Levyn cryptaus ja automounttaus password kyselyllä

[stfu]

Olis ylimääräinen levy joka pitäis saada mediavarastoksi. Haluaisin paranoidisuuttani cryptata tuon koko levyn ja mountata sen tyyliin /home/user/media/ hakemistoon käynnistyksen yhteydessä tai pikakuvakkeella työpöydällä tai miten se nyt onkaan helpointa. Mieluiten passwordin kysely vasta x:ssä koska bluetooth näppis herää vasta silloin.

Kattelin truecryptiä ja se vois olla ihan kait ok ja siihen on tulossa jopa GUI joskus tulevaisuudessa
Kaikki muutkin kyllä käy, kunhan salaus on pätevä.

Ylimääräinen kovo on /dev/sda/ ja tällä hetkellä vielä ntfs muodossa.

apua

[stfu]

:|

[Melmacian]

Tässäpä olisi varsin pätevä ohje: https://wiki.ubuntu.com/EncryptedFilesystemHowto
Mutta tuo bluetooth-näppis voi olla ongelma, koska tuossa laitetaan salasana jo bootin aikana.

Kerro jos keksit miten saat sen laitettua vasta x:ssä.

[LittleLion]

Itselläni on loop-aes:illa toteutettu systeemi käytössä: http://forum.ubuntu-fi.org/index.php?topic=548.0

Cryptaus avaimet luetaan USB-muistitikulta.

[Melmacian]

Höh, itse en kyllä keksi miten saisin passpharsella suojatun osion mountattua jälkikäteen, jos bootissa vaikka kirjoittaa vahingossa salasanan väärin.

komento

Koodia: [Valitse]

sudo mount -t reiserfs /dev/mapper/crypt /home/tunnus/cryptValittaa vaan väärästä tiedostojärjestelmästä...

Mitenkähän tämä onnistuisi?

[mgronber]

Höh, itse en kyllä keksi miten saisin passpharsella suojatun osion mountattua jälkikäteen, jos bootissa vaikka kirjoittaa vahingossa salasanan väärin.

komento

Koodia: [Valitse]

sudo mount -t reiserfs /dev/mapper/crypt /home/tunnus/cryptValittaa vaan väärästä tiedostojärjestelmästä...

Mitenkähän tämä onnistuisi?

En tiedä miten tuo buutissa toimiva järjestelmä toimii joten en osaa täsmälleen sanoa missä vika on. Ilmeisesti tässä käytetty salausjärjestelmä on kuitenkin dmcrypt.

Periaatteessa on mahdollista että buutissa tehdään tuo mappaus ja sitä ei siivota vaikka mountaus epäonnistuu. Silloin tuo mappaus pitää poistaa käsin ja luoda uudelleen. Poistaminen tapahtuu tässä tapauksessa komentamalla "sudo cryptsetup remove crypt". Tämän jälkeen mappaus luodaan uudelleen komentamalla "sudo cryptsetup create crypt /dev/hdz1", missä hdz1 on kryptattu osio.

Periaatteessa suosittelen omasta puolestani käyttämään LUKSia, koska se tekee dmcryptin hallinnasta huomattavasti miellyttävämpää. Se muun muassa mahdollistaa useamman salasanan käyttämisen sekä salasanojen vaihtamisen. Se ei myöskään käytä annettuja salasanoja sellaisenaan vaan siemenenä oikeaa salasanaa muodostettaessa.

Lisäksi salaustarpeesta riippuen on aiheellista muistaa että dmcrypt on haavoittuvainen vesileimatulle datalle. Vesileimattu data on mahdollista tunnistaa suoraan salatulta osiolta ilman että osiota tarvitsee erikseen avata. En muista nyt tarkkaa versiota mistä lähtien dmcryptistä löytyy tuki tätä haavoittuvuutta vastaan (ESSIV) mutta käsittääkseni se ei ole siinä vieläkään oletuksena käytössä. Tuki tuolle aktivoidaan salattua osiota luotaessa määrittelemällä käytettävä salausalgoritmi käsin: "cryptsetup -c aes-cbc-essiv:sha256 create crypt /dev/hdz1".

[stfu]

Melkosen hepreaa, mutta pitänee tutustua. Näppiksen vaihtoa oon miettinyt logitechin taustavalolliseen (G-15 (?)). Menee kyllä vaan vähän hukkaan ominaisuudet kun ei tule pelailtua.

[Melmacian]

Periaatteessa on mahdollista että buutissa tehdään tuo mappaus ja sitä ei siivota vaikka mountaus epäonnistuu. Silloin tuo mappaus pitää poistaa käsin ja luoda uudelleen. Poistaminen tapahtuu tässä tapauksessa komentamalla "sudo cryptsetup remove crypt". Tämän jälkeen mappaus luodaan uudelleen komentamalla "sudo cryptsetup create crypt /dev/hdz1", missä hdz1 on kryptattu osio.

