1 |
Уважаемое коммюнити поделитесь пожалуйста своими соображениями на
|
2 |
следующую тему:
|
3 |
|
4 |
Задача (которая уже вобщем выполнена...)
|
5 |
Сделать шифрованое хранилище данных.
|
6 |
После анализа всех достойных вариантов была выбрана следующая реализация
|
7 |
|
8 |
В ядре
|
9 |
dm-mod
|
10 |
dm-crypt
|
11 |
twofish
|
12 |
sha256
|
13 |
|
14 |
В портах
|
15 |
emerge sys-fs/device-mapper
|
16 |
emerge sys-fs/cryptsetup-luks
|
17 |
|
18 |
Всё подробно описано например здесь (но там все разделы криптованы)
|
19 |
http://gentoo-wiki.com/SECURITY_System_Encryption_DM-Crypt_with_LUKS
|
20 |
(есть ещё несколько статей с вариациями там же)
|
21 |
|
22 |
Вот только есть один ньюанс... не хочется делать криптованый своп
|
23 |
раздел. (В памяти хранится ключ, он может оказаться в свопе, при
|
24 |
некорректной перезагрузке (маски-шоу например) ключ останется в своп
|
25 |
разделе...)
|
26 |
Причины нежелания делать криптованный своп.
|
27 |
1. медленная машина (большой оверхед получается).
|
28 |
2. лишние проблеммы в случае временной недоступности ключа шифрования.
|
29 |
(А эта ситуация вполне вероятна, ключ лежит в сети и на removable media,
|
30 |
сети может временно не быть, removable media тоже...)
|
31 |
Можно сделать два свопа - при доступности ключа - включен ТОЛЬКО
|
32 |
шифрованый своп, при недоступности - ТОЛЬКО нешифрованый, но мне это
|
33 |
решение показалось немного не элегантным.
|
34 |
Можно своп не делать, но возможно он на машине понадобиться, поэтому
|
35 |
хотелось бы чтобы он был.
|
36 |
|
37 |
Может быть знает кто как сделать так, чтобы данные kernel mode
|
38 |
процесса(в) (и только они) не помещались в своп ?
|
39 |
|
40 |
Власов Иван
|
41 |
--
|
42 |
gentoo-user-ru@g.o mailing list |