Шифрование домашней директории

О том о сем

Автор темы
Jokler
Сообщения: 4
Зарегистрирован: 15 ноя 2017, 15:18

Шифрование домашней директории

Сообщение Jokler » 15 ноя 2017, 15:27

Здравствуйте, необходима помощь с шифрованием домашней директории для всех пользователей
Суть такова, что мне необходимо зашифровать /home директорию, дабы доступ к ней был с паролем, и данные внутри были зашифрованы, дабы пользователь мог иметь доступ только к своим файлам
Мне предлагали с помощью LUKS шифровать, но я в нем не смог нормально разобраться.
Есть ещё возможные методы шифрование директории?
Заранее спасибо
P.S. Новый пользователь Линукса, почти ничего не умею, стараюсь изучить как могу

В сети
Аватара пользователя

Chocobo
Сообщения: 5965
Зарегистрирован: 27 авг 2016, 19:57
Решено: 136
Откуда: НН
Благодарил (а): 424 раза
Поблагодарили: 1548 раз

Шифрование домашней директории

Сообщение Chocobo » 15 ноя 2017, 15:43

Jokler писал(а):
15 ноя 2017, 15:27
Мне предлагали с помощью LUKS шифровать, но я в нем не смог нормально разобраться.
Что пробовал, и что именно не получилось, для начала?)

В сети
Аватара пользователя

colonel
Сообщения: 528
Зарегистрирован: 18 дек 2016, 09:08
Решено: 10
Благодарил (а): 20 раз
Поблагодарили: 132 раза

Шифрование домашней директории

Сообщение colonel » 15 ноя 2017, 16:48

Jokler писал(а):
15 ноя 2017, 15:27
необходима помощь с шифрованием домашней директории для всех пользователей
Суть такова, что мне необходимо зашифровать /home директорию, дабы доступ к ней был с паролем, и данные внутри были зашифрованы, дабы пользователь мог иметь доступ только к своим файлам....
Новый пользователь Линукса, почти ничего не умею...

надеюсь что новый пользователь сумеет посмотреть в меню
Меню - Администрирование - Пользователи ...
Screen.png

Чем не устраивает стандартное создание пользователей с шифрованием его домашней директории ?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
"Не ты выбираешь Linux, а Linux выбирает тебя"
(с)Себастьян Перейра, торговец чёрным деревом


Автор темы
Jokler
Сообщения: 4
Зарегистрирован: 15 ноя 2017, 15:18

Шифрование домашней директории

Сообщение Jokler » 15 ноя 2017, 16:57

Chocobo писал(а):
15 ноя 2017, 15:43
Jokler писал(а):
15 ноя 2017, 15:27
Мне предлагали с помощью LUKS шифровать, но я в нем не смог нормально разобраться.
Что пробовал, и что именно не получилось, для начала?)
https://xakep.ru/2011/03/14/54794/
https://losst.ru/shifrovanie-diskov-v-linux
Пытался по этим инструкциям зашифровать, в итоге после перезагрузки Линукса запускался только терминал (Вроде экстренный)
Примерно всё это происходило на пункте "Монтирование раздела"
$ umount /dev/sda4
$ cryptsetup -y -v luksFormat /dev/sda4
$ cryptsetup luksOpen /dev/sda6 backup2
$ dd if=/dev/zero of=/dev/mapper/backup2
$ pv -tpreb /dev/zero | dd of=/dev/mapper/backup2 bs=128M
$ mkfs.ext4 /dev/mapper/backup2
Далее система виснет, после перезагрузки черный экран с терминалом(


Автор темы
Jokler
Сообщения: 4
Зарегистрирован: 15 ноя 2017, 15:18

Шифрование домашней директории

Сообщение Jokler » 15 ноя 2017, 16:59

colonel писал(а):
15 ноя 2017, 16:48
Jokler писал(а):
15 ноя 2017, 15:27
необходима помощь с шифрованием домашней директории для всех пользователей
Суть такова, что мне необходимо зашифровать /home директорию, дабы доступ к ней был с паролем, и данные внутри были зашифрованы, дабы пользователь мог иметь доступ только к своим файлам....
Новый пользователь Линукса, почти ничего не умею...

