Шифрованная сохраненка, pfs и вообще шифрование

[sfs]

В pra1404 воспроизвел штатный функционал шифрования luks сохраненки портеус его штатными средствами
Все работает

Не нравится:
1. Сохраненка rw ,т.е. изменяемая. Т.е Не неубиваемая. Хорошо бы придумать вариант "только чтения"
Дядя Шурик - Вы делали что-то подобное... Достаточно изменить параметры монтирования?
2. Зашифровать можно только раздел или файл. Папку нельзя (насколько я разобрался)
Это не удобно - может кончиться место. Есть альтернатива, где, вроде можно папку https://wiki.archlinux.org/index.php/EncFS - это отдельная история. Надо пробовать

Пока разбирался - написал консольный скрипт cryptsetup.sh (там же в pra1404), который создает , проверяет и (от)монтирует шифрованный том. Т.е. легкая , но не кроссплатформенная альтернатива truecrypt. Не знаю надо ли двигаться в этом направлении...

Если мой gui к zip и gpg, который делает шифрованный архив. По итогу отличие только в том что  что архив не примонтировать
Но xarchiver нормально (добавление, удаление) работает с запароленным zip. А вот mc - нет
Надо ли что-то еще по шифрованию...

Итог
Запароленный pfs

[DdShurick]

Дядя Шурик - Вы делали что-то подобное... Достаточно изменить параметры монтирования?

Код

sudo mkdir -p /mnt/sdc2
sudo mount -r /dev/mapper/sdc2 /mnt/sdc2

Код

mount | grep sdc2
/dev/mapper/sdc2 on /mnt/sdc2 type ext2 (ro,relatime,errors=continue) 

Что и требовалось.

[sfs]

При просто монтировании - да, все так.
Но не все так просто. Насколько я помню :
Шифрованный .dat монтируется в инитрд как / - если его сделать r - работать не будет
Надо как-то изловчиться с mount bind и монтировать не в /
Может делать матрешку : .pfs пихать в luks контейнер и монтировать в 2 прохода...

Чего хочется в плане практического результата
rw в файле - самое неудобное, что можно придумать (убиваема, кончается место, нет copy2ram)
Сохраненка pfs - то что надо, но как хранить пароли и т.п. Потерял флэшку и привет...
Просто секретные файлы можно держать в шифрованном.zip А вот пароли в конфигах и т.п....
Каждый раз распаковывать - неудобно. Удобно было бы 1 раз ввести пасс и получить все в готовом виде
Наверное .pfs в luks. Хотя можно и без pfs - папку монтировать, но сжатия не будет. Или encfs...
Только как , где (ититрд?) и в каком качестве  (/, HOME ?) подключать

[DdShurick]

1) Сохранёнка в шифрованном файле.
В старом добром init для сохранёнки ro предусмотрена точка монтирования /pup_ro1, в Richy я её использую для монтирования *save.pfs.
2) Шифрованный /home
Шифрованный раздел монтируется к /home перед подъёмом иксов по паролю или ключу. В данном случае будут зашифрованы только данные пользователя, изменение системных настроек сохраняется по старому в save.[234ps]fs.
3) Шифрованный раздел с системой.
Шифрованный раздел монтируется на стадии init к /mnt/dev_* ну и дальше как Барри прописал. В этом варианте сохранёнка удобнее всего в каталоге /changes. Достоинство этого варианта - для инициализации загрузки системы достаточно "вбросить" vmlinuz и initrd.gz, остальное находится на шифрованном разделе, иначе говоря "прикурить" можно по сети (tftp + pxelinux).

[sfs]

Если мы правильно поняли друг друга - я хочу 2
Только не раздел, а файл
Примонтировать luks в tmp каталог, а потом его mount bind /home/live ?
Или сразу монтировать luks  в /home/live .... с какими ключами?
Или как?
Как лучше наложить на /home/live поверх?

[DdShurick]

Если мы правильно поняли друг друга - я хочу 2

Я сделал 3 вариант, для Richy, в PRA с его systemd не полезу.

Только не раздел, а файл
Примонтировать luks в tmp каталог, а потом его mount bind /home/live ?
Или сразу монтировать luks  в /home/live .... с какими ключами?
Или как?
Как лучше наложить на /home/live поверх?

В Richy я просто монтирую раздел к не пустому /home без ключей, работает, хотя это вроде бы и неправильно, старых файлов не видно.

[sfs]

luks - pfs сохнаненка

Не понял pfs в luks или luks в pfs?

Пока не знаю. На выходе хочется шифрованную ro сохраненку с удобным подключением

[DdShurick]

Код

cryptserup --help
..............
 -r, --readonly                      Create a readonly mapping
..............

[sfs]

Не так все просто. В штатном режиме -r делать нельзя - писать некуда будет. Там монтируется в /
Надо как-то по другому встроить. Может в rc.local ...

[DdShurick]

Из моего init:

Код

lukslogin () {
DEV=$1
echo -n "Введите пароль для доступа к шифрованному диску:" > /dev/console
read -s PASSWD
cryptsetup luksOpen /dev/$DEV $DEV << EOF
$PASSWD
EOF
check_status $?
}

PARTS=$(grep -v loop /proc/partitions | grep [1-9]$ | tr -s ' ' | cut -f 5 -d ' ')
##Crypto
if [ -n /dev/mapper/control ]; then
 for DEV in $PARTS
 do
[ "$(cat /sys/block/${DEV:0:3}/removable)" = 0 ] || continue #only HDD (это я сделал специально для себя)
[ "$(guess_fstype /dev/$DEV)" = "unknown" ] || continue
lukslogin $DEV
 if [ "$(cryptsetup luksUUID /dev/$DEV)" = "$UUID" ]; then
CRYPTHOME=/dev/mapper/$DEV
 else 
PDEV1=/dev/mapper/$DEV
 fi
sleep 1
 break
 done
fi
##end Crypto 

Я предпочитаю монтировать раздел с системой, меньше проблем. Сохранять можно как при установке на обычный раздел в save.[234p]fs или changes/

[sfs]

Может так (максимально использовать что уже есть):
1. Создаем обычный save.pfs
2. Создаем luks контейнер fat (что попроще?)
3. mv save.pfs в контейнер
4. При загрузке, в /etc/rc/local (или сделать отдельный юнит systemd) монтируем luks и следом .pfs в / поверх
В итоге получаем что хотелось - сжатую шифрованную неубиваемую сохраненку, в дополнение к которой можно юзать все остальные виды сохраненок

Есть альтернативные идеи?

[DdShurick]

Есть альтернативные идеи?

Зачем мне идеи, когда у меня есть готовый продукт.

[sfs]

Но у Вас ведь шифрованный раздел, а не файл. Я правильно понял? Это же неудобно? Как его на флэшке таскать?

[neobht]

У нас применяется штатное шифрование от ядра на уровне loop.

Посмотрите. Ro или rw определяется по расширению.
Весь дистр шифровать каждый раз бессмысленно. Шифруются различные модули и хома.

[sfs]

У нас применяется штатное шифрование от ядра на уровне loop.

Можно подробнее? Как раз и надо шифрануть немного  в /home /etc
Это? http://tldp.org/HOWTO/Cryptoloop-HOWTO/kernel-configuration.html
http://www.xakep.ru/magazine/xa/129/086/1.asp - создается впечатление что это ранняя реализация luks
Модуль ядра в pra есть, а вот спецключей у losetup нет
Чем это будет лучше luks?