Fórumok
Üdv!
Hamarosan lehetőségem nyílik egy szűz hdd-re átrakni a rendszerem, és felmerült, hogy esetleg nem érné-e meg titkosítani a ~ partíciómat.
Ezzel kapcsolatban lennének kérdéseim:
1.) mennyire lassítja a rendszert?
2.) hibernálással mennyire kompatibilis?
3.) összességében megéri vele vesződni?
Hozzászólások
A titkosított partíció lassabb lesz, mivel a CPU-nak is dolgoznia kell. Átlagfelhasználóként (film, web, zene...) nem fogsz különbséget észrevenni. Persze ha az I/O terhelésed egy adatbázis szerver alatt 100%, akkor lassítani fog.
Ha használsz swapet, akkor azt is titkosítsd. Emiatt viszont a hibernálást el kell felejteni.
Ha kiírnád titkosítatlanul a memória tartalmát, abban ott lenne a kulcs is.
Illetve eleve a hibernálás biztonsági szempontból problémás: a merevlemezen átírod a resume után lefutó scripteket, hogy killall -r screensaver,
és máris hozzáférésed van jelszó nélkül a bekapcsolt, előzőleg hibernált géphez.
A suspend (to RAM) persze tökéletesen működik.
Vesződésnek nem nevezném, mai disztrókban telepítéskor két kattintás. Meglévő rendszeren is csak egy oda-vissza másolás, livecd-t futtatva.
Hogy megéri-e? Azt csakis attól függ, hogy mi van a laptopon. Bármikor előfordulhat, hogy ellopják, elveszik vagy akár a BSA gondolta úgy, hogy a Linux biztos valami alvilági kódszó a warezolt Windowsra, és felnyom a rendőrségnél, ami miatt még a kenyérpirítót is lefoglalják.
Ha a legértékesebb tartalom a böngésző cache-e, film és zene, akkor azt akár amúgy is megosztja az ember. Családi, személyes, (intim) képek, privát adatok, banki adatok, jelszavak vagy céges adatok esetében szerintem maximálisan szükséges a titkosítás, hogy más ne tudjon hozzáférni.
A bejelentkezési jelszó semmit sem ér, ha valaki egyszer fizikailag is hozzáfér a géphez több mint 5 percig.
--
The Net is indeed vast and infinite...
http://gablog.eu
Nem feltétlenül kell elfelejteni a hibernálást titkosított swap esetén: link
Szerk:
Még annyit hozzáfűznék, hogy meglévő rendszeremet alakítottam át titkosítottra a fenti guide szemezgetésével. Külön /home partíció van a lapomon - ennek tartalmát persze friss bizt. mentésből visszaraktam miután titkosítottam a partíciót. A / maradt titkosítatlan, kivéve a /tmp, ami a /home-ra költözött, és egy symlink mutatja rejtekét a /-ben, hadd legyen az is védett a nem alvó ördögtől...
Sebesség: 700 MHz Celeron-os masina 192 MB RAM-mal, és nem vettem észre lassulást átlagos használatnál. Akkor szokott elgondolkodni időnként, amikor sok/méretes file-t másolok a titkosított részre.
Ha a swap titkosított, akkor használj tmpfs-t, és nem kell játszani a tmp-vel.
Legnagyobb megterhelés, ami a gépemet terheli az rsync (portage), de az külön partíción lesz, amit nem titkosítok.
A hibernálás fontos, napi rendszerességgel használom. Bár lejjebb küldtek egy linket, majd megnézem.
Legértékesebb adataim a forráskódjaim, aminek egy része publikus (vagy azzá válik). Ami nagyon érzékeny információ, az meg már titkosított.
Leginkább az motivál, hogy marhára zavarna, ha valaki bele tudna turkálni a gépembe, tegyük fel lopás esetén. Mondjuk a BSA nem veszélyeztet (nincs illegális szoftver a gépemen), bár ki tudja.
---------
"Ha igazat mondasz azt végig unják, ha feldíszíted azt jól meg dugják"
szerény blogom -- új címen!
Szükséged lesz még az uswsusp csomagra is, abban van az s2disk, amivel a hibernálás történik. Lehet, hogy működik az eredeti hibernáló script-tel is, nekem különböző ubuntu verziókon mindig csak a baj volt velük, ezért már régóta uswsusp-ot használok suspend-re és hibernate-re is.
nálam hibernate script + tuxonice van (Gentoo); a tuxonice elvileg támogatja (csak aes-sel)
---------
"Ha igazat mondasz azt végig unják, ha feldíszíted azt jól meg dugják"
szerény blogom -- új címen!
Hat azt sem szabad elfelejteni, hogy gentoot hasznalsz. Persze forditaskor nem sokat olvas a vinyodrol ez teny, de szerintem ott mar masodpercekben merheto kulonbseg van (nem hulyesegbol szokas magokszama+1 threaden forditani).
