В Ubuntu 16 Server полное шифрование HDD было уже в начале установки.
Ubuntu 18 Server не имеет этой возможности. Нашел линк Как настроить шифрование используя GUI
А как сделать шифрование диска с командной строки и какую partition надо шифровать?
Здравствуйте, C26j9A, Вы писали:
CA>В Ubuntu 16 Server полное шифрование HDD было уже в начале установки.
CA>Ubuntu 18 Server не имеет этой возможности. Нашел линк Как настроить шифрование используя GUI CA>А как сделать шифрование диска с командной строки и какую partition надо шифровать?
Позволь задать тебе вопрос: "А зачем тебе это нужно?"
Я тут сходные вопросы задавал про файловые системы Линуха, и там был тоже вопрос про шифрование ФС, но с точки зрения только возможности поддержки "легаси" каталогов в пользовательском разделе НТФС какое-то время...
Ещё раз, задай вопрос, зачем это нужно? Для каких целей? Может вопрос состоит не в шифровации данных, а в чём-то другом?
Здравствуйте, maxluzin, Вы писали:
M>Здравствуйте, C26j9A, Вы писали:
CA>>В Ubuntu 16 Server полное шифрование HDD было уже в начале установки.
CA>>Ubuntu 18 Server не имеет этой возможности. Нашел линк Как настроить шифрование используя GUI CA>>А как сделать шифрование диска с командной строки и какую partition надо шифровать?
M>Позволь задать тебе вопрос: "А зачем тебе это нужно?"
Если кто-то чужой завладеет моим сервером и HDD данные не будут зашифрованы, то этот HDD можно будет прочитать.
M>Я тут сходные вопросы задавал про файловые системы Линуха, и там был тоже вопрос про шифрование ФС, но с точки зрения только возможности поддержки "легаси" каталогов в пользовательском разделе НТФС какое-то время...
M>Ещё раз, задай вопрос, зачем это нужно? Для каких целей? Может вопрос состоит не в шифровации данных, а в чём-то другом?
Как и Windows предлагается full hard drive encryption, то я не долго думая делаю это на Ubuntu 16 Server и хочу сделать это на Ubuntu 18 Server.
Здравствуйте, Слава, Вы писали:
С>Здравствуйте, C26j9A, Вы писали:
CA>>Спасибо.
С>Делается это через lvm и luks partition, но задайте себе вопрос — как вы будете передавать ключ при загрузке сервера?
Я нахожусь рядом с сервером и могу ввести ключ сам.
... CA>>>В Ubuntu 16 Server полное шифрование HDD было уже в начале установки.
Может быть. Не помню... И было не интересно.
... M>>Позволь задать тебе вопрос: "А зачем тебе это нужно?"
CA>Если кто-то чужой завладеет моим сервером и HDD данные не будут зашифрованы, то этот HDD можно будет прочитать.
И чё? Не на "фирму" работаешь, или таки на "контору"? Если "на контору", то она сама свои "прибамбасы" принесёт и встроет в ОС прямо во все стеки протоколов. Обратись к ФСБ. За небольшую плату, они тебе встроят "уровень" полной шифрации по ГОСТу на текущий момент их алгоритмической продвинутости.
Если тебя никто не собирается "брутально ломать" потенциально, то можно просто стандартными средствами пользоваться.
... CA>Как и Windows предлагается full hard drive encryption, то я не долго думая делаю это на Ubuntu 16 Server и хочу сделать это на Ubuntu 18 Server.
Здравствуйте, maxluzin, Вы писали:
CA>>Как и Windows предлагается full hard drive encryption, то я не долго думая делаю это на Ubuntu 16 Server и хочу сделать это на Ubuntu 18 Server. M>Угу... Зачем? Параноя?