надеюсь что новый пользователь сумеет посмотреть в меню
Меню - Администрирование - Пользователи ...
Screen.png
Чем не устраивает стандартное создание пользователей с шифрованием его домашней директории ?
Необходимо зашифровать домашнюю директорию так, что бы при изъятии жесткого диска до файлов не смогли добраться и если хозяин отошёл от ноутбука, то его сын не смог бы залезть в домашнюю папку

Аватара пользователя

root
Сообщения: 677
Зарегистрирован: 16 фев 2017, 17:03
Решено: 3
Откуда: г. Хабаровск
Благодарил (а): 205 раз
Поблагодарили: 163 раза

Шифрование домашней директории

Сообщение root » 15 ноя 2017, 17:00

Chocobo, кстати, интересно, что следует ожидать от шифрование через luks home раздела? Помню недавно в fstab попытался смонтировать home с параметром ro (только чтение), за пользователя так и не смог зайти.
Изображение

В сети
Аватара пользователя

colonel
Сообщения: 528
Зарегистрирован: 18 дек 2016, 09:08
Решено: 10
Благодарил (а): 20 раз
Поблагодарили: 132 раза

Шифрование домашней директории

Сообщение colonel » 15 ноя 2017, 18:05

Jokler писал(а):
15 ноя 2017, 16:59
Необходимо зашифровать домашнюю директорию так, что бы при изъятии жесткого диска до файлов не смогли добраться и если хозяин отошёл от ноутбука, то его сын не смог бы залезть в домашнюю папку
хм... может быть для начала определитесь - что именно, как для каких случаев и ситуаций вам надо зашифровать\запаролить на вашей виндовс ,
а то в первом сообщении проблема была озвучена несколько иначе
#1 Сообщение Jokler » Вчера, 22:27
необходимо зашифровать /home директорию, дабы доступ к ней был с паролем, и данные внутри были зашифрованы, дабы пользователь мог иметь доступ только к своим файлам


и собсно повторяю вопрос - Чем не устраивает стандартное создание пользователей с шифрованием его домашней директории ?
"Не ты выбираешь Linux, а Linux выбирает тебя"
(с)Себастьян Перейра, торговец чёрным деревом


Автор темы
Jokler
Сообщения: 4
Зарегистрирован: 15 ноя 2017, 15:18

Шифрование домашней директории

Сообщение Jokler » 15 ноя 2017, 20:43

colonel писал(а):
15 ноя 2017, 18:05
хм... может быть для начала определитесь - что именно, как для каких случаев и ситуаций вам надо зашифровать\запаролить на вашей виндовс ,
а то в первом сообщении проблема была озвучена несколько иначе
Необходимо зашифровать домашнюю директорию "/home"
Таким образом чтобы
1) При изъятии жесткого диска и невозможно было добраться до файлов
2) Сам доступ к директории был под паролем, даже если ты вошёл в систему как пользователь, тебе нужно все равно нужно вводить пароль для доступа
Что я имел в виду под "дабы пользователь мог иметь доступ только к своим файлам"
Я шифровал через eCryptfs, что в итоге я получил:
Компьютер включился, зашёл пользователь 2, он знает пароль пользователя 1, заходит в его /home и ничего не обнаруживает
Но
Компьютер включается, зашёл пользователь 1, выходит, заходит пользователь 2, заходит в /home пользователя 1 и видит все файлы
colonel писал(а):
15 ноя 2017, 18:05
и собсно повторяю вопрос - Чем не устраивает стандартное создание пользователей с шифрованием его домашней директории ?
Стандартное шифрование вроде не может сделать возможность захода в домашнюю папку через пароль да и файлы спокойно просматриваются через пароль пользователя

Аватара пользователя

FliXis
Сообщения: 246
Зарегистрирован: 31 авг 2016, 11:01
Решено: 5
Благодарил (а): 62 раза
Поблагодарили: 15 раз

Шифрование домашней директории

Сообщение FliXis » 16 ноя 2017, 01:10

colonel писал(а):
15 ноя 2017, 16:48
Чем не устраивает стандартное создание пользователей с шифрованием его домашней директории ?
Довольно паршивое и появляется ограничение на длину имен файлов.

