Re: titkositott particio tapasztalatok
Zsolt Gádori írta (2017. augusztus 2. 17:54): > Sziaszok! > > Azt szeretném megkérdezni, hogy: > -tapasztalat szerint egy titkosított partíció használata mekkora plusz > teljesítményt (cpu-memória) igényel? > -érdemes-e a rendszer partíciókat is titkosítani, vagy elég csak a userekét? > -egyáltalán, melyik partíciókat érdemes titkosítani? > -meg mondjuk ha ez a disk egy usb-n időnként felcsatlakoztatott dolog, > akkor ott mennyi idő a mount? > -rendszer upgrade esetén mennyire kompatibilis a régi bútor az új házzal? > > Releváns olvasnivalót is nagyon megköszönök, de elsősorban "saját > bőrön" szerzett tapasztalatokra, irányelvekre volnék kíváncsi. > > előre is köszi: > Zs. Sziasztok! Nagyon köszi az eszmefuttatásokat, tanácsokat, rengeteg új infót tudtam meg. A témával kapcsolatban látni kell, hogy nem olyan fontosságú adatokat tárolok, (katonai, titkosszolgálati, üzleti kémkedésre nem kell számítanom) amik valaki érdelődésére célzottan számot tarthatnának, csak nem szeretném, ha tolvajlásból, vagy saját bénaságomból kifolyólag személyes dolgaim szétszélednének a világban. (bocsánat vizuális alkat vagyok: a digitális ebek harmincfelé cincálnák a személyes bitjeimet... :-) egyébként a kolléga Úrnak igaza volt, az eredeti kifejezést tényleg nem ebben az értelemben szokták használni) Elég az, hogy ha valakinek a kezébe kerül a cuccos, akkor ne legyen minden kapu sarkig tárva, legyenek azok csukva, sőt legyen rajtuk biztonsági zár, amik zárva is vannak. Ez valószínűleg elég lesz arra, hogy az "új tulaj" egy legyintéssel lemond a megtekintésről, és leformázza a disket. Ha ezt elértem, és a rendszer egyenszilárdságú, akkor feladat megoldva. Mégecccer köszönöm. Zs. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: titkositott particio tapasztalatok
Lajber Zoltan writes: >> hanem minden titkos, ami az lehet. A boot partíció sajnos nem lehet, >> azon ne tarts érzékeny adatot, és tudj róla, hogy azt rosszindulatúan > > http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/ Ez azért megtévesztő: a GRUB (eleje) nem a titkosított partíción lakik, ezért normális esetben nem biztonságosabb ez a setup, mitha titkosítatlanul hagytad volna a boot partíciót. Ha tartasz bármiféle titkot a boot partíción, akkor természetesen más a helyzet, de miért tennél ilyet? > -kulso (usb, sdkartya) dev-en tartom a kulcsot, es ezt kiveszem, > amikor elrakom a laptoptot. Akkor már érdemesebb lehet az egész boot partíciót (vagy legalább a boot loadert, ha a boot partíciót titkosítod) a külső eszközön tartani. Vagy secure bootot használni, de ez messzire vezet... -- Feri _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: titkositott particio tapasztalatok
2017-08-10 19:08 keltezéssel, Lajber Zoltan írta: On Thu, 10 Aug 2017, Szládovics Péter wrote: Azért a teljesítmény vonatkozásában nagyon nem mindegy, hogy milyen encryption van a kódban, és milyen CPU a gépben. A régebbi i5 és i3-asokban pl. nincs AES, és ha ezt a titkosítás igényli, az nagyban meg tudja fogni a CPU-t - kisebb adatmennyiségnél ez nem számottevő, de nagyobbak esetén jelentősen. hp microserveren mertem (gen1 es gen8 on is), kb 1/3-ra esett az io. a luks tud merni, hogy adott platformon melyik titkositas milyen sebessegu. Nem a genX a lényeg. Ha a titkosítás használ AES-t, és a 'grep aes /proc/cpuinfo' üres, akkor ez természetes. Azt is jó tudni, hogy ha VM-en belül titkosít az ember, a CPU flaget nem biztos, hogy átadja a host a VM-nek. KVM alatt minimum SandyBridge legyen bekapcsolva - abban már azt hiszem, hogy van. persze, ha a Luks nem használ AES-t, akkor megette a fene az egészet :) _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: titkositott particio tapasztalatok
