Автор Тема: Шифрование раздела home в файловой системе brtfs (Прочитано 2006 раз)

Bansardo · « : 27.01.2024 09:44:32 »

Здравствуйте,
Данная тема не в полной мере раскрыта на вики и других источниках.
Есть ноутбук с ssd на котором развернута Alt K 10.2. Необходимо зашифровать раздел /home.
Как известно при установке можно создать шифрованный раздел LUKS и там создать 2 подраздела @ и @home с точками монтирования / и /home соответственно согласно инструкции создания разделов не в автоматическом режиме. Если вручную создавать шифруемый раздел с необходимыми подразделами, то при нажатии в установщике системы далее он вместо того, чтобы создать ФС уводит ПК в перезагрузку.
Как на работающей системе выполнить данную манипуляцию толкового мануала найдено небыло. У кого есть опыт использования brtfs+LUKS, поделитесь пожалуйста.
Ну и заметки по производительности данной связки.

ASte · « **Ответ #1 :** 27.01.2024 22:11:51 »

Установщик этого не умеет.
Устанавливаете систему не выделяя home в отдельный раздел и оставляете место под шифрованный раздел который создадите позже.
На установленной системе:
Создаете раздел luks на свободном месте
Создаете на нем файловую систему btrfs
Создаете подтома как написано здесь https://www.altlinux.org/Btrfs
Переносите /home на шифрованный раздел

Bansardo · « **Ответ #2 :** 03.02.2024 12:25:03 »

Так. А как система будет понимать что home в шифрованном разделе и просить пароль от контейнера luks при загрузке?

ASte · « **Ответ #3 :** 04.02.2024 18:14:24 »

У меня до конца недели нет под рукой ноутбука где /home на btrfs, но в этой части ЕМНИП с ext4 различий не так много.
Здесь на btrfs / а /home на ext4.

Код: [Выделить]

$ cat /etc/crypttab 
luks-home       UUID=......       none    luks,discard
luks-swap       /dev/nvme0n1p3  /home/lukskey.txt     luks,discard

$cat /etc/fstab
...
UUID=....       /home   ext4    nosuid,relatime,nodiratime,commit=120       1       2
UUID=.....       swap    swap    discard 0       0
....

Bansardo · « **Ответ #4 :** 07.02.2024 10:29:55 »

Цитата: ASte от 04.02.2024 18:14:24

luks-swap /dev/nvme0n1p3 /home/lukskey.txt luks,discard

не совсем понял про luks-swap в файле crypttab
То есть нужно создать файл crypttab в который поместить зашифрованный раздел по его UID чтобы система открыла контейнер, а далее фстабом содержимое контейнера примонтируется
На сколько производительность снизится, не мерили?
Если будет возможность, то скиньте как этоже выглядит на brtfs
И как быть с засыпанием ноутбука? часто пользуюсь именно гибернацией

ASte · « **Ответ #5 :** 07.02.2024 13:23:32 »

Вот в той схеме которую я привел, гибернация работает.
Меня производительность устраивает, специально не мерил.
luks-swap - для шифрования swap.
Какой смысл шифровать /home и не шифровать /swap ? В swap могут при hibernate попасть ключи от /home из памяти в открытом виде, и теоретически их оттуда можно вытащить.

Цитировать

То есть нужно создать файл crypttab в который поместить зашифрованный раздел по его UID чтобы система открыла контейнер, а далее фстабом содержимое контейнера примонтируется

да.

Перед тем как настраивать это все на ноутбуке рекомендую потренироваться на виртуалке.

Чтобы рабаотало hibernate и запрашивался пароль один раз ключик от /swap нужно положить на другой шифрованный раздел.

Тогда при загрузке оно спросит пароль от /home а при просыпании - от /swap

Bansardo · « **Ответ #6 :** 07.02.2024 22:17:53 »

luks-swap /dev/nvme0n1p3 /home/lukskey.txt luks,discard

А если поменяется имя раздела? может лучшее UID указать для swap?

ASte · « **Ответ #7 :** 07.02.2024 23:47:59 »

Может быть..
Просто у меня так сделано.. Уже не помню почему.. Возможно поленился

ASte · « **Ответ #8 :** 08.02.2024 15:46:30 »

А вот еще.. Совсем забыл..
После всех манипуляций с crypttab и fstab ЕМНИП нужно перегеренить initrd

Форум сообщества
Альт Линукс