Jea, kiitos näinhän tämä toimii. Näin siis saa osion mountattua salatun osion, jos bootissa typottaa passphrasen:

Koodia: [Valitse]

sudo cryptsetup remove crypt
sudo cryptsetup create crypt /dev/hdb1
sudo mount ~/crypt/
Tuon createn jälkeen se kysyy passphrasea.

Minusta on aika erikoista että tuossa mount kohdassa ei määritellä ollenkaan mikä mountataan, vaan se katsoo sen automaattisesti fstabista/crypttabista.


Pitää vielä jossain vaiheessa yrittää ottaa tuo kysely kokonaan bootista pois.
Noista komennoista tekisi varmaan aika helposti scriptin, jonka voisi ajaa loginin yhteydessä.

[Melmacian]

Todi nyt sain sen kyselyn siirrettyä vasta x:ään.
Eli /etc/fstab ja /etc/crypttab tiedostoista pitää ottaa pois tai kommentoida merkinnät jotka liittyvät cryptattuun osioon.


Tein sitten tälläisen pikakuvakkeen työpöydälle (vain KDE, mutta voinee soveltaa myös Gnomelle. "Run in terminal" avain asemassa.).

mounttaa.desktop

[Desktop Entry]
Comment=
Comment[en_US]=
Exec=sudo cryptsetup create crypt /dev/hdb1 && sudo mount -t reiserfs /dev/mapper/crypt /home/tunnus/crypt
GenericName=Mounttaa cryptattu osio
GenericName[en_US]=Mounttaa cryptattu osio
Icon=hdd_mount
MimeType=
Name=Mounttaa
Name[en_US]=Mounttaa
Path=
StartupNotify=false
Terminal=true
TerminalOptions=
Type=Application
X-DCOP-ServiceType=none
X-KDE-SubstituteUID=false
X-KDE-Username=

Sitä klikkaamalla aukeaa terminaali, joka kysyy root-salasanaa, sitten passphrasea ja lopuksi mounttaa osion ja sulkee itsensä.

Jos sen haluaa tulevan automaattisesti kun loggaudutaan sisään niin mounttaa.desktop-tiedoston voi laittaa hakemistoon /home/tunnus/.kde/Autostart

Ja jos kämmää passphrasen kirjoittamisen niin silloin pitää tosiaan poistaa tuo mappaus komennolla sudo cryptsetup remove crypt /dev/hdb1 ennen kuin voi yrittää uudelleen.

[stfu]

Tein nyt sellaisen virityksen että iskin kovon windows koneeseen ja cryptasin koko partitiot windowsin puolella truecryptilla. Partition kyllä formatoin Ext-2 muotoon, mutta tarvitsisi vielä saada formatoitua itse mountattu truecrypt järjestelmä ext2/ext3 muotoon. Voiko linuxissa formatoida mountattua hakemistoa haluamallaan tiedostojärjestelmällä? TrueCryptissä vaihtoehdot olivat vain NTFS ja FAT. Laitoin none.

[Melmacian]

Asensin Ubuntun uudestaan ja en enää saa mountattua cryptattuani osiota.

Näin yritin:

Koodia: [Valitse]

epeli@kumikone:~$sudo cryptsetup create crypt /dev/hdb1
epeli@kumikone:~$ sudo mount -t reiserfs /dev/mapper/crypt /home/epeli/crypt
mount: wrong fs type, bad option, bad superblock on /dev/mapper/crypt,
       missing codepage or other error
       In some cases useful info is found in syslog - try
       dmesg | tail  or so

Eli se antaa tuon normaalin mounttaus virheen, kun koittaa mountata väärällä tiedostojärjestelmällä.

Miksihän en onnistu mounttaamaan tuota osiota?
Passphrase on varmasti oikein.

Ainoa ero edelliseen asennukseen on se että muutin käyttäjä nimeäni.

[mgronber]

Miksihän en onnistu mounttaamaan tuota osiota?
Passphrase on varmasti oikein.

Jos salasana on varmasti oikein ja olet mountannut tuon osion aina tuolla tavalla niin minulla ei ole mitään kunnollisia ideoita mistä tuo voisi johtua. Yksi vaihtoehto on että asennuksen yhteydessä jokin ohjelma olisi jossain vaiheessa kirjoittanut jotain tyhjäksi katsomalleen osiolle. Tämä tosin tuntuu hieman kaukaa haetulta.

Periaatteessa voisit katsoa mitä reiserfsck sanoo tuosta /dev/mapper/crypt:stä. En kuitenkaan usko että sekään auttaa sinua.

Ainoa ero edelliseen asennukseen on se että muutin käyttäjä nimeäni.

Tällä ei pitäisi olla mitään vaikutusta.