On Thu, 10 Aug 2017, Szládovics Péter wrote: Azért a teljesítmény vonatkozásában nagyon nem mindegy, hogy milyen encryption van a kódban, és milyen CPU a gépben. A régebbi i5 és i3-asokban pl. nincs AES, és ha ezt a titkosítás igényli, az nagyban meg tudja fogni a CPU-t - kisebb adatmennyiségnél ez nem számottevő, de nagyobbak esetén jelentősen. hp microserveren mertem (gen1 es gen8 on is), kb 1/3-ra esett az io. a luks tud merni, hogy adott platformon melyik titkositas milyen sebessegu. Udv, -=Lajbi=- LAJBER Zoltan engineer: a mechanism for converting caffeine into designs. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: titkositott particio tapasztalatok
Zsolt Gádori írta (2017. augusztus 2. 17:54): > Sziaszok! > > Azt szeretném megkérdezni, hogy: > -tapasztalat szerint egy titkosított partíció használata mekkora plusz > teljesítményt (cpu-memória) igényel? > -érdemes-e a rendszer partíciókat is titkosítani, vagy elég csak a userekét? > -egyáltalán, melyik partíciókat érdemes titkosítani? > -meg mondjuk ha ez a disk egy usb-n időnként felcsatlakoztatott dolog, > akkor ott mennyi idő a mount? > -rendszer upgrade esetén mennyire kompatibilis a régi bútor az új házzal? > > Releváns olvasnivalót is nagyon megköszönök, de elsősorban "saját > bőrön" szerzett tapasztalatokra, irányelvekre volnék kíváncsi. Triviális, de én belefutottam a problémába: VirtualBoxban telepítettem Debiant és kipróbáltam a diszk titkosítását, megadtam jelszót, stb. Mivel a laptop leállásakor a VirtualBox csak felfüggeszti a guest futtatását, nem állítja le, ezért legközelebb csak a következő VirtualBox upgrade-nél kért jelszót, ami vagy három héttel később történt - és a nem használt jelszót természetesen elfelejtettem addigra. Ugyan lényegi adat nem veszett (felhőben vannak a forrásfile-ok, levelek, naptár, stb.), de azért kissé kényelmetlen volt. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: titkositott particio tapasztalatok
2017-08-10 07:54 keltezéssel, Lajber Zoltan írta: hanem minden titkos, ami az lehet. A boot partíció sajnos nem lehet, azon ne tarts érzékeny adatot, és tudj róla, hogy azt rosszindulatúan http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/ Ekkor ugyan ketszer kerhet jelszot: 1x a grub, es meg 1x a kernel. Erre ket megoldast talaltam ki, de egyiket sem probaltam meg: -LUKS kulcs bekerul az initrd-be, igy kernel mar nem keri, csak a grub -kulso (usb, sdkartya) dev-en tartom a kulcsot, es ezt kiveszem, amikor elrakom a laptoptot. Azért a teljesítmény vonatkozásában nagyon nem mindegy, hogy milyen encryption van a kódban, és milyen CPU a gépben. A régebbi i5 és i3-asokban pl. nincs AES, és ha ezt a titkosítás igényli, az nagyban meg tudja fogni a CPU-t - kisebb adatmennyiségnél ez nem számottevő, de nagyobbak esetén jelentősen. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: titkositott particio tapasztalatok
hanem minden titkos, ami az lehet. A boot partíció sajnos nem lehet, azon ne tarts érzékeny adatot, és tudj róla, hogy azt rosszindulatúan http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/ Ekkor ugyan ketszer kerhet jelszot: 1x a grub, es meg 1x a kernel. Erre ket megoldast talaltam ki, de egyiket sem probaltam meg: -LUKS kulcs bekerul az initrd-be, igy kernel mar nem keri, csak a grub -kulso (usb, sdkartya) dev-en tartom a kulcsot, es ezt kiveszem, amikor elrakom a laptoptot. Udv, -=Lajbi=- LAJBER Zoltan engineer: a mechanism for converting caffeine into designs. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: titkositott particio tapasztalatok
