| 1 |
Уважаемое коммюнити поделитесь пожалуйста своими соображениями на
|
| 2 |
следующую тему:
|
| 3 |
|
| 4 |
Задача (которая уже вобщем выполнена...)
|
| 5 |
Сделать шифрованое хранилище данных.
|
| 6 |
После анализа всех достойных вариантов была выбрана следующая реализация
|
| 7 |
|
| 8 |
В ядре
|
| 9 |
dm-mod
|
| 10 |
dm-crypt
|
| 11 |
twofish
|
| 12 |
sha256
|
| 13 |
|
| 14 |
В портах
|
| 15 |
emerge sys-fs/device-mapper
|
| 16 |
emerge sys-fs/cryptsetup-luks
|
| 17 |
|
| 18 |
Всё подробно описано например здесь (но там все разделы криптованы)
|
| 19 |
http://gentoo-wiki.com/SECURITY_System_Encryption_DM-Crypt_with_LUKS
|
| 20 |
(есть ещё несколько статей с вариациями там же)
|
| 21 |
|
| 22 |
Вот только есть один ньюанс... не хочется делать криптованый своп
|
| 23 |
раздел. (В памяти хранится ключ, он может оказаться в свопе, при
|
| 24 |
некорректной перезагрузке (маски-шоу например) ключ останется в своп
|
| 25 |
разделе...)
|
| 26 |
Причины нежелания делать криптованный своп.
|
| 27 |
1. медленная машина (большой оверхед получается).
|
| 28 |
2. лишние проблеммы в случае временной недоступности ключа шифрования.
|
| 29 |
(А эта ситуация вполне вероятна, ключ лежит в сети и на removable media,
|
| 30 |
сети может временно не быть, removable media тоже...)
|
| 31 |
Можно сделать два свопа - при доступности ключа - включен ТОЛЬКО
|
| 32 |
шифрованый своп, при недоступности - ТОЛЬКО нешифрованый, но мне это
|
| 33 |
решение показалось немного не элегантным.
|
| 34 |
Можно своп не делать, но возможно он на машине понадобиться, поэтому
|
| 35 |
хотелось бы чтобы он был.
|
| 36 |
|
| 37 |
Может быть знает кто как сделать так, чтобы данные kernel mode
|
| 38 |
процесса(в) (и только они) не помещались в своп ?
|
| 39 |
|
| 40 |
Власов Иван
|
| 41 |
--
|
| 42 |
gentoo-user-ru@g.o mailing list |
Archives