Re: encrypted USB flash disk

To	Debian CZ/SK project discussion list <czdebian-l zavinac debian bod cz>
From	Václav Ovsík <vaclav bod ovsik zavinac i bod cz>
Date	Mon, 31 Mar 2008 08:41:05 +0200
Mail-followup-to	Debian CZ/SK project discussion list <czdebian-l zavinac debian bod cz>
User-agent	Mutt/1.5.13 (2006-08-11)

Zdravim,

On Sat, Mar 29, 2008 at 12:11:08PM +0100, Vaclav Bortlik wrote:
> Dobry den, kdyz uz jste tu zacali psat neco o sifrovanem USB disku, nemeli
> byste nekdo nejaky napad jak si zasifrovat cely disk, ktery bych spoustel z
> USB disku ( mel bych na nem bud botovaci oddil nebo sifrovaci klic ). Neco
> jsem hledal a nasel jsem clanky ktere popisuji zasifrovani disku pomoci
> DM-Crypt s LUKSem.
> 
> http://gentoo-wiki.com/SECURITY_Encrypting_Root_Filesystem_with_DM-Crypt_with_LUKS
> http://gentoo-wiki.com/SECURITY_System_Encryption_DM-Crypt_with_LUKS
> 
> O problematiku kryptografie se zajimam od doby co pouzivam GPG, tak bych se
> rad dozvedel nejake informace, rady, vyhody, nevyhody a samozrejme
> zprovozneni na Debianu.
> -- 
> Vaclav Bortlik,

Ja si myslim, ze by s tim v zasade nemel byt problem. Rozhodne je
doporucovano sifrovat minimalne root fs a swap z ocividnych duvodu. Tedy
pokud ne cely root fs, tak asi /tmp a /var ano. Ja osobne pouzivam LVM
a mam sifrovane volumy root, swap, home a data. Pak mam nesifrovana
volumy na nejake virtualni pokusne stroje a drive pro home video (ted
jsem musel smazat - malo mista). Kdyz jsem delal ze zacatku nejake
pokusy s vykonnosti, tak jestli si dobre pamatuji se omezil zapis na asi
20MB/s (CPU Intel CoreDuo 1.8GHz plne vytizen). V /etc/crypttab mam
tohle:

root    /dev/vg/e-root  none    luks
swap    /dev/vg/e-swap  /etc/keys/swapkey check=swap
home    /dev/vg/e-home  /etc/keys/mykey luks
data    /dev/vg/e-data  /etc/keys/mykey luks

Tedy jakmile se rozbehnou skripty z initrd (boot partition samozrejme
nesifrovana - to je slabe misto), tak me pozadaji o heslo k root fs,
klice k dalsim fs uz mam ulozen na root fs. Pokud byste mel bootovaci
partition na USB flash disku, tak je to asi plus - nemusite mit chraneny
notebook, ale staci chranit uz jenom ten flash disk.

Jeden ze zaznamu pro grub vypada takto:
title           Debian GNU/Linux, kernel 2.6.18-6-686
root            (hd0,4)
kernel          /vmlinuz-2.6.18-6-686 cryptopts=target=root,source=/dev/mapper/v
g-e--root root=/dev/mapper/root ro vga=0x0317 video=vesa:mtrr libata.atapi_enabl
ed=1 
initrd          /initrd.img-2.6.18-6-686
savedefault

Tedy initscripty si preberou cryptopts a provedou namapovani root fs na
e-root volumu (to je sifrovany root).
Radeji jsem si tedy nechal prostor a nesifroval cely disk (prostor
vytvorit nesifrovany volume). Pokud se sam rozhodnete zkusit to s celym
diskem, tak doporucuji ke studiu skript
/usr/share/initramfs-tools/scripts/local-top/cryptroot ;)

Kdyz bude bootovaci partition mimo pocitac a budete ho mit stalo pod
dohledem, tak je to plus. Me to prislo uz jako velky opruz. Notebook mam
chranen heslem do BIOSu, tak snad mi ho nikdo nerozebere kdyz ho necham
obcas v praci na stole :).

-- 
Zito

Partial thread listing:

Re: encrypted USB flash disk, (pokračuje)
problem IMAP
Kall Ell
- Kall Ell
  - Martin Šín
    - Kall Ell