[sisyphus] Как установить систему на зашифрованный диск?
Leonid Krivoshein
klark.devel на gmail.com
Сб Мар 10 22:46:17 MSK 2018
10.03.2018 02:32, Vladimir D. Seleznev пишет:
> On Fri, Mar 09, 2018 at 09:46:10PM +0100, Michael A. Kangin wrote:
>> Спасибо большое, попробую в следующий раз.
>>
>> On 03/09/2018 06:01 PM, Vladimir D. Seleznev wrote:
>>
>>> Минусы обоих вариантов: на текущий момент ключ дешифровки лежит в
>>> файловой системе в открытом виде и защищён только правами доступа. Если
>>> это неприемлемо, то подойдёт только схема LVM на LUKS.
>> Наверное можно будет допилить features/luks, чтобы умела спрашивать
>> пароль на ключ. Тогда ключ можно будет хранить в
>> (файло|дивайсо)-контейнере LUKS.
>> Я использую сейчас такую схему на паре компьютеров.
> Были такие попытки, но сходу возникли трудности с gnupg внутри initrd.
> Тем не менее, я хочу эту возможность, и продолжу ей заниматься, когда
> будет время.
Не вижу большого смысла в шифровании исходных системных разделов. В
initrd их можно монтировать read-only и шифровать только оверлеи. LUKS
хорош и плох своими стандартизированными заголовками. То есть не надо
доказывать, что раздел является крипто-контейнером. Лечится отделением
LUKS-заголовков либо использованием plain-шифрования. Для второго
варианта подойдут только собственные скрипты в initrd. Идеальный вариант
- грузиться со стика с неизвлекаемым ключом, доступ к которому
осуществляется по паролю или пин-коду. Такой схемы можно достичь, не
прибегая к шифрованию в процессе инсталляции, ограничившись
резервированием места на диске для оверлеев в процессе инсталляции.
--
Best regards,
Leonid Krivoshein.
Подробная информация о списке рассылки Sisyphus