Zsolt Gádori writes: > Azt szeretném megkérdezni, hogy: > - tapasztalat szerint egy titkosított partíció használata mekkora plusz > teljesítményt (cpu-memória) igényel? A laptopjaimat kizárólag titkosítva használtam, ezért változásról nem tudok beszámolni. De normál használat mellett nem okozhat észrevehető lassulást, mert a kódoláshoz nem szükséges számottevő CPU teljesítmány, a diszk meg egyébként is lassú. > - érdemes-e a rendszer partíciókat is titkosítani, vagy elég csak a > userekét? Az egyszerűség kedvéért én két partíciót használok: egy kis bootot a diszk elején, és egy másodikat a maradék területnek, amit titkosítok, aztán LVM-mel tovább darabolom. Lehetnek érzékeny adatok a /etc és a /var alatt is, a /usr-t pedig már nem szokás külön partícióra tenni. A swapre (szinte) bármi kimehet, így azt is titkosítani kell (különösen, ha hibernálni is akarsz). Legjobb, ha nem kell esetenként gondolkodni, hanem minden titkos, ami az lehet. A boot partíció sajnos nem lehet, azon ne tarts érzékeny adatot, és tudj róla, hogy azt rosszindulatúan lehet módosítani, ha egy időre kikerül az adathordozó az ellenőrzésed alól. > - egyáltalán, melyik partíciókat érdemes titkosítani? Lásd fent. > - meg mondjuk ha ez a disk egy usb-n időnként felcsatlakoztatott > dolog, akkor ott mennyi idő a mount? Érdemi lassulás csak a jelszópromptból fog származni. Azt elkerülheted, ha a jelszót a (szintén titkosított!) / partíciódon tárolod. > - rendszer upgrade esetén mennyire kompatibilis a régi bútor az új > házzal? Nem értem a kérdést, de a dm-crypt egyáltalán nem új találmány. -- Feri _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: titkositott particio tapasztalatok
On 08/07/2017 01:42 PM, Zsolt Gádori wrote: > Érdemes az titkosítani, ahol maguk az érzékeny adatok vannak, illetve > ahol olyan adat töredékek > lehetnek amikből kellő tudással ki lehet következtetni miként lehet > kijátszani a titkosítást. Na például a /usr nem ilyen. Azt mondanám, elég neked a /home (és esetleg a swap) titkosítása. > böszme és elhagyom :) akkor legalább a munkáim, meg az egyéb nem nyilvános > dolgaim ne menjenek ebek harmincadjára. Ha elveszted a gépet, csak a backup adhatja vissza az adataidat. (Az "ebek harmincadján" nem biztos, hogy azt jelenti, amire te gondolsz. Nem a nyilvánosságot, hanem a pusztulást.) > Meg aztán egy felkonfigurált, használat alatt álló szerkezetről van > szó, és szeretném, ha elsőre > sikerülne, és HA LEHET, elkerülném az újra telepítést, de ez nem kizáró > tényező. Van annyi hely a HDD-n, hogy le tudd másolni a /home-ot? Az sokat lendítene a dolgon. Lehet on-the-fly is titkosítani, de ha valamiért megszakad, nagy bajban leszel. (Ld. még "Backupoltál ma este, Desdemona?") kissg _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: titkositott particio tapasztalatok
Kiss Gabor írta (2017. augusztus 7. 9:09): > > On 08/02/2017 05:54 PM, Zsolt Gádori wrote: >> Azt szeretném megkérdezni, hogy: > >> -érdemes-e a rendszer partíciókat is titkosítani, vagy elég csak a userekét? >> -egyáltalán, melyik partíciókat érdemes titkosítani? > > "Érdemes"??? De jó szó! Ki tudja mit értesz ez alatt? :-) > > Próbáld megfogalmazni, hogy milyen célt akarsz elérni, és mennyi > áldozatot vagy hajlandó hozni érte. Akkor lehet belemenni ilyesmibe. > No igen... Elnézést, kicsi pongyola volt a megfogalmazás... Tehát: Érdemes az titkosítani, ahol maguk az érzékeny adatok vannak, illetve ahol olyan adat