Forum Linux.pl
System => Instalacja => Wątek zaczęty przez: Łukasz_ w 2020-06-20, 15:46:52
-
Cześć wszystkim.
Rzadko zdarza mi się zaglądać na forum żeby zadać pytanie, bo większość problemów jest dawno opisanych i do znalezienia, ale tego mi się nie udało ;/
A myślę, że ktoś będzie miał pomysł jak to zrobić...
W czym rzecz?
Otóż wymyśliłem sobie, bez większego powodu, że chcę mieć pełne szyfrowanie dysku, z boot loaderem na USB, tak, żeby bez pendrajwa komputer się nie uruchamiał (bo nie ma bootloadera). Partycje są zaszyfrowane, więc nawet jak ktoś wyjmie dysk to i tak g. na nim widać.
To akurat było proste do zrobienia - Na dysku są założone kontenery truecrypt, w biosie jest ustawione na sztywno uruchamianie z USB, na USB jest rEFInd, który ładuje jajko z opcjami "cryptdevice=UUID=xxxxxxxxxxx cryptkey=/dev/sda1:vfat:/klucz root=/dev/mapper/xxxxxxxxx"
Oczywiście plik "klucz" jest na USB w postaci megabajtowego pliku losowych danych, czyli żeby odszyfrować dysk, ktoś musiałby mieć również dostęp do pendrajwa, a wymusić hasła też nie ma jak, bo nie znam go nawet ja. Nikt zdrowy na umyśle nie pamięta 1mb losowych danych.
Wszystko działa bez zarzutu.
Jednak, po uruchomieniu innego linuksa z USB na dysku widać poszczególne kontenery truecrypt'owe - czyli root, home i inne.
Teoretycznie ułatwia to potencjalnemu włamywaczowi robotę, bo widać rozmiar kontenetów i to, że w ogóle tam są.
I teraz dochodzimy do sedna sprawy - chciałbym, żeby informacje o kontenerach też były na USB ale nie znalazłem opisu w której części dysku TC trzyma te informacje i jak to przenieść na USB. Chciałbym, żeby na całej powierzchni dysku była widoczna totalna sieczka.
Nie jestem miliarderem, nie zakładam, że CIA będzie chciało wykraść moje dane żeby ocalić świat, chciałbym to zrobić z czystej ciekawości.
Nie jestem pewny, czy da się jakoś w prosty sposób zrobić, bo urządzenia są skanowane przy uruchomieniu z poszukiwaniu partycji/kontenetów. Jak na razie nie znalazłem rozwiązania.
Będę wdzięczny za jakieś sugestie.
Pozdro!
-
Ja to robiłem z LVM w LUKS2 na cały dysk i /boot na karcie SD (to był laptop). Jedyne co można było zobaczyć na wymontowanym dysku twardym to fakt, że tam jest jeden kontener LUKS i żadnych innych danych. Nie pamiętam, czy kontener nie był nawet zrobiony na surowym dysku, bez partycji.
Jak upierasz się przy TrueCrypcie (mam nadzieję tylko, że to przejęzyczenie i tak naprawdę to jest VeraCrypt), to możesz zrobić tak samo: jeden kontener VC na cały dysk i w środku LVM z docelowymi partycjami.
-
Hejka,
Dzięki bardzo za odpowiedź.
Tak właśnie myślałem, że najprostszym sensownym rozwiązaniem jest jeden kontener na całym dysku, bez tablicy partycji.
Jeśli chodzi o TC, to nie przejęzyczenie, użyłem TC bo jak jak pisałem, nie mam nic ważnego. Chciałem po prostu przetestować taką możliwość, ale oczywiście masz rację, do profesjonalnych zastosowań najlepszy będzie LUKS2.
Dzięki bardzo ;)
-
VeraCrypt (https://www.idrix.fr/Root/content/category/7/32/60/) to TC z naprawionymi błędami (niektórymi dość istotnymi). Używania dzisiaj TC nie ma technicznego uzasadnienia innego niż to, że nie masz internetu, a miałeś instalkę TC na dysku.