Nekem a dokumentumok, ssh kulcsok, gpg kulcsok, böngészési adatok (kedvencek, jelszavak, stb), levelek és postafiók adatok vannak külön titkosított partíción egy 3 éves laptopon. Tejlesítménybeli változást nem tapasztaltam, ellenben nyugodtabban alszom. :)
Mindenzt Slackware alatt állítottam be körülbelül 15 perc alatt. Nagyon jó wiki-k vannak ebben a témában.
Az adatokról a backup pedig majdnem napi rendszerességgel duplicity-vel készül.
En is szeretnek a temaval kapcsolatban kerdezni, mert en is tervezem titkositani a particiom.
1) Hogyan a legegyszerubb titkositani a meglevo particiot? (pl. lemasol, majd titkositott lvm letrehoz es visszamasol?)
2) Ha hibas szektorok keletkeznek a merevlemezen, akkor az mennyire erinti a titkositott filerendszer egeszet? Mennyire macera az adatokat visszanyerni? Vagy olyan hogy ha egy resze serul a merevlemeznek, attol meg a tobbi resz mindig visszafejtheto?
Koszi.
1. http://hup.hu/node/48668
Nálam a /, data, swap is titkositva van p4 2GHz, 10-12 megával tudok max hálóról húzni, ilyenkor 99%-on pörög a proci, de már elég kisebb sebesség is (80% proci) hogy meg-megfogja az egeret.
Default aes titkositás. i586 aes elvileg kevesebbet eszik, de olyat nem sikerült használnom. Ti mit használtok?
Swapot igy titkositom:
/etc/conf.d/dmcrypt
[..]
swap=swap
options='-s 256 -d /dev/urandom -c aes-cbc-essiv:sha256 -h sha256'
source='/dev/hda2'
Ezzel nem kell se jelszó, se kulcs. Urandomból vesz mintát a kulcshoz, úgysem kell visszaállitani köv. bootnál. Vhogy igy működik azt hiszem.
Hibernálás viszont olykor jó lenne, de azért nem tennék fel másik kernelt, mint az lentebb ajánlották. Más jól bevált módszer lenne rá?
Nézegesd meg a twofish-t is.256 bites kulcsok esetén gyorsabb, mint a Rijndael (AES).
Feljebb megadtam egy linket, azt szemezgetve be tudod állítani a hibernálást titkosított swap esetén, igaz ez plusz egy jelszó boot-kor (nálam).
Én a személyes (titkos) adatokra az encfs-t használom. Ez FUSE-os, és ami a szép benne: a fájlokat és könyvtárakat egy szép, rendes, megszokott fájlrendszerben tárolja (egyszerűen a fájl- és könyvtárnevek titkosítottak, csakúgy mint a tartalom).
Előnye, hogy nem kell előre tárhelyet (partíciót) foglalni neki, és hogy a mentéshez nem kell felcsatolni! (mented a titkosított fájlokat, ahogy vannak).
Core2Duo CPU-s gépen mennyire éri meg viszonylag sok HDD műveletnél használni? A HDD használat leginkább torrent-ek seed-elése, ritkán leech.
Az összes torrent hash-elése már most kb negyven perc. :-( Ritkán van, akkor idegesítő. :-(
A torrenteket miért akarod titkosítani? Titkosítsd azt, ami sensitive data.
Nem akartam partíciókat létrehozni. Valamint a torrent is titkos a BSA felé. :-)
A titkosított partíciókhoz nem kötelező LVM-et használnom, ugye?
Jaa ha ez a helyzet, akkor azt Neked kell megfontolni, megéri-e az a kis terhelésnövekedés.
Szerintem nem kötelező LVM. Akár egy ún. container fájlban is tarthatod az egészet. Bár (szerintem) ez lassabb lesz, és vannak egyéb hátrányai is (pl. véletlenül kitörölheted a container fájlt).
Nekem a truecrypt volt szimpatikus (truecrypt.org), de a fentebb linkelt dm-crypt -es megoldások szerintem ugyanolyan jók.
Javaslom a Twofish algoritmust, mert gyorsabb, mint az AES, emellett bőven megfelelő biztonságot nyújt.
Algoritmusok kapcsán épp kérdezni akartam, hogy van-e értelme fokozottabb biztonságról beszélni algoritmus és algoritmus között? Gondolom ezek ugyanolyan jó megoldások, ha olyan kezekbe kerül a vinyó mind1 hogy AES v. Twofish, ha pedig nem szakavatott kezébe,akkor bármi megvédi tőle. Jól gondolom?
Mindez azért merült fel bennem, mert annyira az aes-t nyomatják, defaultból is azt használja az dm-crypt és nem értem miért.
Hogy vélekedtek ez ügyben?
--
Desktop: 2.6.21-gentoo-r4 AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Laptop: 2.6.22-gentoo-r5 Mobile Intel(R) Pentium(R) 4 - M CPU 2.00GHz
http://www.truecrypt.org/docs/serpent.php
Nem mindegy. Sem sebességben, sem biztonságban. Az AES kiválasztásánál pl. a Serpent volt a legbiztonságosabb, de az AES nyert, mert gyorsabb volt.
Ízlések és pofonok.