А Luks - надо во время установки ставить. Создать шифрованные разделы, а уже в них потом размечать хомяка и рут. Естественно раздел бут надо вынести. И на всякий случай еще заголовки люксов резервные копии сделать.

В сети
Аватара пользователя

colonel
Сообщения: 528
Зарегистрирован: 18 дек 2016, 09:08
Решено: 10
Благодарил (а): 20 раз
Поблагодарили: 132 раза

Шифрование домашней директории

Сообщение colonel » 16 ноя 2017, 05:02

FliXis писал(а):
16 ноя 2017, 01:10
colonel писал(а): ↑ Вчера, 23:48
Чем не устраивает стандартное создание пользователей с шифрованием его домашней директории ?
Довольно паршивое и появляется ограничение на длину имен файлов.
ну какбе вам сказать ....
3. > " появляется ограничение на длину имен файлов"
можно подумать что без шифрования такового ограничения нет
однако вот такое окошко получил в аккаунте без шифрования
name1.png
и
ну так И ЧЁ? ...
при шифровании просто ограничение побольше
name2.png
2. [b> ]Довольно паршивое [/b]
это просто слова.... ниачём

1. ну и ...
спрашивали у автора темы (Jokler) - Чем ЕГО не устраивает стандартное создание пользователей с шифрованием его домашней директории .
Чем не устраивает такое шифрование форумчанина FliXis , никто не спрашивал.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
"Не ты выбираешь Linux, а Linux выбирает тебя"
(с)Себастьян Перейра, торговец чёрным деревом

Аватара пользователя

Unborn
Сообщения: 852
Зарегистрирован: 03 сен 2016, 10:36
Решено: 15
Благодарил (а): 2 раза
Поблагодарили: 129 раз

Шифрование домашней директории

Сообщение Unborn » 16 ноя 2017, 06:37

colonel писал(а):
16 ноя 2017, 05:02
Чем ЕГО не устраивает стандартное создание пользователей с шифрованием его домашней директории .
Тем, что он сам толком не знает и не понимает, чего хочет. Как работают различные методы, какие возможности у каждого и, самое главное, чем чревата какая-нибудь аварийная ситуация.
Для домашнего применения - стандартное создание пользователей с шифрованием его домашней директории достаточно.

В сети
Аватара пользователя

colonel
Сообщения: 528
Зарегистрирован: 18 дек 2016, 09:08
Решено: 10
Благодарил (а): 20 раз
Поблагодарили: 132 раза

Шифрование домашней директории

Сообщение colonel » 16 ноя 2017, 10:25

Unborn писал(а):
16 ноя 2017, 06:37
он сам толком не знает и не понимает, чего хочет.
потому и просил ТС-а определиться - что именно, как для каких случаев и ситуаций есть необходимость зашифровать\запаролить
...................
Jokler,
имеем три варианта хотелки
#1 Сообщение Jokler » Вчера, 22:27
необходимо зашифровать /home директорию, дабы доступ к ней был с паролем, и данные внутри были зашифрованы, дабы пользователь мог иметь доступ только к своим файлам
#5 Сообщение Jokler » Вчера, 23:59
Необходимо зашифровать домашнюю директорию так, что бы при изъятии жесткого диска до файлов не смогли добраться и если хозяин отошёл от ноутбука, то его сын не смог бы залезть в домашнюю папку
#8 Сообщение Jokler » Сегодня, 03:43
Необходимо зашифровать домашнюю директорию "/home" Таким образом чтобы
1) При изъятии жесткого диска и невозможно было добраться до файлов
2) Сам доступ к директории был под паролем, даже если ты вошёл в систему как пользователь, тебе нужно все равно нужно вводить пароль для доступа


