safocl |
|
Темы:
121
Сообщения:
1570
Участник с: 08 октября 2015
|
имеется арч, решил зашифровать некие данные (в основном для опыта), все нормально получилось, однако не могу понять -- где указать необходимый мне алгоритм шифрования? шифрую данные в каталоге пользователя, без участия рута. Пользовался постом и постом. нигде не нашел информации о том, как указать при таком способе алгоритм шифрования, -- нет ни в манах, ни в вики. если монтировать от рута либо из fstab то, как предполагается такую опцию указать можно через опцию однако опции монтирования не поддерживаются при монтировании не от рута.в файле конфига ~/.ecryptfs/secret.conf в конце строки пробовал указать , однако
Как указать нужный алгоритм шифрования? |
vasek |
|
Темы:
48
Сообщения:
11320
Участник с: 17 февраля 2013
|
safoclAES стоит по дефолту, а выбрать, если мне не изменяет память, можно при первичном создании - спросит сразу после ввода пароля + там же можно задать и длину ключа А вообще encfs по проще в использовании - ecryptfs реализован в kernel space, а encfs в user space. Но, имхо, не может быть столько много информации, подлежащей шифрованию - ну от силы несколько файлов, а значит проще зашифровать отдельно файл, используя openssl. Ну если уж так прижало, то лучше truecrypt (и не верь что о нем пишут)
Ошибки не исчезают с опытом - они просто умнеют
|
safocl |
|
Темы:
121
Сообщения:
1570
Участник с: 08 октября 2015
|
vasekтак есть жеж его форки веракрипт и еще чото... они вроде живы норм так, в отличии от ентой тулзы vasekа где такая инфа? я из офф ничо такого не нашел. vasekда но енто вроде только для таких автоматических вариантов, как ecryptfs-setup-private однако, там жеж шелл, вроде и там ничо такого чо бы заносилось куда то для выбора алгоритма |
safocl |
|
Темы:
121
Сообщения:
1570
Участник с: 08 октября 2015
|
safoclи таки да, никакого выбора алгоритма при ecryptfs-setup-private нет. хз даж как то было наверна другая команда... |
vasek |
|
Темы:
48
Сообщения:
11320
Участник с: 17 февраля 2013
|
safoclВидно при первоначальной установке - написано aes и что то типа y n [y] - то есть если ничего не вводишь и жмешь Enter, то будет aes ... (там же можно и выбрать другое и можно выбрать и длину ключа). Может не внимательно смотрел? В части монтирования - что то ты делаешь не то ... во 1-ых, монтирование настраивается от user (удобнее через fstab), во 2-ых для монтирования нужно выполнить две команды
А вообще мне эта приблуда не нравится. Я сейчас, если уж очень нужно, шифрую файлы openssl (быстро и удобно) - как то был топик, там даже был приведен скрипт для автоматизации процесса. А вот для паролей, телефонов и прочей мелочи использую KeePass-2.40 (кроссплатформенный, виндовый, в линукс запускаю через mono или линуксовый keepass2) - удобно тем, что можно носить на флешке (без инсталяции) и использовать в любой системе.
Ошибки не исчезают с опытом - они просто умнеют
|
safocl |
|
Темы:
121
Сообщения:
1570
Участник с: 08 октября 2015
|
vasekда, его использую тоже. vasekенто наверна когда пользователя шифруешь, там же от рута енто делается по ентому и можно через опцию в команде mount vasekну да, я и монтирую от юзера, по ентому и не доступны опции монтирования потипу от рута вроде можно как раз указать такое, однако мне от рута и не надо...через fstab как раз все норм, как представляется там есть енти нужные параметры куда вписать. Мне именно что периодически во время работы надо шифровать, расшифровать. по поводу openssl -- хз но ента утилита явно намного удобнее, просто расшифровал папку и кидай сколько захочешь файлов. |
vasek |
|
Темы:
48
Сообщения:
11320
Участник с: 17 февраля 2013
|
safoclПросьба - опиши команды для шифрования пакпки и последующего монтирования - мне что то не очень нравится эта приблуда, хочу проверить стойкость к взлому - возможно я что то делаю не так.
