Dotaz: Zašifrování /home v Ubuntu - zkušenosti?

Na to bych byl býval rád odpověděl, ostatně jsem to krátce i používal, ale Ubuntu jsem před časem opustil z důvodů jak praktických (distro-specifické regrese v kernelu), tak politických (od spyware Unity po jejich sprostotu kolem Miru)... a doporučuju totéž.

Co když dojde k poruše disku nebo souborového systému?

Zálohy?

Na Debianu mám celý disk (/ + swap, ne jen /home) zašifrovaný už od instalátoru pomocí dm-crypt, LUKS a 256bit AES. Jen /boot mám na samostatné partition, aby bylo dokud natáhnout jádro.

Je to plně integrované v jádře i userspace (mount, initscripty) a naprosto bezproblémové na provoz.

# hdparm  -t /dev/mapper/root 

/dev/mapper/root:
 Timing buffered disk reads: 128 MB in  3.00 seconds =  42.65 MB/sec

# hdparm  -t /dev/sda

/dev/sda:
 Timing buffered disk reads: 382 MB in  3.00 seconds = 127.13 MB/sec

# smartctl /dev/sda -a
=== START OF INFORMATION SECTION ===
Model Family:     SandForce Driven SSDs
Device Model:     KINGSTON SH103S3240G
SATA Version is:  SATA 3.0, 6.0 Gb/s (current: 1.5 Gb/s)

# cat /proc/cpuinfo
model name      : Intel(R) Core(TM)2 Duo CPU     T7250  @ 2.00GHz

# uname -a
Linux 3.11-trunk-686-pae #1 SMP Debian 3.11-1~exp1 (2013-09-12) i686 GNU/Linux

Jak je toto šifrování silné? (má to vůbec smysl ?)

Bál bych se, že data budou leakovat do /tmp, swapu a dalších adresářů. Doporučil bych zašifrovat celý systém (vše kromě /boot). To je snadno při instalaci z Alternate CD.

Jo a taky jestli se tam furt používá encfs, tak je vidět adresářová struktura i na zašifrovaném disku. Další důvod, proč šifrovat celé blokové zařízení.

Je lepší používat TrueCrypt?

Použil bych normální jaderný dm-crypt.

$ lsblk --output NAME,TYPE,MOUNTPOINT
NAME                                          TYPE  MOUNTPOINT
sda                                           disk  
├─sda1                                        part  /boot
└─sda2                                        part  
  └─luks-2584ca8e-635c-49a7-b559-445d0667ff63 crypt 
    ├─vg_dione_crypt-lv_root                  lvm   /
    ├─vg_dione_crypt-lv_swap                  lvm   [SWAP]
    └─vg_dione_crypt-lv_home                  lvm   /home

lvm-data_crypt /dev/mapper/lvm-data /etc/data.key luks

hmm, preco sa tu poslednu dobu vsetky diskusie zvrhnu na kto ma vacsi ? ... font pri pisani odpovedi.

a teraz vazne ...

Ako uz bolo spomenute, tak sifrovanie len /home adresaru nie je najbezpecnesia volba. Sifrovane data mozu "ujst" do nesifrovanej casti. V pripade, ze ide naozaj o dolezite data, alebo sa notebook prenasa, tak je lepsia volba sifrovat cely disk. Ono sa to nezda, ale aj sukromny kalendar, fotky priatelky, logy zo servra a podobne data vedia napachat problemy, ak su v zlych rukach. Preto doporucujem sifrovat cely disk.

S pohladu pouzivania nie je velky rozdiel. Pocas instalacie sa zada jedno heslo navyse (heslo k disku) a toto heslo si system vyziada pocas bootovania. "Spomalenie", ak sa to tak da nazvat nie je bezne viditelne a pokial masina nema nejaky strasne stary/pomaly CPU tak takmer nemeratelne.

Ja sam pouzivam Ubuntu a full disk encryption uplne bez problemov. Dokonca pocas pracovnej doby bezim aj fy virtualku (Win7) a nejake spomalenie nie je badat.

a co sa tyka nesifrovanej /boot particie. Lepsie riesenie proste nie je, kedze kernel a nejaky zakladny set binariek sa proste od niekde musi nacitat. Riesenie ako chranit /boot je cislo na HW urovni. Neviem ako su na tom ostatne booky, ale napr. HP uz dlhsiu dobu neriesi klasicky "cmos", ale kombinaciu TMP + eeprom. Na takom booku staci nastavit heslo do biosu a zakazat bootovanie s inych zariadeni ako z interneho disku. Popripade sa da nastavit aj heslo pred bootovanim z disku. Pri takej konfiguracii potencialny utocnik nema moc moznosti ako "nakazit" system. Rozoberanie by mu uz nieco trvalo (pristup k disku) a v pripade kradeze mu je HW na ... kedze "reset cmos" proste taky book nema.

ak bude cielovy disk ssd, tak konfiguraciu systemu mam celkom detailne spomenutu na svojej wiki stranke.