А вместо пояснения чем не устраивает стандартное создание пользователей с шифрованием его домашней директории , какая-то ахинея что -
"Стандартное шифрование вроде не может сделать возможность захода в домашнюю папку через пароль да и файлы спокойно просматриваются через пароль пользователя"
Если первое выделенное - просто бред с потолка, то чего хотели сказать "вторым выделенным", я не понимаю,
поскольку шифрование домкаталога как раз предусматривает вход в неё через пароль при входе в сессию, и невозможность нормального просмотра и доступа к ней и файлам без пароля или из сторонней сессии. А то что "файлы спокойно просматриваются через пароль пользователя" - это и есть цель шифрования, что при входе в сесиию пользователь входит в свой каталог и получает доступ к своим файлам и папкам по своему паролю. Другие пользователи доступа туда не получают.
В общем очередной балаган по типу как в соседней теме про бекап ....

Собсно, на обычной ОС без всяких шифрований и одним нешифрованным пользователем , стандартными средствами что показаны в #3 создал дополнительно пару "шифрованных" аккаунтов \пользователей - aaaa и bbbb , в итоге :
- зашифрованы домашние директории этих пользователя, доступ к своему домкаталогу пользователей по входу в сессию с паролем, данные внутри зашифрованы, и каждый пользователь имеет доступ только к своим файлам
- при изъятии жесткого диска (а так же при запуске сторонней ОС , например с флешки) доступ к файлам для их чтения\просмотра и тыды и тыпы отсутствует ввиду того что файлы зашифрованы.
(скрины того как и чего просматривается на шифрованных домкаталогах имеются , но выкладывать их не вижу смысла )

по пункту 2 третьего варианта - кто ж мешает в зашифрованном домкаталоге свои "секретные" материалы хранить в запароленных архивах?
или ставьте дополнительно TrueCrypt или какой его аналог , или поищите здесь на форуме тему "Шифрование файлов с GnuPG" (автор Chocobo »), или....
"Не ты выбираешь Linux, а Linux выбирает тебя"
(с)Себастьян Перейра, торговец чёрным деревом

Аватара пользователя

FliXis
Сообщения: 246
Зарегистрирован: 31 авг 2016, 11:01
Решено: 5
Благодарил (а): 62 раза
Поблагодарили: 15 раз

Шифрование домашней директории

Сообщение FliXis » 23 ноя 2017, 19:59

colonel писал(а):
16 ноя 2017, 05:02
и
ну так И ЧЁ? ...
при шифровании просто ограничение побольше
вот для сравнения
2. [b> ]Довольно паршивое [/b]
это просто слова.... ниачём
https://habrahabr.ru/post/201694/
ecryptf - Падение производительности по сравнению с нешифрованной ФС: 49,5%
LUKS - Падение производительности по сравнению с нешифрованной ФС: 7,9%
Хоть этим тестам и больше 4х лет, но сомневаюсь, что что-то существенно изменилось.

И да, как только перешел с ecryptf на LUKS у меня еще ни разу не было проблем с длинным именем файлов на таких ФС как - btrfs, ntfs, ext4. На ecryptf проблемы были при каждом скачивании технической литературы с трекера.

