это решение полностью основано на системе шифрования которая используется в убунту, но оно руками настроено дополнительно для немного иных целей чем шифрование домашних папок пользователей.
а) естественно шифрование влияет на производительность, но не так сильно как все думают — в моем случае примерно 5-10% процессорного времени кушалось на шифрование. но это на старом и слабом проце, на современных думаю даже не почувствуете(конечно если это не высоконагруженый сервер).
б) а это уже ваша задача сделать так чтобы флешку не увидели и не забрали. можно конечно делать без флешки — выделить маленький раздел под загрузчик на винте, а вместо файла ключа использовать пароль — но тогда в явном виде будет то что система зашифрована. Тоесть, умышленное правонарушение если смогут доказать. Вообще хоть и можно построить очень гибкие и хитрые схемы загрузки, но 100% защиты не даст. К тому всегда остается человеческий фактор.
ключ можно выбирать любой длины самому. так как на самом деле шифруется винт совсем другим ключом, а пользовательський ключ только разблокирует к нему доступ(в служебной части шифрованого раздела). Почитайте описание LUKS.
На счет Hibernate — не проверял, но если подумать — уверен что работать не будет. для домашних машин лучше использовать шифрование домашнего каталога, или сделать криптоконтейнер с ценной инфой и хранить гдето на дропбоксе.
в убунту это тоже написано, файлы которые по логике граб2 надо править лежат тут /etc/grub.d, на их основании update-grub генерит grub.cfg. Но скрипты там как раз написаны с умом и они сами находят где находится корень и подставляют. в случае с обычными разделами вписываются UUIDы, ну а вот LVM прописало прямым путем
ну у нас в городе это решается довольно просто(естественно если вы не частное лицо), когда к вам приходит проверка — звоните адвокату и ищете понятых. когда адвокат приехал — демонстрируете всем что комп не работает, если будут всеравно забирать на «экспертизу» опечатываете комп полностью со своими подписями и требуете проведения экспертизы в вашем присутствии. Так вам не смогут подбросить никакого ДП и других прелестей… И еще сервер был и вдруг не стало, как они это докажут? А если докажут — ссылаетесь на то что это был общедоступный фтп, куда пользователи назаливали своей инфы, вы ее недавно увидели и форматнули все нафиг.
Но всеравно хотелось бы услышать мнение юристов.
на счет потери информации я не зря написал про RAID1,5,6 — если инфа ценная то стоит потратится на ее защитую
в том то и дело что нет. специально проверял — после переноса с виртуалки на реальную машину, делал update-grub он и прописал эти настройки.(изначально я делал все на UUIDах). Также уже обновлял систему(включая ядро) и grub остался правильный, и initrd правильно пересобрался со всеми настройками. Вобще систему настраивал на максимальную переносимость и обновляемость.например, спокойно можно винт и флешку перетыкнуть в другой комп и все будет работать.
Я понимаю что в LVM ничего виртуального, но целью статьи не было описывать данную технологию, поэтому постарался обьяснить самыми простыми словами. Согласитесь для тех кто незнаком с LVM понятия физические и логические разделы значат немного другие вещи.
я тоже думал что будет медленней, но желание заказчика… а на деле оказалось практически без потерь как в скорости так и в загруженности проца, даже на sempron 2600+@1.6GHz. Вот теперь даже задумался о переводе домашнего NAS+seedbox на шифрованые разделы — хотя домой врядли придут, но чем черт не шутит.
наверное для того чтобы нельзя было определить что за софт там используется, да и логи чтобы не увидели. Вот представьте вы провайдер небольшой локальной сетки, чтобы конкурировать с крупными провайдерами вам кроме качества и низких цен нужно как можно больше разных удобных сетевых сервисов(видеокаталог, музкаталог, софт, игры итд), но копирасты не спят и могут прийти к вам в любой момент. В этом случае даже если у вас будут зашифрованы сами нелицензионные данные, то по разным логам и службам которые крутятся на сервере можно будет всеравно доказать что вы всетаки виновны. А в случае с полностью шифрованым винтом: флешку выдернули, ресет нажали и все — проверке и понятым показываете нерабочий комп. Кстати еще интересная особенность(может ктото незнает) серверные nix ос прекрасно могут работать без видеокарты — еще один способ показать что комп не рабочий.
вы невнимательно читали, я же написал что убунту умеет шифрование и LVM из коробки, но там нужно сначала создать физический раздел на винте а потом уже в нем логический с шифрованием. и еще как я не крутил настройки мне не удалось там выбрать шифрование для раздела куда я ставлю корень системы. именно по этим причинам пришлось постаратся руками. вообще хоть текста много написано, но на самом деле это все просто делается в течении максимум часа.
б) а это уже ваша задача сделать так чтобы флешку не увидели и не забрали. можно конечно делать без флешки — выделить маленький раздел под загрузчик на винте, а вместо файла ключа использовать пароль — но тогда в явном виде будет то что система зашифрована. Тоесть, умышленное правонарушение если смогут доказать. Вообще хоть и можно построить очень гибкие и хитрые схемы загрузки, но 100% защиты не даст. К тому всегда остается человеческий фактор.
На счет Hibernate — не проверял, но если подумать — уверен что работать не будет. для домашних машин лучше использовать шифрование домашнего каталога, или сделать криптоконтейнер с ценной инфой и хранить гдето на дропбоксе.
Но всеравно хотелось бы услышать мнение юристов.
на счет потери информации я не зря написал про RAID1,5,6 — если инфа ценная то стоит потратится на ее защитую
Я понимаю что в LVM ничего виртуального, но целью статьи не было описывать данную технологию, поэтому постарался обьяснить самыми простыми словами. Согласитесь для тех кто незнаком с LVM понятия физические и логические разделы значат немного другие вещи.