Сайт | Скачать | Видео | Wiki

Автор Тема: Шифрованная сохраненка, pfs и вообще шифрование  (Прочитано 20366 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн neobht

  • Ветеран
  • *****
  • Сообщений: 1031
  • Репутация: +15/-0
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #15 : 14 Апрель 2014, 17:35:49 »
Luks - это навороченно.

Cryptoloop на уровне initrd достаточно прост. Использование как обычного loop, только при монтировании вводится пароль.

Luks - больше возможностей, но сложнее.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #16 : 14 Апрель 2014, 17:47:58 »
В pra (porteus) luks уже в инитрд и все работает. Это я уже большего захотел
Я так понял для Cryptoloop надо модуль ядра и пропатченный losetup (у нас обычный)

Оффлайн neobht

  • Ветеран
  • *****
  • Сообщений: 1031
  • Репутация: +15/-0
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #17 : 14 Апрель 2014, 18:28:59 »
Модуль ядра встроенный. Losetup - обычный.

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #18 : 14 Апрель 2014, 19:12:27 »
Тогда тыкните в какой-нибудь проверенный мануал или пару строк - как юзать

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #19 : 14 Апрель 2014, 19:39:44 »
Из стандартного init:
Код
if [ ! "`echo "$PUPSAVEFILE" | grep '_crypt'`" = "" ];then
 case $PUPSAVEFILE in
*cryptx*) #see /etc/rc.d/rc.shutdown.
CRYPTO='-E 1'
*)
CRYPTO='-e aes'
 esac
fi
.............
if [ "$CRYPTO" = "-e aes" ];then     
losetup -e aes /dev/loop1 /mnt/dev_save$PUPSAVEFILE
else
losetup -e 1 /dev/loop1 /mnt/dev_save$PUPSAVEFILE
fi
Примерно так.
Всё придумано до нас  :(
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #20 : 14 Апрель 2014, 19:44:48 »
losetup --help , в Pra нет ключа -e
Недокументированный чтоли

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #21 : 14 Апрель 2014, 20:30:03 »
В Richy losetup-FULL

В новых версиях losetup ключ "-e" отсутствует.
« Последнее редактирование: 14 Апрель 2014, 21:12:49 от DdShurick »
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #22 : 15 Апрель 2014, 09:17:06 »
Подумал еще - может совсем просто сделать:
1. Берем стандартную luks сохраненку
2. В параметры ядра save=luks-save.dat
3. В rc.local (или в systemd) монтируем в верхний слой aufs
В этом варианте получается без компрессии, но максимально просто и стандартно

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #23 : 17 Апрель 2014, 13:37:06 »
сделал:
1. Берем стандартную luks сохраненку. Переименовываем в /base/*.luks
2. Скриптом из аттача монтируем cryptsetup.sh a
А вот с этим проблемы
Цитата
В rc.local (или в systemd) монтируем в верхний слой aufs
В rc.local и т.п. приглашение ввода пароля проскакивает
Секунд 10 висит через systemd
Как бы сделать чтобы приглашение не пропадало...
Кроме переноса в Initrd идей нет


Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #24 : 17 Апрель 2014, 18:14:25 »
В rc.local и т.п. приглашение ввода пароля проскакивает
У меня в инит тоже проскакивает, поэтому после определения системой шифрованного раздела
Код
lukslogin () {
DEV=$1
echo -n "Введите пароль для доступа к шифрованному диску:" > /dev/console
read -s PASSWD
cryptsetup luksOpen /dev/$DEV $DEV << EOF
$PASSWD
EOF
check_status $?
}
Как бы сделать чтобы приглашение не пропадало...
Кроме переноса в Initrd идей нет
У меня всё автомонтирование перенесено в init.
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #25 : 18 Апрель 2014, 15:50:11 »
Мне трюк с read не помог. У меня проблема - не знаю как законфигурить время ожидания в systemd

