fstab, crypttab a truecrypt

[glonik]

Witam wszystkich.
Mam mały problem, z którym nie mogę sobie poradzić. Mam 2 systemy, Linuxa, którego używam jako podstawowy system, no i Windowsa, żeby sobie czasem jakąś grę odpalić. Partycję Windowsowe zaszyfrowane są TrueCrypt-em, ale chciałbym, aby się montowały automatycznie wraz ze startem Linux-a. Dodatkowo chciałbym to zrobić tak, abym nie musiał wpisywać dla nich hasła ( w sensie, partycję LUKS: /, swap. home są zaszyfrowane za pomocą dokładnie tego samego hasła ). Udało mi się to zrobić z partycją LUKS ( nazwijmy ją Magazyn ), montuję się podczas uruchamiania systemu, a ponieważ tworząc ją użyłem tego samego hasła co do w/w to Linux nie prosi mnie o kolejne hasło. Wiem, że za pomocą cryptsetup można zamontować partycje TruCrypt, jednak potrafię to zrobić jedynie z wiersza poleceń ( gdy system jest już uruchomiony ).
Możliwe, że gdzieś w internecie jest na moje pytanie odpowiedź, jednak ja miałem takie szczęście, że trafiałem akurat na takie, które powodowały, że system podczas uruchamiania ( po wpisaniu hasła odblokowującego partycję /, swap, home ) zawieszał się na próbie montowania partycji TrueCrypt. Kończyło się to tym, że robiłem reset, uruchamiałem LiveCD, montowałem partycje /, i tam usuwałem to co wpisałem do fstab i crypttab. Ogólnie trochę zachodu po każdym błędnym wyedytowaniu w/w plików.

pozdrawiam

[Ubek308]

Nigdy nie rozumialem takiej logiki.
Na co komu szyfrowanie ktore sie samo odszyfrowuje ?
To ma sie nazywac ochrona informacji ?
Chyba jestem nie z tej bajki.

[rom]

Kolega wyżej dobrze mówi. Ktoś zdobędzie hasło do systemu i od razu dostanie wszystko.

Ale możesz napisać skrypt, który to będzie montował. Następnie dodaj go do autostartu i nadaj mu uprawnienia w sudoers.

[glonik]

Cóż, może to i jest lenistwo, ale nie chce mi się za bardzo wklepywać kilka razy 53 znaków ( małe/duże litery, cyfry, znaki specjalne ).
No i chodzi o to, żeby hasło nie było przechowywane w żadnym pliku.
To może inaczej, bo mam pomysł jak to zrobić. Jeżeli mam partycję TrueCrypt do zaszyfrowania, której użyłem hasła wpisywanego z klawiatury, to czy mogę utworzyć plik keyfile, który będzie mógł posłużyć do odblokowania partycji TrueCrypt, tej już istniejącej?

[rom]

Może offtopic, ale masz za silne i za skomplikowane hasło. Utrudniasz życie nie tylko potencjalnym włamywaczom, ale przede wszystkim sobie.
http://imgs.xkcd.com/comics/password_strength.png

Jeśli wiesz jak tę partycję zamontować w terminalu, to użyj tych poleceń w skrypcie wrzuconym do autostartu.

edycja:
Krótka wycieczka do Google:
http://www.linuxquestions.org/questions ... ux-931953/
http://ubuntuforums.org/showthread.php?t=1185550
Trochę inny sposób http://rafal.zelazko.info/2009/11/29/mo ... an-ubuntu/
Nie wiem na ile to się okaże przydatne. Coś na pewno wykombinujesz.

[infort]

Glonik, dobrze kombinujesz z plikiem kluczem. Inaczej nie rozwiążesz swojego problemu, ponieważ hasło wpisywane przy odblokowaniu partycji systemowej nie jest nigdzie zapisywane i nie ma jak go przekazać truecryptowi. Nawet jesli masz dwie partycje LUKSa, to żeby je odblokować musisz hasło podać dwa razy, dlatego stosuje się jedną dużą partycję szyfrowaną, na której zakładasz woluminy LVM2.
Truecrypt w odróżnieniu od LUKSa nie pozwala mieć wymiennie hasła i pliku klucza. Albo to, albo to, albo obie rzeczy na raz. Dlatego musiałbyś zliwidować hasło i założyć plik klucz. Nie testowałem tego na partycji bo windowsa od dawna nie używam, więc musisz sam sprawdzić. Jeśli tak się nie da, będziesz musiał założyć od nowa partycję truecrypta, tylko z plikiem kluczem. A, i przy manipulacji pamiętaj o backupie
Reszta jest prosta, skrypt z poleceniem montowania przez truecrypt w autostarcie. Wymaga to uprawnień roota, dlatego musisz dodać truecrypt do pliku sudoers, aby nie żądał hasła systemowego.