Ошибки не исчезают с опытом - они просто умнеют
|
vasek |
|
Темы:
48
Сообщения:
11320
Участник с: 17 февраля 2013
|
safocl, это приблуда для детей, как я и думал. Зашифровал, сделал монтирование от user - все продел согласно Wiki (уточнялся и по другим источникам). Захожу в систему сегодня утром, пробую расшифровать папку другим паролем ecryptfs-add-passphrase Passphrase: ... ввожу 12345 ... и монтирую mount -i /home/vasek/Private mount: /home/vasek/Private: mount(2) system call failed: Нет такого файла или каталога. получаю облом. Логинюсь в другую консоль под root, пробую тоже самое - облом. Далее самое интересное - правлю два файла (разумеется от root) и повторяю монтирование с паролем 12345 - прошло успешно. ls /home/vasek/Private wm И спрашивается - на хрена мне такое шифрование? PS 1 - какие файлы менял, не спрашивай, не скажу. PS 2 - юзай truecrypt (кстати там пароли хранятся в самом файл-контейнере - если забудешь, копец) PS 3 - еще один эксперимент - нехороший нюанс - если зашел в систему и расшифровал папку, затем размонтировал, то можно далее расшифровывать любым паролем (если не перегружался) размонтировал папку umount /home/vasek/Private ... ls /home/vasek/Private - пусто ecryptfs-add-passphrase Passphrase: ... но ввожу уже 123 ... и монтирую mount -i /home/vasek/Private ... смотрим ls /home/vasek/Private wm Может я что то делаю не так??? Просветите, кто использует. Но если это так, то это нонсенс.
Ошибки не исчезают с опытом - они просто умнеют
|
safocl |
|
Темы:
121
Сообщения:
1570
Участник с: 08 октября 2015
|
vasekа так ты через fstab делал... там онаж через PAM модуль монтируется, когда через скрипт ты енто все настраиваешь автоматом... по ентому и пароль не нужен вовсе, но енто не значит чо лбой подойдет для дешифровки. Для PAM главное что бы пользователь зашел в свое окружение (залогинился). я же делал так: 1. создал файл завернутого ключа состоящего из парольной фразы и случайных чисел из /dev/random 2. по данному файлу с применением завернутой парольной фразы узнал какой енто будет ключ в связке ключей ядра. 3. зашифровал папку с помощью данного ключа и парольной фразы.. итог: если не будет того ключа в связке ключей ядра, то зашифрованные файлы не монтируются даже в случае указания что файлы зашифрованы другим ключем. однако после такой попытки почему то не монтируется с нормальным ключем до ребута компа (возможно до какогото иного момента, но пока ребут явно помогает, предположительно до перемонтирования ФС, т.к. при этом зашифрованная ФС вроде как монтируется, но и как бы и нет... -- в команде ls выводит значения имен файлов, однако атрибуты вопросами обозначены и пишется, что не удалось найти указанный файл и их нет при проверке командой file). Предположительно такая траббла происходит из-за отсутствия нормального отмонтирования при попытке монтирования с другим ключем. Это подобно стандартному шифрованию ext4 с помощью e4crytp, где если расшифровал, то зашифровать можно только отмонтированием ФС, на которой енти файлы. Другой вопрос -- существует ли возможность вложить нужный ключ в связку ключей насильно без криптографического способа внесения? если да, то конечно, можно просто прочесть, какой ключ требуется из файла сигнатуры и просто его внести в связку ключей и расшифровать. однако, такой подход не возможен при хранении в облаке, думаю для ентих целей данное шифрование норм безопасно, без физического контакта с компом. |
safocl |
|
Темы:
121
Сообщения:
1570
Участник с: 08 октября 2015
|
О и кстати разобрался на счет данного бага -- он оказался не багом... просто висело монтирование с неверным ключем... как представляется получилось повторное монтирование, однако, оно не прошло но расшифровало имена файлов, которые оказались фантомными и неработающими. после отмонтирования командой umount фантомные файлы исчезли, примонтировал с нормальным ключем и все нормально расшифровалось. хочу так же заметить, что при отмонтировании командой umount.ecryptfs_private ключ автоматом удаляется из связки ключей ядра. как такое делать самостоятельно? Через keyctl вроде явно не команда revoke, а больше хз вроде не подходят. |