Dmitry E. Oboukhov пишет:
Не совсем понятна задача..... если это
раздел для бэкапов то почему-бы просто не
шифровать бэкап
(ну например с помощью fsbackup) с помощью gnupg
открытым ключем? И раздел не надо будет
шифровать
и бэкапы будут пакованные ну и можно
полные/инкрементальные со всеми
вытекающими......
эмм
так я ж и говорю в этом случае есть проблема бакапа ключа бакапа.
в сейфе его хранить чтоли? да ну нафиг
Ассиметричное шифрование. Ключ с которым шифруют не позволяет
расшифровать а ключ для расшифровки ну например на флэшке у босса....
Сам ключ может шифроваться паролем а может быть нешифрованным. По идее
ты даже ключ можешь хранить не в сейфе - но надо его защищать паролем
который потребуется только при восстановлении из бэкапа.
В общем-то man gnupg.
в случае если это пароль, то бакап ключа не нужен - в голове
очень надежно хранится информация :)
а в случае если это ключ, то возникает вопрос где его хранить
а хранить значит и бакапить итп :)
а с точки зрения удобства запуска/останова системы было бы удобно
если одно смонтировали (ввели пароль) второе смонтировать на автомате
(по ключу), но при этом не бакапить ключ а иметь возможность в случае
утраты раздела с ключем монтировать по паролю
Далее ты задавал вопросы про хостинг и закрытие данных от их рутов.
Никто не мешает например в том-же
xen дать виртуальной машине 2 блочных устройства. Одно из них открытое и
на нем система а второе устройство
администратор виртуального сервера может использовать как хочет - хочет
пусть туда шифрованную ФС помещает.
Если сисадмины хостера не имеют рутовых прав в виртуальной системе то
попасть в стсиему они не смогут. В принципе
это полноценная виртуальная машина и сила ее защиты целиком в твоих
руках, с той оговоркой что админы хостера имеют
физический доступ - для чего им надо как минимум остановить машину и
перезагрузить ее или в синглмоде или подмонтировать
контейнер. Но важные данные-то у нас на шиырованном диске.... так что
это им ничего не даст.
Олег.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]