Чтобы добавлять сообщения и комментарии, .

@ivan:
ivan

Вы используете шифрование флешки? Чем пользуетесь?

У меня несколько вводных, с которыми я то одно пробую, то другое, и всё так себе. Значит, у меня появилась флешка на 32Гб, TrueCrypt использовать не рекомендуется, VeraCrypt тормозит (не сама программа, а например portable Firefox запущеный с зашифрованного девайса, что мне говорит о низкой скорости чтения/записи). Кроссплатформенных удобных аналогов я найти не могу. Кто подскажет?

@vbooh:
vbooh

Оказалось, что если LightDM через директиву session-setup-script запускает процессы, которые тоже используют pam_mount, то pam_mount в LightDM не получает пароль и пишет всякое в таком роде:
pam_mount(pam_mount.c:476): warning: could not obtain password interactively either
pam_mount(mount.c:69): Messages from underlying mount program:
pam_mount(mount.c:73): crypt_activate_by_passphrase: Operation not permitted
pam_mount(pam_mount.c:521): mount of /dev/private failed
Соответственно шифрованный том LUKS не монтируется. Пришлось отключить pam_mount для всех приложений, кроме lightdm.

@Melhior:
Melhior

Установил в esx виртуалку с centos7 с шифрованным разделом.

Centos 7 вешается при загрузке наглухо. Печаль.

@paulz:
paulz

FreeC: Tomb

ФриКод: freecode.com
Сайт: dyne.org

Licenses GPLv3
Operating Systems GNU/Linux
Implementation zsh, C, GTK2+

Tomb система шифрования, сильная и устойчивая к взлому и легкая в повседневном использовании. Tomb по сути представляет собой закрытую директорию, что позволяет безопасно перемещать ее, а так же прятать в недрах файловой системы. Ключи для каждой такой "могилы" (директории) хранятся отдельно, так что вы можете, к примеру, хранить закрытую "директорию" на вашем компьютере, а ключ от нее на USB-носителе. Код Tomb достаточно прост для проверки (просмотра) и базируется на использовании нескольких общих компонентов (shared components). Сама программа состоит из скрипта на ZShell и десктопного приложения. Внутренний же механих Tomb использует стандартные утилиты GNU, а так же криптографический API ядра Linux (dm-crypt) доступный через cryptsetup.

Релиз: 1.4 (20 Jun 2013 21:38)
Этот релиз исправляет критическую ошибку в версии Tomb 1.3, которая препятствовала обратной совместимости и делала ключи созданные в этой версии нерабочими.
Кроме того добавлено несколько новых "фич" как индексация и поиск по содержимому "могилы", "гравировка" ключа в QRCode (что позволяет сохранить его на бумаге), так же функцию setkey, которая позволяет заменить один ключ на другой. Улучшено симметричное шифрование ключа, возможен выбор шифра с помощью опции -o (по умолчанию AES256).
Как уже было упомянуто, этот релиз возвращает обратную совместимость со старыми "могилами", так что всем пользователям старых версий настойчиво рекомендуется про-ugrade-ится до данной версии.

Отсебятина:

Программка достаточно интересная, особенно в свете того, что шифрование становится в общем-то трендом нашего времени.
Однако самая большая проблема этой (и многих других подобных проектов) натыкается на проблему необходимости root-прав для ее использования.
Таким образом использование в корпоративной среде сразу становится практически невозможным. Root-права имеются только у админов. Вариант с настройкой sudo, конечно, возможен, но и мороки уж больно много, и раздавать так много sudo тоже, к примеру, не хочется.
На локальном, домашнем, компе, ее конечно, использовать можно. Но даже и здесь, жонглирование между root-ом и пользовательскими данными вызывает некие... немного неприятные ощущения.
Так что а) если очень надо — то конечно, это в общем-то неплохой вариант;
б) с другой стороны есть наверное и другие варианты;

В итоге, один из главных плюсов программы — забавность пользовательского интерфейса (в коммандной строке, конечно).
Для создания "могилы" используется команда "копать": tomb dig secret.tomb -s 100

Для создания ключа — команда "ковать" : tomb forge -k secret.tomb.key

После чего выкопанную могилу можно закрыть выкованным ключом: tomb lock secret.tomb -k secret.tomb.key

Кроме того, еще пара любопытных "фич" : ключ можно так же захоронить (aka спрятать) — bury — внутри jpeg-файла. Ну или "выгровировать" в виде QR-кода.

@Strephil:
Strephil

asalor.blogspot.com ← понятная статья про trim и luks.
только я так и не понял, даже на свободное место будут выдаваться не нули, кому и когда это помешает? :-/

@Strephil:
Strephil

Почему-то у меня не работает LUKS поверх LVM, не грузится.
Доходит до ввода паролей и всё, казалось бы, надо примонтировать и дальше грузиться, а оно не грузится.
Или это потому что /var на отдельном разделе?

@Strephil:
Strephil

а есть какие-нибудь форониксы про luks? больше всего интересует скорость чтенiя, разныя файловыя системы.
напримѣр, squashfs даёт большой прирост?

@Strephil:
Strephil

Второе поле в строке файла /etc/crypptab, определяющее устройство. Что там можно указать, кроме как /dev/sd..? Или можно указать UUID?
Конечно, хотелось бы именно UUID указывать…

@Equidamoid:
Equidamoid

Warning: This would save your data only, you'd get killed either way. If the data is more important than your life it would be stupid for you to rely on the information presented in this document.

@Gem:
Gem

gentooway.ru

@Node:
Node

bog.pp.ru Bog BOS: Шифрование блочного устройства в Linux (dm-crypt, LUKS, cryptsetup)

@Node:
Node

Смена парольной фразы:

cryptsetup luksDump низлежащее-блочное-устройство (проверить свободные слоты)
cryptsetup luksAddKey низлежащее-блочное-устройство (запрашивается одна из старых парольных фраз)
удалить по фразе или номеру слота
cryptsetup luksRemoveKey низлежащее-блочное-устройство (удалить по парольной фразе)
cryptsetup luksDump низлежащее-блочное-устройство (посмотреть в какой слот была добавлена парольная фраза)
cryptsetup luksKillSlot низлежащее-блочное-устройство номер-слота bog.pp.ru

@PapiChulo:
PapiChulo

J'ai pu recuperer un acces a mon disque dur agonisant: dd_rescue pour copier la partition dans un fichier disque.backup sur un autre disque (pour eviter les erreurs materielles a tout bout de champ). Ensuite, le truc c'est que la partition est du LVM crypte via LUKS, du coup faut effeuiller: losetup pour associer disque.backup a /dev/loop0, cryptsetup luksOpen pour mapper /dev/loop0 sur /dev/mapper/disque en clair, vgchange -a y disque pour activer les partitions LVM et notamment la racine disque-root qui contient toutes les donnees (l'autre c'est la swap, on s'en fout), et enfin un mount normal pour acceder aux fichiers. Ca en fait des couches d'abstraction...