töredékek lehetnek amikből kellő tudással ki lehet következtetni miként lehet kijátszani a titkosítást. Nem kell azt gondolni, hogy akkora titkaim vannak, de azt már tudjuk, hogy apróságnak tűnő dolgokat is fel lehet használni úgy, hogy kényelmetlen legyen a károsultnak. Tehát, ha már nekiállok, akkor elsőre úgy kell megoldanom, hogy egyenszilárdságú legyen a végeredmény, és ne homokvárat építsek vaskapuval. A cél természetesen az, hogy ha már valaki lenyúlja a gépet fizikailag, (vagy én vagyok böszme és elhagyom :) akkor legalább a munkáim, meg az egyéb nem nyilvános dolgaim ne menjenek ebek harmincadjára. Jómagam programozó lévén kedvenc rendszerünkről elég sokmindent tudok, de a linux szempontjából mégis inkább felhasználónak tartom magam, mint gurunak. Annyit mindenképpen hajlandó, és képes vagyok megtenni, hogy telepítek, leírás alapján configolok, és a napi használat során vállalok egy plusz azonosítást. (lehetőleg ez legyen jó minden partícióra) De szeretném elkerülni a tesztelgetést, meg a saját zsíron történő tapasztalatszerzést. Főképpen, hogy tudáshiány folytán nem is nagyon tudnám ellenőrizni, hogy mit is értem el VALÓJÁBAN ahelyett amit szerettem volna. Meg aztán egy felkonfigurált, használat alatt álló szerkezetről van szó, és szeretném, ha elsőre sikerülne, és HA LEHET, elkerülném az újra telepítést, de ez nem kizáró tényező. A másik ami miatt kérdezem, mert a céges laptop valami iszonyat lassú lett amikor kicserélték a lemeztitkosítást is végző szoftvárét. Mondjuk az nem pingvines cucc. Ezt nem vállalnám, de az előző kolléga hozzászólásából már látszik, hogy ilyesmi nem fenyeget. Elnézést a sok betűért, és köszönöm a segítségeket. :-) üdv: Zs. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: titkositott particio tapasztalatok
On 08/02/2017 05:54 PM, Zsolt Gádori wrote: > Azt szeretném megkérdezni, hogy: > -érdemes-e a rendszer partíciókat is titkosítani, vagy elég csak a userekét? > -egyáltalán, melyik partíciókat érdemes titkosítani? "Érdemes"??? De jó szó! Ki tudja mit értesz ez alatt? :-) Próbáld megfogalmazni, hogy milyen célt akarsz elérni, és mennyi áldozatot vagy hajlandó hozni érte. Akkor lehet belemenni ilyesmibe. kissg _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: titkositott particio tapasztalatok
2017-08-02 17:54 keltezéssel, Zsolt Gádori írta: Azt szeretném megkérdezni, hogy: -tapasztalat szerint egy titkosított partíció használata mekkora plusz teljesítményt (cpu-memória) igényel? -érdemes-e a rendszer partíciókat is titkosítani, vagy elég csak a userekét? -egyáltalán, melyik partíciókat érdemes titkosítani? -meg mondjuk ha ez a disk egy usb-n időnként felcsatlakoztatott dolog, akkor ott mennyi idő a mount? -rendszer upgrade esetén mennyire kompatibilis a régi bútor az új házzal? Releváns olvasnivalót is nagyon megköszönök, de elsősorban "saját bőrön" szerzett tapasztalatokra, irányelvekre volnék kíváncsi. Szia! Már nem is emlékszem hány éve használok titkosított köteteket notebookon (rendszer, adat, minden amit lehet), plusz az időnként felcsatolt backup USB diszkjeim is titkosítottak. Sosem volt semmi problémám vele, teljesítményben, mount időben semmi észrevehető különbség nincs (leszámítva hogy be kell írnod a jelszót). Rendszer upgrade sem okozott még gondot sosem. Nemrég váltottam egy AES-NI képes Intel Core i5 7200U CPU-ra, ezzel észrevehetően nőtt a sebesség. Lásd cryptsetup benchmark. Olvasnivalónak az ArchWiki egész jó: https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system -- Erki-Kiss Zsolt _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