В итоге сделал в
http://www.puppyrus.org/~melvik/puppyrus/ftp/puppyrus/puppyrus-a/pra02/kernel/initrd.xz
Сохраненка делается стандартно (не .pfs). Будет работать с шифрованием и без. Для переключения в RW режим - убрать RO:
===== ПРИМЕЧАНИЕ ПО ИСПОЛЬЗОВАНИЮ 'changes' ВМЕСТЕ С РАСШИРЕНИЕМ 'RO:': =====

  *Расширение 'RO:' указывает 'changes=' подключаться в режиме "только чтение". Запись изменений в этом случае не производится.  RO можно использовать только с сохранением в файл. Монтируется в слой aufs выше всех .pfs перед rootcopy. С параметром copy2ram сохраненка копируется в память
  *Конструкция 'changes=RO:' имеет следующие преимущества:
    * Сохраненка "неубиваема".
    * В отличие от .pfs сохранения, возможно шифрование, но нет сжатия

  Например:
  changes=EXIT:/path/файл.dat
  changes=EXIT:UUID:STrING-0F-ChARACtERS/путь/файл.dat
====
Теоретически можно сделать и шифрование раздела - но тогда надо еще писать мастер шифрования
.. посмотрим, как это приживется

С нешифрованной сохраненкой не проверял

Дядя Шурик - посмотрите - я не слишком накрутил здесь
Код
mkdir /memory/savero && mount /dev/mapper/crypt /memory/savero 2>/dev/null \
  && mkdir /memory/saverobind && mount --bind /memory/savero /memory/saverobind \
  && mount -o remount,add:1:/memory/saverobind=ro /union
Спрямить не получилось. crypt с --bind не монтируется, сразу в /union  тоже нет
/union - это будущий корень

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #26 : 18 Апрель 2014, 18:17:59 »
Для переключения в RW режим - убрать RO:
У меня точно так же pfix=ro
Дядя Шурик - посмотрите - я не слишком накрутил здесь
Код
mkdir /memory/savero && mount /dev/mapper/crypt /memory/savero 2>/dev/null \
  && mkdir /memory/saverobind && mount --bind /memory/savero /memory/saverobind \
  && mount -o remount,add:1:/memory/saverobind=ro /union
Спрямить не получилось. crypt с --bind не монтируется, сразу в /union  тоже нет
/union - это будущий корень
По идее должно быть так:
Код
mkdir /memory/savero && mount /dev/mapper/crypt /memory/savero 2>/dev/null \
  && mount -o remount,add:1:/memory/savero=ro /union
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #27 : 18 Апрель 2014, 19:17:47 »
Спрямил. Похоже , когда я так пробовал еще не допер, что надо  /union, а не /. Перезалил

Оффлайн DdShurick

  • Это Риччи
  • Активный участник
  • Ветеран
  • ****
  • Сообщений: 8635
  • Репутация: +187/-2
  • Старый чайник
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #28 : 18 Апрель 2014, 19:45:54 »
 Для монтирования флешки с шифрованным разделом. Не проверял в PRA, в Richy работает на 100%.
Моноблок Lenovo IdeaCentre c200 (Intel Atom D525, Intel GMA 3150, 2 Gb RAM) Richy64
Nettop Acer Aspire Revo R3610 (Atom N330, nVidia GeForce 9400, 3 Gb RAM) Richy64

Оффлайн sfs

  • Администратор
  • Ветеран
  • ****
  • Сообщений: 33965
  • Репутация: +231/-0
  • Автор темы
    • PuppyRus-A
Re:Шифрованная сохраненка и вообще шифрование
« Ответ #29 : 18 Апрель 2014, 19:57:48 »
В Вашем скрипте для pra надо заменить spot на  `sfsusr` (это скрипт - выводит юзера запустившего Х) Не проверял
Кстати после ввода пароля том появляется на раб. столе desktop_drive_icon и им управляется