanie 7,2 GB partycji do skompresowanego pliku szyfrowanego w locie lubi czasem przymulić (zwłaszcza jak się ma /var/lib/mysql podlinkowane również do owej zaszyfrowanej partycji).

Podsumowując: spadek jest i czasami daje się go zauważyć, ale nawet, gdy staje się on widoczny, jest do zniesienia. Natomiast może być trochę gorzej, jak ktoś nie ma dobrego CPU, gdyż szyfrowanie jednak trochę mocy obliczeniowej pochłania.

----------

## Gabrys

 *Art.root wrote:*   

>  *marduk-pl wrote:*   dane na partycji są bezpieczne jeśli nie jest ona podmontowana, no ale załóżmy, że odejdę na 15min od komputera - w tym czasie ktoś może skopiować moje super tajne dane ;] Jest może jakiś program który odmontował by dysk np. po 10min nie używania komputera? 
> 
> Ja mam w cronie wpisane żeby co 10 minut dawał umount /partycja jest to o tyle fajne, że jeśli aktualnie jest ona używana to mi jej nie odmontuje w połowie kopiowania danych 

 

W ogóle nie odmontuje partycji jeśli jesteś np. zalogowany, więc generalnie słaby pomysł.

Ogólnie pam_mount odmontowuje po wylogowaniu, a dopóki jesteś zalogowany i dysk jest podmontowany, to chronią Cię prawa dostępu do pliku, więc

chmod g-rwx ~ -R

chmod o-rwx ~ -R

i jesteś bezpieczny, no chyba, że ktoś Ci się włamie na Twoje konto z netu albo na konto administratora, no ale to już trochę inna beczka.

A do wygaszacza po prostu "pytaj o hasło" i tyle  :Wink: .

----------

## nmap

Jest jeszcze jeden bardzo fajny program (TrueCrypt) który potrafi robić tak zwane wolumeny .

Program jest dostępny nie tylko pod linuxa świetnie nadaje się do win32 oraz innych systemów .

Domowa strona programu to :

www.truecrypt.org

Poza tym polecam przeczytać :

http://securityinfo.pl/publikacje/9/

http://www.saout.de/misc/dm-crypt/

Pozdrawiam i życzę wszystkiego najlepszego w roku 2007

----------

## Yatmai

@Gabrys tu sie mylisz, komp u mnie chodzi praktycznie non stop, a jednak odmontowuje o ile aktualnie z tej partycji nie korzystam. Fakt, "korzystanie" to też gdy krusader albo mc jest nakierowany na folder w tej partycji, ale jakoś nie miałem z tym problemów.

PS. tak teraz jeszcze pokumałem, ja tu mówię o jakiejś dodatkowej partycji np /archiwum/dane a nie o /home, bo tej w istocie raczej nie da rady odmontować w ten sposób  :Very Happy: 

----------

## Gabrys

@Art no tak ja tu mówię o /home/quake  :Wink: 

----------

## n0rbi666

 *sir KAT wrote:*   

>  *Quote:*   
> 
> 1. Można wtedy złamać hasło z /etc/shadow i w ten sposób odkodować ważne dane. Na ile silne jest szyfrowanie hasła zawartego w /etc/shadow?
> 
>  
> ...

 Możesz powiedzieć, jak to zrobiłeś ? Jakieś małe howto ?  :Wink: 

Bo znalazłem na sieci howto dla debiana, ale może da się zrobić to w gentoo-way ?  :Smile: 

----------

## pancurski

Mam takie pytanie, wg tego Howto https://forums.gentoo.org/viewtopic-t-417733-highlight-szyfrowanie.html, zrobiłem szyfrowanie katalogu (dmcrypt dla loopback device), plik protected stworzyłem o wielkosci 1 giga, reszta zgodnie z tamtymi wskazówkami. 

Niestety coś mnie podkusiło, żeby postawić sobie ubuntu   :Evil or Very Mad:   , efekt taki, że straciłem gruba i całą partycje /home. Niewiem czy zamiast walczyc z odzyskaniem gentoo nie postawić go sobie od nowa, ale w takim układzie co z tym zaszyfrowanym plikiem? Czy formatowanie dysku itd, skasuje też ten nieszczęsny plik protected?

----------

## 13Homer

 *frondziak wrote:*   

> Niewiem czy zamiast walczyc z odzyskaniem gentoo nie postawić go sobie od nowa, ale w takim układzie co z tym zaszyfrowanym plikiem? Czy formatowanie dysku itd, skasuje też ten nieszczęsny plik protected?

 

Jeśli ten plik był na partycji /home, to chyba oczywiste, że po formatowaniu pójdzie do piachu, przecież to zwykły plik. Na Twoim miejscu walczyłbym o odzyskanie tej partycji. Jeśli została ona nadpisana przez jakiegoś fdiska, to raczej nie ma szans...

----------

## Gabrys

Testdisk powinien wszystko odkręcić. Jest na LiveCD/DVD Knoppiksa od którejś wersji i w niemal każdym LiveCD z Rescue w nazwie.

----------

## Mr Adam

właśnie zastanawiam się, czy po formacie / ( załóżmy że szyfrone /home jest na osobnej partycji ) i ponownej instalacji systemu można się dostać do zaszyfrowanej partycji..

po za tym czytałem że można sobie zrobić tokena  :Wink:  tzn. kernel jest na pendriv'ie a cały dysk jest zaszyfrowany....

----------

## Gabrys

 *Mr Adam wrote:*   

> właśnie zastanawiam się, czy po formacie / ( załóżmy że szyfrone /home jest na osobnej partycji ) i ponownej instalacji systemu można się dostać do zaszyfrowanej partycji..

 

Musisz mieć pliczek z (zaszyfrowanym) hasłem jeśli jest to robione tak ja mam. No i znać hasło do odszyfrowania pliczku (czyli hasło danego usera).

W nowszych rozwiązaniach klucz jest trzymany w początkowych, nieużywanych sektorach (?) na partycji, więc tego kluczowego pliku po prostu nie ma, więc i zgubić się nie da.

Tak marginesem, ja nie szyfruję całego /home, a /home/quake, a plik z hasłem (zaszyfrowanym) leży na partycji /home, a tej partycji się raczej nie formatuje, czyż nie?  :Wink: 

 *Quote:*   

> po za tym czytałem że można sobie zrobić tokena  tzn. kernel jest na pendriv'ie a cały dysk jest zaszyfrowany....

 

Tak, kombinacji jest wiele i w zasadzie jesteśmy ograniczeni bardziej naszą wyobraźnią niż faktycznie techniką.

----------