[glonik]

Ja mam partycję LVM2 ( czyli /, home, swap ) i na drugim dysku twardym mam jeszcze jedną partycję LUKS, która montuję mi się automatycznie podczas startu systemu. Jednak nie muszę podawać hasła 2 razy, do tej LVM2 i 2. raz do tej partycji na osobnym dysku. Wpisuję hasło tylko 1 raz i montują mi się wszystkie.
Co do TrueCrypta, to szkoda. Chciałem utworzyć plik klucz do odblokowywania partycji TrueCrypt, zapisał bym go gdzieś na dysku, zaszyfrował cryptsetup-em, następnie podczas uruchamiania systemu montował bym ten zaszyfrowany plik klucz, wtedy byłby dostępny jawnie, więc mógłbym zamontować partycję TrueCrypt używając odszyfrowanego pliku klucza, a następnie odmontowywał bym go. Tak więc plik klucz byłby ciągle zaszyfrowany, po za chwilą montowania partycji TruCrypt. Ale jeśli partycja TrueCrypt nie może być jednocześnie zabezpieczona hasłem wpisywanym z klawiatury i jednocześnie plikiem kluczem to mój pomysł odpada. Chodzi o to, żeby plik klucz nie był nigdzie zapisany jawnie.
Nie wiem czy napisałem to w miarę jasno, ale właśnie o takie coś mi chodziło.

No więc zrobiłem tak.
1. Utworzyłem plik tc-key za pomoca polecenia:

Kod: Zaznacz cały

dd if=/dev/urandom of=./tc-key

2. Za pomocą cryptsetup, utworzyłem na nim ext4 oraz zamontowałem jako plik-kontener
3. W zamontowanym wcześniej pliku-kontenerze utworzyłem plik zawierający hasło do partycji TrueCrypt o nazwie tc-key.
4. Dodałem do fstab i crypttab co trzeba, aby montował się automatycznie.
5. Napisałem skrypt, który odczytuję hasło z pliku, montuję partycje TrueCrypt, a następnie odmontowuje plik-kontener

Kod: Zaznacz cały

#!/bin/bash

line=$(head -n 1 /home/localhost/media/tc-key/tc-key)
sudo truecrypt --mount-options=system /dev/sdb2 -p $line /home/localhost/media/systemWindows
sudo umount /home/localhost/media/tc-key
sudo cryptsetup luksClose luks-tc-key

( w /home/localhost/media/tc-key montowany jest plik-kontener za pomocą cryptsetup )
( w /home/localhost/media/systemWindows montowana jest partycja TrueCrypt )

A najlepsze jest to, że to działa.

[infort]

Skoro działa, to gratuluję.

Mała uwaga natury ogólnej:

Pierwszy raz widzę tak skomplikowany system, nie bardzo rozumiem po co aż takie zabezpieczenie. Przyznam się, że brakuje mi wyobraźni, jak tajne muszą być dane, skoro stosujesz szyfrowany kontener wewnątrz szyfrowanego systemu tylko po to by chronić dostęp do innego systemu. Chronisz klucz, który potrzebujesz na zewnątrz, aby dostać się do windows. Jak chcesz uruchomić windows w takim przypadku inaczej niż podając jawny klucz? Bo oczywiście mówimy o szyfrowanym systemowo windowsie, w przeciwnym razie nie masz tam żadnego zabezpieczenia (same zaszyfrowane dodatkowe partycje przy niezaszyfrowanym systemie są nic niewarte).

Zasadniczo jeśli logujesz się na szyfrowanym systemowo linuksie to skoro potrzebujesz dostęp do partycji windowsowej, po prostu piszesz skrypt z jawnym plikiem kluczem (dowolny plik, on jest na zaszyfrowanym systemie przecież, więc może być jawny). Dodatkowe szyfrowanie klucza nie podniesie ci bezpieczeństwa - jesli ktoś dostanie się do szyfrowanego linuksa to już masz tegoż bezpieczeństwa krytyczne naruszenie. Zwłaszcza, że można oprócz tego zaatakować sam windows. Nie wiem, czy w pełni pojmujesz, że przekombinowałeś...

[glonik]

Jak na to patrzę to też mi się wydaję, że trochę to zbyt skomplikowane. Ale skoro już się uparłem i mi wyszło to zostawię skoro działa.
Windowsa odblokowuję wpisując hasło z klawiatury, dlatego miałem tutaj problem, Nie da się zamontować partycji TrueCrypt za pomocą keyfile, a jednocześnie móc odblokować ją za pomocą hasła wpisywanego z klawiatury. Ta partycja TrueCrypt, która jest montowana przez skrypt tez nie jest montowana za pomocą keyfile. Tak więc hasło potrzebne do odszyfrowania znajduję się jedynie w mojej głowie oraz w zaszyfrowanym pliku na dysku za pomocą tego samego hasła co mam w głowie.
A moje nadmierne wyczulenie to już zupełnie osobny temat, w sumie to nie mam nic mega ważnego. Tylko jakieś filmy i muzya, czyli to co tak naprawdę każdy na dysku trzyma. Po prostu wolę, żeby nie dało się ich odczytać.

Może to i drobnostka, ale już nie wiem jak mam zrobić, aby ten skrypt ( tc-mount )uruchamiał się wraz ze startem systemu.
Nadałem mu prawa do uruchamiania:

Kod: Zaznacz cały

[localhost@new-host Dokumenty]$ sudo chmod +x tc-mount 
[sudo] password for localhost: 
[localhost@new-host Dokumenty]$ 

Dodałem na końcu pliku /etc/sudoers

Kod: Zaznacz cały

localhost ALL= NOPASSWD: /home/localhost/Dokumenty/tc-mount

Dodałem do autostartu skrypt ( tu obrazek ).
I i tak musze go sam odpalać.