-1

Этот вопрос касается создания настраиваемой зашифрованной полной настройки диска - которая, кажется, (ну / вообще) не документирована в Интернете.

По сути: идея заключается в том, чтобы иметь полную (технически частичную) настройку шифрования диска с разделением диска на пользовательские тома (разделы), защищенные одним паролем, без использования файлов ключей или внешнего загрузочного раздела.

Начнем с одного полностью доступного жесткого диска: создана основная группа томов: VG1, охватывающая весь диск. На нем 2 логических тома VG1/LV1 и VG1/LV2. VG1/LV1 становятся нашим загрузочным разделом ext4. VG1/LV2 становятся нашим основным зашифрованным разделом -> VG1/LV2_C До этого момента это стандартная настройка одного раздела, однако вместо создания на ней файловой системы мы создаем физический том. На этом физическом томе мы создаем другую группу томов: VG1/LV2_C/VG2 Затем вложенная группа томов далее разделяется на логические тома на основе пользовательских потребностей, что приводит к чему-то следующему:

VG1/LV1:/boot #unencrypted

VG1/LV2_C/VG2/LVA:/partitionA #, зашифрованный с помощью прохода LV2_C

VG1/LV2_C/VG2/LVB:/partitionB #, зашифрованный с помощью прохода LV2_C

VG1/LV2_C/VG2/LVC:/partitionC #, зашифрованный с помощью прохода LV2_C

и тд и тп ... (казалось бы, это также поддерживает внешние / загрузочные разделы, незашифрованные тома (VG1 / LV3:), тома, зашифрованные с помощью отдельных паролей (VG1 / LV4_C:), файлы ключей и т. д.)

Мой вопрос: есть ли у кого-нибудь опыт последующей настройки, есть ли какие-либо проблемы с безопасностью / производительностью / надежностью, из-за которых он нигде не упоминался как опция? Темами, которые меня особенно интересуют, будут:

  • VG2 может поставить под угрозу безопасность LV2_C?

  • будут ли заметные потери производительности по сравнению с плоским стандартным зашифрованным томом?

  • Могут ли вложенные группы томов привести к потере данных (т. е. путаться с указателями или схожими)?

  • Является ли эта настройка на самом деле тем, что она утверждает (как в случае виртуализации) или VG2 создается вместе с VG1 и просто отображается на пространстве своего тома (этот вопрос фактически совпадает с предыдущими темами).

Это не вопрос «оставайся / оставайся», так как я буду оценивать его при настройке теста (похоже, сейчас он работает нормально, хотя во время создания вел себя немного странно), однако любые входные данные могут помочь. Пожалуйста, не стесняйтесь, дайте мне знать, что вы думаете. Благодарю.

|источник

1 ответ1

0

Это действительно грязная установка, и, хотя ее, вероятно, можно заставить работать, вы будете бороться с системными скриптами все время. Я полагаю, что это также будет неэффективно, особенно если вам нужно рассматривать lv как физический том с использованием устройства с обратной связью. Я бы не стал приближаться к этому.

Это не поставит под угрозу безопасность. Потеря громкости может произойти, но не является значительно более вероятной изо дня в день - это произойдет, если при установке / отключении будет допущена ошибка. Я не верю, что что-то может претендовать на эту установку. Это очень нестандартно и бахромой.

Когда я столкнулся с проблемой Симара, я пришел к выводу, что было проще повторно вводить пароли несколько раз. Кроме того, в зависимости от того, что вы пытаетесь сделать, рассмотрите стандартную установку pv/vg/lv, где lv является зашифрованным устройством, а затем используйте файлы (смонтированные с использованием циклов, если не поддерживается напрямую) в качестве блочных устройств.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .