Автор Тема: Шифрование раздела home в файловой системе brtfs  (Прочитано 2149 раз)

Оффлайн Bansardo

  • Начинающий
  • *
  • Сообщений: 35
Здравствуйте,
Данная тема не в полной мере раскрыта на вики и других источниках.
Есть ноутбук с ssd на котором развернута Alt K 10.2. Необходимо зашифровать раздел /home.
Как известно при установке можно создать шифрованный раздел LUKS и там создать 2 подраздела @ и @home с точками монтирования / и /home соответственно согласно инструкции создания разделов не в автоматическом режиме. Если вручную создавать шифруемый раздел с необходимыми подразделами, то при нажатии в установщике системы далее он вместо того, чтобы создать ФС уводит ПК в перезагрузку.
Как на работающей системе выполнить данную манипуляцию толкового мануала найдено небыло. У кого есть опыт использования brtfs+LUKS, поделитесь пожалуйста.
Ну и заметки по производительности данной связки.
As if by magic, as if by a miracle...

Оффлайн ASte

  • Мастер
  • ***
  • Сообщений: 1 564
Установщик этого не умеет.
Устанавливаете систему не выделяя home в отдельный раздел и оставляете место под шифрованный раздел который создадите позже.
На установленной системе:
Создаете раздел luks на свободном месте
Создаете на нем файловую систему btrfs
Создаете подтома как написано здесь https://www.altlinux.org/Btrfs
Переносите /home на шифрованный раздел

Оффлайн Bansardo

  • Начинающий
  • *
  • Сообщений: 35
Так. А как система будет понимать что home в шифрованном разделе и просить пароль от контейнера luks при загрузке?
As if by magic, as if by a miracle...

Оффлайн ASte

  • Мастер
  • ***
  • Сообщений: 1 564
У меня до конца недели  нет под рукой ноутбука где /home на btrfs, но в этой части ЕМНИП с ext4 различий не так много.
Здесь на btrfs / а /home на ext4.

$ cat /etc/crypttab
luks-home       UUID=......       none    luks,discard
luks-swap       /dev/nvme0n1p3  /home/lukskey.txt     luks,discard

$cat /etc/fstab
...
UUID=....       /home   ext4    nosuid,relatime,nodiratime,commit=120       1       2
UUID=.....       swap    swap    discard 0       0
....

Оффлайн Bansardo

  • Начинающий
  • *
  • Сообщений: 35
luks-swap       /dev/nvme0n1p3  /home/lukskey.txt     luks,discard
не совсем понял про luks-swap в файле crypttab
То есть нужно создать файл crypttab в который поместить зашифрованный раздел по его UID чтобы система открыла контейнер, а далее фстабом содержимое контейнера примонтируется
На сколько производительность снизится, не мерили?
Если будет возможность, то скиньте как этоже выглядит на brtfs
И как быть с засыпанием ноутбука? часто пользуюсь именно гибернацией
« Последнее редактирование: 07.02.2024 12:42:51 от Bansardo »
As if by magic, as if by a miracle...

Оффлайн ASte

  • Мастер
  • ***
  • Сообщений: 1 564
Вот в той схеме которую я привел, гибернация работает.
Меня производительность устраивает, специально не мерил.
luks-swap - для шифрования swap.
Какой смысл шифровать /home и не шифровать /swap ? В swap могут при hibernate попасть ключи от /home из памяти в открытом виде, и  теоретически их оттуда можно вытащить.

Цитировать
То есть нужно создать файл crypttab в который поместить зашифрованный раздел по его UID чтобы система открыла контейнер, а далее фстабом содержимое контейнера примонтируется
да.

Перед тем как настраивать это все  на ноутбуке рекомендую потренироваться на виртуалке.

Чтобы рабаотало hibernate и запрашивался пароль один раз ключик от /swap нужно положить на другой шифрованный раздел.

Тогда при загрузке оно спросит пароль от /home а при просыпании - от /swap


Оффлайн Bansardo

  • Начинающий
  • *
  • Сообщений: 35
luks-swap       /dev/nvme0n1p3  /home/lukskey.txt     luks,discard

А если поменяется имя раздела? может лучшее UID указать для swap?
As if by magic, as if by a miracle...

Оффлайн ASte

  • Мастер
  • ***
  • Сообщений: 1 564
Может быть..
Просто у меня так сделано.. Уже не помню почему.. Возможно поленился

Оффлайн ASte

  • Мастер
  • ***
  • Сообщений: 1 564
А вот еще.. Совсем забыл..
После всех манипуляций с crypttab и fstab ЕМНИП нужно перегеренить initrd