 Шифрование разделов LUKS,  sheff.artx, 03-Сен-23, 08:03 [смотреть все]Нужно создать шифрованный диск для бэкапа. (Никто не покушается на данные, но паранойя)) Во всех статьях пишут, что сначала требуется создать раздел, а после зашифровать его. Где-то встречал, что таблица разделов должна быть GPT. Но что мешает зашифровать весь диск сразу, минуя разбивку? Это работает, проверял, но какие подводные? Всем благодарен, с меня, как обычно.
|
- Шифрование разделов LUKS, Аноним, 12:58 , 03-Сен-23 (1)
- Шифрование разделов LUKS, Аноним, 13:09 , 03-Сен-23 (2)
Если правильно понял вводные, то недостатки такие:
* нужно помнить фиксированные настройки шифрования.
* systemd не сможет автоматически смонтировать корневой раздел. Для бэкап-диска - без разницы.
* один ключ шифрования, нельзя использовать слоты. Для бэкап-диска может быть удобно иметь несколько разных ключей: для автоматического монтирования службами целевых систем (на их ФС) и для ручного расшифрования (в голове);А в чем проблема сделать раздел на весь бэкап-диск, а потом его весь зашифровать?
- Шифрование разделов LUKS, sheff.artx, 13:40 , 03-Сен-23 (3)
> Если правильно понял вводные, то недостатки такие:
> * нужно помнить фиксированные настройки шифрования.
> * systemd не сможет автоматически смонтировать корневой раздел. Для бэкап-диска - без
> разницы.
> * один ключ шифрования, нельзя использовать слоты. Для бэкап-диска может быть удобно
> иметь несколько разных ключей: для автоматического монтирования службами целевых систем
> (на их ФС) и для ручного расшифрования (в голове);
> А в чем проблема сделать раздел на весь бэкап-диск, а потом его
> весь зашифровать?Спасибо за ответ и, как я понял особой разницы нет, т.к. автоматического монтирования не предвидится и монтирую руками и только я.
- Шифрование разделов LUKS, Аноним, 16:17 , 03-Сен-23 (4)
> монтирую руками и только яЯ по-началу тоже так предполагал. Но бэкапы - такая штука, которую очень желательно делать часто, а значит это должно быть легко и удобно. Иначе быстро надоедает, появляются задержки между бэкапами и риск потери свежих данных растет. К тому же, риск раскрыть пароль при вводе с клавиатуры обычным пользователем значительно выше, чем при монтировании ключом, который видит только суперпользователь с также шифрованной ФС с ОС. К тому же, если для доступа к диску используется несколько устройств с разными ключами, можно легко сменить/удалить ключ только для скомпрометированного устройства.
Ну и, наконец, возможность перешифровать диск с новыми настройками налету. Например, при устаревании (вычислительной сложности) или компрометации алгоритмов шифрования. Или просто под новый процессор, который имеет инструкции/модуль для более быстрой работы с каким-то конкретным шифром.
Короче, заголовки LUKS - это очень гибко и удобно. > особой разницы нет Есть ещё похожий, но более гибкий вариант: хранить заголовки LUKS на отдельном от диска устройстве. Диск будет а-ля plain-dmcrypt, но заголовки, например, на флэшке, позволят легко менять настройки/ключи шифрования. Цена: потеря данных при потере флэшки.
Подробнее:
https://wiki.archlinux.org/title/Dm-crypt/Specialties#Encryp...
- Шифрование разделов LUKS, Аноним, 09:28 , 09-Сен-23 (5)
Если для бэкапа используется выделенный диск ЦЕЛИКОМ, то разбивать его на разделы не требуется, можно шифровать диск целиком без разбивки.
- Шифрование бекапов на ISO, Аноним, 15:57 , 09-Сен-23 (6)
- Шифрование бекапов на ISO, ACCA, 06:47 , 12-Сен-23 (7)
Согласен. Возникает вопрос - а кому и как раздать ключи шифрования?Ну, на случай если тебя совершенно случайно убил упавший самолёт, в которого попал пролетавший метеорит.
- Шифрование бекапов на ISO, Аноним, 10:54 , 12-Сен-23 (8)
> Согласен. Возникает вопрос - а кому и как раздать ключи шифрования?В случае использования шифрования LUKS есть возможность установки нескольких паролей для разных людей. > Ну, на случай если тебя совершенно случайно убил упавший самолёт, в которого попал пролетавший метеорит. В случае шифрованых ISO на DVD/BD дисках, делать надо несколько версий, зашифрованных для разных людей и раздать бекапы им для хранения. Как вариант, можно dd и LUKS раздел в файл записать и на ISO закатать. Это для фирм хорошо подходит. Хотя большинство просит не шифровать, а просто хранит бекапы в сейфе. Не любят у нас шифрование.
- Полнодисковое шифрование, Аноним, 08:28 , 18-Сен-23 (10)
- Шифрование разделов LUKS, Аноним, 14:49 , 20-Сен-23 (11)
Часто используют связку LUKS -> LVM. Сначала шифруют физичский диск и уже его разбивают на логические разделы с помощью LVM.
GRUB поддерживает загрузку с /boot на LVM разделе, который в свою очередь размещён в разделе LUKS.
|
Версия для распечатки