Слушайте, это ответы в худшем стиле linux.org.ru, "вам это не нужно". Хочет человек шифрование, пусть его делает, в установщике подобные опции есть. Ключевые слова это LUKS и LVM. Другое дело, что там потом будет сложновато менять размеры разделов, но это уже отдельная тема.
Здравствуйте, Слава, Вы писали:
С>Здравствуйте, maxluzin, Вы писали:
CA>>>Как и Windows предлагается full hard drive encryption, то я не долго думая делаю это на Ubuntu 16 Server и хочу сделать это на Ubuntu 18 Server. M>>Угу... Зачем? Параноя?
С>Слушайте, это ответы в худшем стиле linux.org.ru, "вам это не нужно". Хочет человек шифрование, пусть его делает, в установщике подобные опции есть. Ключевые слова это LUKS и LVM. Другое дело, что там потом будет сложновато менять размеры разделов, но это уже отдельная тема.
Да ради бога! Но всё дело в том, что "шифрование" делается под "что-то" или под "кого-то". А в этом и вся суть. Если делается под организацию с "публичными" VPN-сетями (т.е. через "публичных" провайдеров на их транспорте), то это один уровень. Если делается корпоративная сеть для большой компании, то они могут и свои линии протянуть и "приватные" узлы наставить, вплоть до аренды каналов через коммерческие спутники. Если организация "жизненно важная" для безопасности (любой) страны, то там уже спецслужбы со своими устройствами, ПО и закрытыми сетями приходят (даже если ты их не звал — они всё равно к тебе придут).
Если диски "вусмерть" зашифрованы, а по сетям "гражданских" провайдеров гоняются гигабайты данных с открытыми ключами от самого провайдера (или эти ключи как-то проходят через его сеть), то при желании весь твой траффик "полъётся на диски" спецслужб, которые к этому провайдеру придут "с предложением от которого будет невозможно отказаться". Даже VPN через сети Интернет-провайдера ничего не гарантирует... Так что шифровать надо не сами диски, а весь траффик, который уходит вовне, даже по VPN-соединениям. Если этот траффик идёт не под надзором ФСБ или не через ведомственные сети.
Чтобы спрятаться от спецслужб, задача решается простыми старыми добрыми "курьерами", которые на "узлы" периодически привозят ВРУЧНУЮ зашифрованные ОПЕЧАТАННЫЕ флэшки ("пакеты") с таблицами "соли" (salt) или других параметров в алгоритмах шифрации и вручают их ПОД РОСПИСЬ офицеру службы информационной безопасности в филиалах компании. Другой независимый офицер вручает пакет с кодом дешифрации самих таблиц шифрации — никто из них не должен владеть таблицами и кодами от них ОДНОВРЕМЕННО, лучше всего, если они друг-друга лично вообще не знают. Таблицы шифрации устанавливаются на уровне стека протоколов, ВСТРАИВАЮТСЯ в ОС (или в маршрутизаторы высшего уровня), и меняются по каким-то алгоритмам (по абсолютному времени, или некоему алгоритму генерации псевдослучайных чисел так, чтобы передатчик и приёмник "знали", по каким законам происходит смена таблиц шифрации, но НЕ ЗНАЛИ, как эти алгоритмы работают)... Лучший способ до сих пор (ещё с царских времён русской разведки) — это передача таблиц шифрования (параметров алгоритмов шифрования) и кодов по дешифровке самих таблиц шифрования — двумя независимыми курьерами, которые лично незнакомы и никогда не сталкивались "в коридорах разведки/контрразведки". Таблицы шифрования и коды от них "сливаются" на узлах, где собственно происходит кодирование/декодирование данных. Причём, захват "шифровальных блокнотов" (таблиц), захват или шантаж курьеров с кодами дешифрации, офицеров связи и т.д. и т.п. — никак не повлияет на саму защиту связи, т.к. каждый из её элементов обладает (владеет) только частью знаний и ресурсов. Полной картины не знает никто, кроме пары-тройки высших офицеров в службе безопасности.
