From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <klark.devel@gmail.com>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=0.8 required=5.0 tests=BAYES_00,DKIM_SIGNED,
 DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM,FUZZY_XPILL autolearn=no
 autolearn_force=no version=3.4.1
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025;
 h=subject:to:references:from:message-id:date:user-agent:mime-version
 :in-reply-to:content-transfer-encoding;
 bh=kQS38Ty6o/m4UkDYCWKpU2eMusrY2EPHP4P4J8Ucz5s=;
 b=ToCR2IHiA3yjuXpsaQHqwvV67g7JvgJnhYmWXCz36Q+nKks+YMymgAR1xIrFiWEkv3
 HMzYuezDfZHqAqN9OgxfoZkcqRwnJi9xEA48TsraxoWHXxlkeES+LGOluMGETzxzmuTP
 8aRfV9e8pTJjIO9IA1Fdg0jKomLx3tQVCcWWO6FGmMuM6EXSOrVHIPImwLGPHbCjaYb1
 +vv0/eiWDnvzzFZ4Os3e+1SxQu9LCT/x3g+X69L1oeuuDXRrxhemhKmIPza/SZUn0J4S
 CzUibuuZ7LjtKG6tF5wnyGbDtsS0tWq/+EW9O5RSE/DUbUMvnn2ptvtGHD3UcYLa7+QJ
 7QUw==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
 d=1e100.net; s=20161025;
 h=x-gm-message-state:subject:to:references:from:message-id:date
 :user-agent:mime-version:in-reply-to:content-transfer-encoding;
 bh=kQS38Ty6o/m4UkDYCWKpU2eMusrY2EPHP4P4J8Ucz5s=;
 b=lWXKFXTr/7BLZAfsAaeSSG7Nu+QEJ4YEd84O/D03ye0Kg0vUF09+CJI9ifzxQKYHRn
 iT2TEkuc0fm/LvF9LES0EceVPeziK0rD8dlsUbmRuKPLm1gFdgJOSEn6uk+UmCsfXNxd
 Wy5EIkYUrRvrFBoYfHLIDtCqok18VwWlQgJRC5ln/k97uCSjhBgyrp2NgWSfV0qxAwzO
 BqYbv8EQTfXrbz3nNgiifKXrrOimyAfjeV4e429cHVrHOph+oSRRtcsydwSW4kSc6EEN
 aLA1DYfd1WxWObQfXpMZCwRctSMcFrWspBL0wXsXSs2HvZ9Q2B4cKNOZFqEMFVPeZZjL
 a7Pw==
X-Gm-Message-State: AElRT7H+w8BF8/Zz2TZfN9t9KyzXWHKw+oZZod0Xl7Cv0NLSoM4SvKG/
 haeERQJtmMc2C4lj5/3poeIEgg==
X-Google-Smtp-Source: AG47ELu2KS6dgu1tElbbvLHepp3av+gP1xLca1bX09dfwM1na4MCEXijfDPD1GKBOBtyRK0HKCv6Yw==
X-Received: by 2002:a19:2943:: with SMTP id p64-v6mr1550689lfp.7.1520711178750; 
 Sat, 10 Mar 2018 11:46:18 -0800 (PST)
To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
References: <21a68a5b-3f70-ccb8-ac76-c415c00c72b2@complife.ru>
 <20180309170109.GA13979@portlab>
 <2d34d69d-65c3-02be-f13b-0c61bbfc92a7@complife.ru>
 <20180309233217.GA29359@portlab>
From: Leonid Krivoshein <klark.devel@gmail.com>
Message-ID: <76739bc4-039d-229f-b584-435c20f8b1d9@gmail.com>
Date: Sat, 10 Mar 2018 22:46:17 +0300
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101
 Thunderbird/45.7.1
MIME-Version: 1.0
In-Reply-To: <20180309233217.GA29359@portlab>
Content-Type: text/plain; charset=koi8-r; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [sisyphus]
 =?utf-8?b?0JrQsNC6INGD0YHRgtCw0L3QvtCy0LjRgtGMINGB0Lg=?=
 =?utf-8?b?0YHRgtC10LzRgyDQvdCwINC30LDRiNC40YTRgNC+0LLQsNC90L3Ri9C5INC0?=
 =?utf-8?b?0LjRgdC6Pw==?=
X-BeenThere: sisyphus@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
List-Id: ALT Linux Sisyphus discussions <sisyphus.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sisyphus>,
 <mailto:sisyphus-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sisyphus>
List-Post: <mailto:sisyphus@lists.altlinux.org>
List-Help: <mailto:sisyphus-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
 <mailto:sisyphus-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sat, 10 Mar 2018 19:46:20 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/76739bc4-039d-229f-b584-435c20f8b1d9@gmail.com/>
List-Archive: <http://lore.altlinux.org/sisyphus/>
List-Post: <mailto:sisyphus@altlinux.ru>


10.03.2018 02:32, Vladimir D. Seleznev пишет:
> On Fri, Mar 09, 2018 at 09:46:10PM +0100, Michael A. Kangin wrote:
>> Спасибо большое, попробую в следующий раз.
>>
>> On 03/09/2018 06:01 PM, Vladimir D. Seleznev wrote:
>>
>>> Минусы обоих вариантов: на текущий момент ключ дешифровки лежит в
>>> файловой системе в открытом виде и защищён только правами доступа. Если
>>> это неприемлемо, то подойдёт только схема LVM на LUKS.
>> Наверное можно будет допилить features/luks, чтобы умела спрашивать
>> пароль на ключ. Тогда ключ можно будет хранить в
>> (файло|дивайсо)-контейнере LUKS.
>> Я использую сейчас такую схему на паре компьютеров.
> Были такие попытки, но сходу возникли трудности с gnupg внутри initrd.
> Тем не менее, я хочу эту возможность, и продолжу ей заниматься, когда
> будет время.

Не вижу большого смысла в шифровании исходных системных разделов. В 
initrd их можно монтировать read-only и шифровать только оверлеи. LUKS 
хорош и плох своими стандартизированными заголовками. То есть не надо 
доказывать, что раздел является крипто-контейнером. Лечится отделением 
LUKS-заголовков либо использованием plain-шифрования. Для второго 
варианта подойдут только собственные скрипты в initrd. Идеальный вариант 
- грузиться со стика с неизвлекаемым ключом, доступ к которому 
осуществляется по паролю или пин-коду. Такой схемы можно достичь, не 
прибегая к шифрованию в процессе инсталляции, ограничившись 
резервированием места на диске для оверлеев в процессе инсталляции.


-- 
Best regards,
Leonid Krivoshein.