В сети
Аватара пользователя

colonel
Сообщения: 528
Зарегистрирован: 18 дек 2016, 09:08
Решено: 10
Благодарил (а): 20 раз
Поблагодарили: 132 раза

Шифрование домашней директории

Сообщение colonel » 24 ноя 2017, 18:36

FliXis писал(а):
23 ноя 2017, 19:59
.....
https://habrahabr.ru/post/201694/
ecryptf - Падение производительности по сравнению с нешифрованной ФС: 49,5%
LUKS - Падение производительности по сравнению с нешифрованной ФС: 7,9%
Хоть этим тестам и больше 4х лет, но сомневаюсь, что что-то существенно изменилось.
FliXis, извиняйте но ... как бы вам сказать... помягче
собсно, смотрю статью про тестирование и...
когда у кого-то кто беря за основу оценки производительности время копирования определённого объёма информации в разных системах шифрования относительно копирования того же объёма на системе без шифрования при большем времени копирования в Truecrypt ( 199.719 s ) чем в LUKS (199.505 s)
падение производительности в Truecrypt показывает почему-то меньше ( в 7% ) чем в LUKS ( 7,9% ) , вызывает некоторое недоумение.

Cтал смотреть далее и увидел что при eCryptfs со временем копирования 199.624 s ( меньшим чем при Truecrypt ) афтаром теста заявлено падение производительности аж в 49,5% и засомневался даже очень .
Взял цЫфири из статьи и пересчитал разницу времени копирования и процент от времени без шифра , свёл в табличку
111.png
ну вы поняли ...?

ну а кроме того автор топика хотя и ,как верно подметил унборн, "сам толком не знает и не понимает, чего хочет" но изъявлял желание чтобы каждый юзер был зашифролван так чтобы имел доступ только к своим файлам , а таковое замечательно реализуется способом указанным в сообщении #3 и пояснил в #12 , но не шифрованием всего раздела "хомяка" или шифрованием диска.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
"Не ты выбираешь Linux, а Linux выбирает тебя"
(с)Себастьян Перейра, торговец чёрным деревом

Аватара пользователя

FliXis
Сообщения: 246
Зарегистрирован: 31 авг 2016, 11:01
Решено: 5
Благодарил (а): 62 раза
Поблагодарили: 15 раз

Шифрование домашней директории

Сообщение FliXis » 25 ноя 2017, 00:33

colonel писал(а):
24 ноя 2017, 18:36
ну вы поняли ...?
Да понял конечно, самому в глаза бросилось, когда читал, но ниже в комментариях автор статьи пишет, что:
199 секунд — это результат одного-единственного теста dd блоками 4килобайта размера файла 500мб. Проценты считаются по результатам 1600+ тестов, среди которых разный размер файла и блока.

В сети
Аватара пользователя

colonel
Сообщения: 528
Зарегистрирован: 18 дек 2016, 09:08
Решено: 10
Благодарил (а): 20 раз
Поблагодарили: 132 раза

Шифрование домашней директории

Сообщение colonel » 25 ноя 2017, 07:10

FliXis, ещё раз перечитал и ту статейку , и эту тему (в части с вашего заявления- что шифрование с eCryptfs "Довольно паршивое....." )
и дополнительно убедился в сказанном - "это просто слова.... ниачём "
будьте любезны уж тогда критерии "паршивости" по пунктикам ....,
а не ссылку на статейку с заявленной цЫфирей падения производительности шифрования в почти 50% где более признанный хабровский авторитет в каментах мягко намекнул , что тестирование с использование iozone неправильное
о прочих косяках и проведения того тестирования и том как оно подано читателям отдельный разговор и не относится к теме - как ТС-су заш
FliXis писал(а):
23 ноя 2017, 19:59
И да, как только перешел с ecryptf на LUKS у меня еще ни разу не было проблем с длинным именем файлов на таких ФС как - btrfs, ntfs, ext4. На ecryptf проблемы были при каждом скачивании технической литературы с трекера.

