Titkosított fájlrendszer

Udv. falaca!

Tapasztalatokrol nem tudok beszamolni, nem hasznalok secure filesystem-et (alabb azt is leirom, hogy miert). A Kerdesed alapjan egy kicsit en is korulnztem: az altalam talalt leirasok nagy resze a muzealis kategoriaba tartozott, ill. latttam egy-ket megoldast, ami deklaraltan instabil, vagy pedig csak ext2 fajlerndszeren mukodott.
Reszemrol egy jonak tuno es naprakesz megoldast talaltam: loop-AES.
Itt van hozza az 'olvass-el'.

Tovabb azonban nem foglalkozom a kerdessel a kovetkezok miatt:

Amikor kb 1,5 eve elinditottam kis kozossegi szerverunket persze en is beleastam magam a szerver-biztonsag temakorebe es -azt hiszem- tobb szaz lehetoseg figyelembe vetelevel alakitottam ki a jelenlegi vedelmi-biztonsagi rendszert.

Tapasztalataim-meglatasom alapjan kulso tamadok ellen lehet hatekonyan megvedeni a rendszert; ezen a teruleten az erre kidolgozott eljarasok "latvanyos" eredmenyeket hozhatnak.

A fajlrendszer-titkositasi eljarasok elsodleges celja a belso tamadok elleni vedelem, ezzel kapcsolatban pedig alapelvi szinten van aggalyom:
Ugy latom, hogy belso tamadoval szemben (akinek a hozzaferese van a hardverhez es bennfentes informaciok birtokaba kerulhet) kb. 0% az eselye annak, hogy a szervert eredmenyesen megvedjem, hogy ha az ellen 'frontalis tamadast' inditana (mert ugye: kik is ferhetnek kozvetlenul a hardverhez: kozvetlen munkatars, informatikus).
Tehat ezen a vedelmi szinten a leghatekonyabb modszernek azt tartom ha a szerver szoba / terem ajtaja zarva van es csak illetekes lephet be, plusz megfigyelo kamera is fel van szerelve.

Persze ez az en velemenyem; elismerem, hogy lehetnek mas megfontolasok is, de nekem ilyenek nem nagyon jutottak eszembe. (Talan ilyen lehet: ellopjak a szervert, merevlemezt; ez ellen azonban inkabb a "hardveres biztonsagi rendszert" javasolnam: bezart ajto a fent leirtak szerint).

udv.

kris *_^O^_*

En eleg reg hasznalom a 2.6-os kernelben levo titkosito dolgokat filerendszerhez, ext3-al debian alatt es remekul mukodik, gyors, megbizhato, stb.

A legtobb distroban a szukseges dolgok megtalalhatok (pl. debian, gentoo, gondolom slack is.)
http://hu.gentoo-wiki.com/BIZTONS%C3%81G_F%C3%A1jlrendszer_titkos%C3%ADt%C3%A1s

kris:
nem csak szerverre jo a filerendszer titkositas, pl en notebook-on hasznalom, ha elhagynam/ellopnak, stb. a munkaim, doksijaim ne keruljenek illetektelen kezekbe...

YikeSS iras:
pl en notebook-on hasznalom, ha elhagynam/ellopnak, stb. a munkaim, doksijaim ne keruljenek illetektelen kezekbe...

OK, ennek lehet alapja.

Minden jot!

kris *_^O^_*

losetup -e /dev/hdxy
mount /dev/loopX /crypt_mount_point

A losetup-nal keri a jelszot.
hdxy a particio amit kodolni akarsz, pl. hda5
loopX a loop device amihez rendelodott a kodolt particio. Ha mas loop dolog nincs, akkor loop0

Amikor eloszor csinalod, akkor a losetup utan kell meg egy megfelelo mkfs is, attol fuggoen mit szeretnel hasznalni (ext2, ext2, xfs, jfs, reiser, stb.)

Bgs

Igaz, hogy keson irok de talan masoknak is hasznara valhat az alabbi
par link. Gentoo-ra irodott de hasznalhato Slakin is.

HOWTO: Encrypt partitions using LVM on software RAID
Automatically mount dm-crypt encrypted home with pam_mount
SECURITY Encrypting Root Filesystem with DM-Crypt with LUKS
SECURITY Encrypting Root Filesystem with DM-Crypt

Sewastok!

Egy titkosított partíciót szeretnék létrehozni, de a cryptsetup elszáll és nem találtam rá megoldást. A hiba a következő:

cryptsetup -y -c aes -s 256 create hda3-aes /dev/hda3
Command failed: Érvénytelen paraméter

Próbáltam a losetup-pal is, amit egy előző hozzászólásban olvastam, arra azt mondja, hogy érvénytelen ioctl az eszközön.
Mielőtt titkosítani próbáltam, nyomtam egy urandomot a partícióra, hogy teljesen törlődjenek a rajta lévő anyagok.

Probléma megoldva! cryptsetup luks változata, plusz még néhány kernel meghajtó. rc.local és rc.local_shutdown intézi a csatolást és leválasztást. Hibátlanul működik! :)