Kategorie szkoleń | Egzaminy | Kontakt
  • 2
  • 2
  • 20

Koledzy i koleżanki.

Czy macie jakiś pomysł/doświadczenie w instalacji LUKSa na systemie, który już działa (podczas instalacji nie ma LUKSa)?

Mam serwer (VPS), chcę na nim zaszyfrować wszystkie partycje (poza boot), w jaki sposób mogę to zrobić "Live", tak żeby po całej operacji OS działał?

 

Grzegorz_Chojnowski_
  • Zapytał
  • @ Grzegorz_Chojnowski_ | 15.04.2017
    • lider
    • laureat
    • 40
    • 10
    • 57
Zaloguj się aby zadać pytanie
Pokrewne

Odpowiedzi (2)

  • 0

Potrzebnych jest więcej szczegółów. :)

Generalnie idea może być taka:

  1. dodajesz nową partycję, szyfrujesz luksem, tworzysz na tym pv, dodajesz do lvma,
  2. przenosisz obecne volumeny na zaszyfrowany pv,
  3. usuwasz niezaszyfrowane pv,
  4. dodajesz wpisy do /etc/crypttab w stylu:
    cryptsdb2 /dev/sdb2 none luks
    
  5. regenerujesz initrd,
  6. reboot. ;)

Warto mieć kvma i możliwość weryfikacji przez vnc, albo inny zdalny dostęp - co się dzieje na etapie bootowania.

Gorzej w sytuacji, jeżeli nie masz miejsca na utworzenie zaszyfrowanego volumenu. Wtedy najprościej jest zrobić tar.gz obecnego systemu, uruchomić system z jakiegoś rescue, zaszyfrować i odtworzyć.

 

Andrzej_Dopierała
  • Odpowiedział
  • @ Andrzej_Dopierała | 17.04.2017
    • lider
    • laureat
    • ekspert
    • 83
    • 65
    • 169
  • 0

Całość jest na OpenVZ.

Pytanie tylko jak to zadziała w przypadku partycji root /?

Grzegorz_Chojnowski_
  • Odpowiedział
  • @ Grzegorz_Chojnowski_ | 17.04.2017
    • lider
    • laureat
    • 40
    • 10
    • 57
Komentarze
W przypadku konteneryzacji - "nie widzę tego". Wydaje mi się, że nie będzie to działać - nie masz dostępu do jądra, nie możesz montować własnych urządzeń blokowych, więc narzędzia kryptograficzne są mocno ograniczone. Może cryptfs albo coś innego opartego o fuse by zadziałało - nie wiem. Tym niemniej - pytanie, czy ma to jakikolwiek sens - administrator hosta ma dostęp do całego systemu plików, więc jak coś będziesz mieć odoszyfrowane - również będzie miał dostęp do odszyfrowanej wersji tego czegoś.
Skomentował : @ Andrzej_Dopierała ,17.04.2017
  • 83
  • 65
  • 169