однако ,
1 - вами было заявлено что при шифровании екриптом "появляется ограничение на длину имен файлов" , как буд-то его нет без шифрования. Я показал что таковое явление имеется и без шифрования и даже показал какая разница.
2 - и ещё раз - вопрос задавали ТС-у - чем ЕГО не устраивает шифрование стандартными средствами. Чем ВАС не устраивает такое шифрование , меня не интересовало и не интересно и сейчас. "проблемы индейцев не интересуют шерифа" (с) ....
"Не ты выбираешь Linux, а Linux выбирает тебя"
(с)Себастьян Перейра, торговец чёрным деревом

Аватара пользователя

FliXis
Сообщения: 246
Зарегистрирован: 31 авг 2016, 11:01
Решено: 5
Благодарил (а): 62 раза
Поблагодарили: 15 раз

Шифрование домашней директории

Сообщение FliXis » 25 ноя 2017, 12:55

colonel писал(а):
25 ноя 2017, 07:10
1 - вами было заявлено что при шифровании екриптом "появляется ограничение на длину имен файлов" , как буд-то его нет без шифрования. Я показал что таковое явление имеется и без шифрования и даже показал какая разница.
2 - и ещё раз - вопрос задавали ТС-у - чем ЕГО не устраивает шифрование стандартными средствами. Чем ВАС не устраивает такое шифрование , меня не интересовало и не интересно и сейчас. "проблемы индейцев не интересуют шерифа"
1) Такое явление имеется вообще у всех, у всех есть ограничение, но у ecryptf оно слишком жесткое. ecryptf + кириллица(потому что одна буквы кириллицы занимает два байта вместо одного) = постоянные проблемы с длинной файлов. Особенно при скачивании торрент-файлов. В отличии от luks + кириллица и без шифрования + кириллица. Иными словами, только на ecryptf Вы будете сталкиваться с этой проблемой с завидной регулярностью.
2) Я написал то свое первое сообщение, потому что хотел, что бы топик-стартер его прочитал и не делал ошибку - не ставил ecryptf.
3) Когда я читаю про ecryptf, везде находится упоминание про медленные файловые операции с большим кол-вом мелких файлов, в отличии от luks, и каких бы не было претензий у Вас к тестам по ссылке, но сути это не изменит. Медленная работа + более сильное ограничение длинны файлов = ecryptf - говно, но Вы с завидным упорством продолжаете предлагать топик-стартеру поставить это говно.

На этом дискуссию прекращаю, с Вами спорить бесполезно, Вы все твердите - "это просто слова.... ниачём ", однако это "ниачем", в свое время, вынудило меня переустанавливать систему и переходить на luks.
Без обид.

В сети
Аватара пользователя

colonel
Сообщения: 528
Зарегистрирован: 18 дек 2016, 09:08
Решено: 10
Благодарил (а): 20 раз
Поблагодарили: 132 раза

Шифрование домашней директории

Сообщение colonel » 28 ноя 2017, 12:32

FliXis писал(а):
25 ноя 2017, 12:55
2) Я написал то свое первое сообщение, потому что хотел, что бы топик-стартер его прочитал и не делал ошибку - не ставил ecryptf.
так и надо было вам обращаться к топикстартеру и стращать его "паршивостью" шифрования екриптом да ещё с появлением ограничений по длине имён,
а не цитировать вопрос к ТС-су(а не к вам) и отвечать за него.
FliXis писал(а):
25 ноя 2017, 12:55
На этом дискуссию прекращаю, с Вами спорить бесполезно, Вы все твердите - "это просто слова.... ниачём ", однако это "ниачем", в свое время, вынудило меня переустанавливать систему и переходить на luks.
Без обид.
Без обид.
просто ещё раз - то что вас что-то вынудило переустанавливать систему - не значит что это вынудит ТС-а ( и ваша ссылка на статью про тестирование тому доказательство , где в каментах один пользователь заявил что он решил перейти на екрипт, а второй , с хабровским рейтингом в сотни раз большим нежели автор того тестирования (признанный хабровский авторитет и пользователь ecryptfs ) не изьявил желания переходить на другую систему.
Дискуссии в общем то и не было, вы не представили ни одного сколько-нибудь вменяемого аргумента в пользу вами заявленной "паршивости шифрования" .
"Не ты выбираешь Linux, а Linux выбирает тебя"
(с)Себастьян Перейра, торговец чёрным деревом

Вернуться в «Болталка: Оффтоп, разбор полетов»