vasek |
|
Темы:
48
Сообщения:
11320
Участник с: 17 февраля 2013
|
safocl, лично по мне, так намного удобнее делать ручками, используя cryptsetup (LUKS) - главное видишь и понимаешь что делаешь. Можешь выбрать и способ шифрования и длину ключа и способ ввода пароля (или мастер пароль или ключевой файл). Для расшифровки файла-контейнера достаточно ввести 2 команды. Что тебе не понравится, так это, наверное, заданный при установке размер файл-контейнера и использование sudo. Зато надежно.
Ошибки не исчезают с опытом - они просто умнеют
|
nafanja |
|
Темы:
94
Сообщения:
9252
Участник с: 02 июня 2012
заблокирован
|
vasekтак же надежно как и eCryptfs, EncFS, TrueCrypt, cryfs и т.п.
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874 |
safocl |
|
Темы:
121
Сообщения:
1570
Участник с: 08 октября 2015
|
vasekя люксом планирую шифровать полностью систему, однако, на данный момент груб не поддерживает LUKS2 формат, только первый тут об ентом уже с прошлого года просят усердно))) наверно надо будет портицию с ядрами и загрузчиком на LUKS1 делать... еще один момент не ясен, как лучше сделать, или как то вообще не получится -- мне представляется два пути шифрования : 1. сначала накатанный LVM и на него уже LUKS делать. 2. Вначале LUKS, на нем уже размещать LVM даже хз но первый вариант выглядит точно рабочим, второй я не уверен, что так возможно, и чо LVM может существовать в LUKS контейнере. |
vasek |
|
Темы:
48
Сообщения:
11320
Участник с: 17 февраля 2013
|
nafanjaПросьба, будет время опиши в кратце как используешь, возможно имеются какие то нюансы. Возможно что то делаю не так. Просто у меня к нему сложилось предвзятое мнение, возможно и ошибочное.
Ошибки не исчезают с опытом - они просто умнеют
|
nafanja |
|
Темы:
94
Сообщения:
9252
Участник с: 02 июня 2012
заблокирован
|
vasekда все по вике, использовал для шифрования всей папки пользователя. залогинелся папка расшифровалась, ключевой файл хранился на флешке, удобненько, но для меня лишнее. а сейчас использую EncFS и CryFS, потому что в кедах появился стандартный виджет шифрования папок и он поддерживает эти две утилиты.
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874 |
vasek |
|
Темы:
48
Сообщения:
11320
Участник с: 17 февраля 2013
|
nafanjaПонятно. Я попробовал несколько способов, плотно не разбирался, но при беглом знакомстве отметил следующие основные минусы и пока без ответов некоторые нюансы (и все это связано с тем, что ecryptfs использует хэш пароля пользователя для генерации другого хэша/ключа) - не возможно сменить пароль зашифрованной папки - для этого нужно расшифровать папку, создать заново новую папку и переместить в нее содержимое старой папки. - при создании зашифрованной папки дополнительно создается и подлежит хранению определенная информация, при потере которой данные не расшифровать, то есть они будут потеряны. - вопросы (точнее сомнения), связанные с возможностью смены логина и пароля для входа в систему, переноса и использованию зашифрованных данных на другом компьютере. - ну и user должен четко представлять какой способ использования ecryptfs выбрать - как отметил выше есть нюансы с монтированием, например, использование fstab не допустимо (нарушается безопасность). Но стоит отметить и большой плюс для тех кто использует SSD - шифрование на уровне файловой системы в части быстродействия намного предпочтительнее блочного шифрования самих данных. EDIT 1 - а вообще понравилось монтирование/размонтирование всего одной командой (от пользователя) - ecryptfs-mount-private/ecryptfs-umount-private
Ошибки не исчезают с опытом - они просто умнеют
|
nafanja |
|
Темы:
94
Сообщения:
9252
Участник с: 02 июня 2012
заблокирован
|
vasekда, создается файл ключ и это правильно!!! vasekвсе возможно и даже очень быстро можно сменить пароль, перешифровывать данные не нужно! файл ключа содержит большой рандомный пароль, которым шифруются данные, а вот этот большой пароль шифруется маленьким паролем пользователя. vasekfstab использовать для шифрования пользовательских данных просто глупо! шифрование должно производиться в пространстве пользователя, а к расшифрованным данным не должно быть доступа даже руту. vasekэто все работает и быстро, так как данные не перешифровываются, а просто перешифровывается большой рандомный пароль в файле ключа. имея файл ключа и пароль, можно расшифровать данные и на другом компе.
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874 |
vasek |
|
Темы:
48
Сообщения:
11320
Участник с: 17 февраля 2013
|
nafanjaэто на любителя, мне больше нравится мастер пароль (использую простой, но не менее 20 символов и 3 уровня символов, но никогда не забывается). Файл ключ это другое, например, этот файл, используемый вместо пароля (как такового пароля нет вообще, вместо него файлик, держишь отдельно)
nafanja nafanjaа вот это то мне и не понятно как делать, что то нигде не встретилось. Пишут, что на другом компе использовать можно, но как? - не вникал.
Ошибки не исчезают с опытом - они просто умнеют
|
nafanja |
|
Темы:
94
Сообщения:
9252
Участник с: 02 июня 2012
заблокирован
|
vasekда я уже, честно говоря, тоже не припомню, как это делается, но в свое время было что и пароль пользователя менял и расшифровывал под другим пользователем, все норм. а вообще я давно перешел на EncFS, но сейчас присматриваюсь к CryFS, там не только данные и имена файлов/директорий скрываются, но даже узнать размер зашифрованного файла проблема.
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874 |
vasek |
|
Темы:
48
Сообщения:
11320
Участник с: 17 февраля 2013
|
Разобрался, нашел как можно сменить пароль на монтирование
Ошибки не исчезают с опытом - они просто умнеют
|