Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Sifrovani v Linuxu - bezpecnost a spolehlivost pri obnove dat?

Dobry den,

mam par otazek ohledne sifrovani v Linuxu. Chci delat cistou instalaci Ubuntu s 3mi oddily: /, /home, swap(, mozna jeste 1 oddil neco jako /media/zaloha nebo tak neco), vse na 1 fyzicky magneticky HDD. Je lepsi zasifrovat:
1. cely disk - cim, jak na to, co je nejbezpecnejsi?
2. jen jednotlive oddily - cim, jak na to, co je bezpecnejsi?
3. jen domovksy adresar pomoci ecrypt jak mi to nabizi instalator v posl. kroku instalace?
4. napada me jeste sifrovani na urovni jednotlivych souboru a adresaru stylem co je moc tajne to zasifrovat, jinak zbytek oddilu nesifrovany, ale to asi pouzit nechci - ale cim treba?

Idealne pro nejvyssi bezpecnost bych sifroval cely disk - tj. moznost 1 - pri utoku napr. fyzicky vyndanim HDD a nasazenim do jineho kompu nebo bootu z LiveCD, budou chranena vsechna uzivatelska i jina data, system, programy i zbytky toho co zbylo ve swapu, tak by to melo fungovat podle clanku - funguje to tak i v realu, ne? Ze kdyz utocnik nezna heslo tak se muze jit maximalne klouzat a k datum se nedostane? Je to sifrovani celeho HDD - bod 1 - nejlepsi volba nebo je lepsi neco jineho? Pro nejvetsi bezpecnost myslim ze je to nejlepsi, protoze pri sifrovani jen uzivatelskych dat a nesifrovanem zbytku muze utocnik podstrcit do / nejakeho skudce nebo vycist data z konfiguraku systemu, nebo vytahnout nejaka dulezita data co zbyla ze swapu. Co myslite vy?

Potrebuji se zeptat, cetl jsem ruzne clanky, psalo se, ze pokud uzivatel u vsech 4 druhu sifrovani nezapomene heslo (coz je ale jeho vlastni blbost za kterou zadna technologie nemuze a odmena za tuto jeho blbost je mu ztrata zasifrovanych dat), ze sifrovani funguje OK a vicemene bezproblemove a relativne spolehlive z hlediska funkce, spolehlivosti i odolnosti vuci nabouravani vc. brute force utoku. Je to pravda?
Taky jsem ale cetl, ze pokud dojde k sebedrobnejsi chybe HW a nebo SW, ktera by u nesifrovanych disku/oddilu/adresaru mela jen drobne nasledky (1 necitelny soubor nebo jen jeho mala cast necitelna) nebo zadne nasledky (vse citelne), tak na sifrovanych discich/oddilech/slozkach muze dojít k extremne velkym az neopravitelnym problemum - napr. poskozeny nebo necitelny nebo nedesifrovatelny cely disk, cely oddil, nekolik adresaru nebo rozsahla cast disku nebo oddilu a ze tyto problemy casto nejsou schopny opravit a data desifrovat a zachranit ani profi laboratore. Ze dalsi extremne velke az neresitelne problemy pristupu k datum muzou nastat v pripade 1, 2, 3 v pripade potreby precist disk v jinem PC klidne i s Linuxem toho sameho distra a verze (napr. kdyz puvodni PC odejde), nebo pri 1, 2, 3 pri preinstalaci Linuxu v / a snaze zachovat uzivatelska data v /home (pripadne jinych datovych oddilech pokud jsou) nebo pri snaze o obnoveni omylem smazanych a jeste nicim neprepsanych dat. Do jake miry je to pravda, ze sifrovana data jsou na poskozeni daleko nachylnejsi nez nesifrovana?
Budu radsi kdyz to budu vedet vsechno jeste pred instalaci a podle toho se budu moct rozhodnout a spravne stanovit pomer soukromi vs spolehlivost pristupu, nez kdyz se do neceho pustim a pak vinou drobne HW nebo SW chyby nebo nekompatibility, coz se muze stat vzdycky, prijdu nenavratne o vsechna dukezita data.
Moc dekuji za vase vysvetleni a nazory k tematu.

Předmět Autor Datum
Jo, popsal jsi to presne. Sifrovani je o bezpecnosti a nejbezpecnejsi je sifrovat cely disk. Na dru…
RMX 21.01.2019 23:05
RMX
/swap/ šifrovat IMHO nejde, nikdy jsem to nezkoušel, tam stejně nic zajímavého není. V Linuxu se ti…
Rce 21.01.2019 23:18
Rce
1. swap se běžně šifruje 2. ve swapu jsou/mohou být naopak velmi zajímavá data (např. šifrovací klíč… poslední
touchwood 22.01.2019 05:51
touchwood

Jo, popsal jsi to presne.

Sifrovani je o bezpecnosti a nejbezpecnejsi je sifrovat cely disk. Na druhou stranu rozsifrovani stoji nejake rezijni naklady, takze to bude pomalejsi a je tu vetsi nebezpeci ztraty vsech dat pri chybe. Ke ztrate dat pri chybe ale muze dojit vzdy, od toho je zalohovani, aby jsi si data pojistil.

Rozhodne ale bud sifruj poradne a bez kompromisu nebo nesifruj vubec, delat to polovicate nedava smysl.

Zpusob sifrovani, jestli potrebujes zasifrovat vsechno nebo jen neco, je na tobe, ty musis vedet, ke kterym tvym datum se nikdo dostat nesmi.

/swap/ šifrovat IMHO nejde, nikdy jsem to nezkoušel, tam stejně nic zajímavého není.

V Linuxu se ti tam breberky nedostanou, když nebudeš pracovat pod Rootem. Šifrovat něco jiného, než /home/ je dost paranoia, tam nic zajímavého nikdo nenajde, vše si může sám nainstalovat. Ani v /etc/ také není nic důležitého, vlastní nastavení a nastavení aplikací je v /home/user. Máš tam něco supertajného na vypouštění raket, že se obáváš, že se někdo bude tak namáhat? Doporučuji šifrovat jen /home/.

Zpět do poradny Odpovědět na původní otázku Nahoru