Прячем информацию (Предлагаю немного пофлудить на тему как хранить тайну)

[teapoot10]

Доброго времени суток!
Прару вопросов по шифрованию.

1. Чем это все делают?
Список возможных решений я в гугле нашел, хочу спросить у практиков. Что реально Вы выбираете? Или выбрали на моем месте.
2. Что с ресурсами?\
Т.е. я не могу понять: Если я хочу зашифровать 100 гигов информации к которой мне надо постоянно обращяться, мне нужно 150 гигов оперативы?

Задачу в целом перед собой вижу так:
Есть хост ОС - в ней ничего секретного нет VBox и все сетевые интерфейсы.
Есть шифрованный раздел на котором лежат образа жестких дисков гостевой ОС - вот туда лазить ни одному живому человеку кроме меня закрыто
Вижу так включил комп, залогинился туда локально или по ssh запустил команду набрал пароль или вставил флэшку не принципиально, и виртуальная машина расшифровалась в память и запустилась. Сбой по питанию и все пока парольне наберешь данные с виртуалки не выдрать. Если конечно только собрав в одном месте пару крепких парней утюг меня и сервер.

3. Желательно что бы это все хорошо жило под FreeBSD.

Еще есть подозрение что VBox может слить информацию в какиенибудь временные файлы или своп? Возможно ли?

Спасибо.

PS Напомню, в первую очередь меня итересует какие решения наиболее популярны просты и надежны, потому как по обзорам все варианты хороши.

[Bizdelnick]

Чем это все делают?

википедия://LUKS

Если я хочу зашифровать 100 гигов информации к которой мне надо постоянно обращаться, мне нужно 150 гигов оперативы?

Шифрование происходит на лету, памяти расходуется немного.

Еще есть подозрение что VBox может слить информацию в какиенибудь временные файлы или своп? Возможно ли?

Все файлы он, вроде, в одном каталоги хранит, а вот засвопиться может.

[Goodvin]

Есть шифрованный раздел на котором лежат образа жестких дисков гостевой ОС - вот туда лазить ни одному живому человеку кроме меня закрыто

"Кто на ком стоял?"(С)проф. Преображенский
Хотите получать осмысленные ответы -- задавайте осмысленные вопросы.

PS Напомню, в первую очередь меня итересует какие решения наиболее популярны просты и надежны, потому как по обзорам все варианты хороши.

Тут есть один нюанс: пока Вы сами не понимаете что именно Вам нужно и по какому критерию оценивать решения, чужие решения Вам ничем не помогут. Ибо Вы не сможете оценить их надежность и безопасность.

P.S.
TrueCrypt уже смотрели?

[sash-kan]

Чем это все делают?

gpg

[teapoot10]

Доброго времени суток!

Задача не делиться своей информацией ни с компетентными ни с не компетентными заинтересованными лицами в разумном бюджете.
При этом нужно понимать все что повышает безопасность в плане несанкционированного доступа - снижает её же в отношении отказаустойчивости системы.
Отсюда в такой системе должно быть предусмотрено надежное хранилище защищенное физически (спрятанное за пределами РФ)
И второе "временное" находящееся в непосредственной близости, с хорошем каналом но защищенное от считывания информации.

Пока видятся такие варианты:

Програмное шифрование раздела(geli, gbde, TrueCrypt)
Только немного стремно - при таком подходе ежу понятно, что-то тут не чисто, и не очень понятен вопрос с репликацией на очень сильно удаленный сервер за территорию РФ. Планировал использовать ZFS отсюда и FreeBSD а следовательно TrueCrypt лесом идет. Не уверен что зашифрованный раздел в неё отформатируется.

Потом мне думается вариант с пустым компом без устройст хранения данных, но зато с 64 гигами ОЗУ благо цена не высока нынче. Что будет грузить с tfp сервера, того самого что удален, зашедшего в гости через VPN шифрованный какойнибудь Live BSD, который в свою очередь сможет грузить 64 гига полезностей например через тот же VPN можно даже без всяких шифрованных разделов да такая загрузка это долго зато надежно, да и выключать его ни кто не собирается. Опять вопрос как организовать репликацию, можно ли виртуальные диски разбить в GPT и пользовать ZFS

Третий вариант мне видится как покупка устройства с аппаратным шифрованием, но цена пугает. Да и покупать законно привезенный и "сертифицированный" это подписать себе приговор поскольку "не мое просто так стоит" уже не катит, а ввозить самому незаконно и опять же см. п.1

Народ помогите, знаю что такие варианты делают. Но мне нужно так что бы никак не прикопаться, да и вообще может есть какой простой способ подобный организовать "буфер обмена" между удаленным хранилищем.
Если взять коня в вакууме, то это должна быть Виртуальная машина в оперативке локального компа полностью синхронизированная с такойже находящейся на удаленном сервере, хотя бы раз в день. Имеющяя возможность восстановит свою работу с суточным откатом, хотябы часов за 8.

[taaroa]

Шифрование данных на диске

[taaroa]

Шифрование данных на диске

[Bizdelnick]

Програмное шифрование раздела(geli, gbde, TrueCrypt)
Только немного стремно - при таком подходе ежу понятно, что-то тут не чисто, и не очень понятен вопрос с репликацией на очень сильно удаленный сервер за территорию РФ. Планировал использовать ZFS отсюда и FreeBSD а следовательно TrueCrypt лесом идет. Не уверен что зашифрованный раздел в неё отформатируется.

Тру-крипт идёт лесом скорее по причине не труЪ лицензии и, как следствие, отсутствия нормальной поддержки со стороны СПО.
Вообще же файловая система работает поверх зашифрованного раздела, отсюда: 1) ФС можно использовать любую, 2) на уровне ФС репликация будет без шифрования.

[teapoot10]

Шифрование данных на диске

Там обсуждение свелось к вопросу "паяльника", "а у меня секретнее пиратского совта ничего нет", "а я обхожусь без пиратского софта"
А также что кото гдедо написал то ли закон о запрете шифрования а может это и не закон а просто препятствие следствию и вообще всех посадят
С выше изложенным мне все понятно, юридические риски оцениваться будут отдельно. Вопрос пиратского софта не стоит в принципе.

Програмное шифрование раздела(geli, gbde, TrueCrypt)
Только немного стремно - при таком подходе ежу понятно, что-то тут не чисто, и не очень понятен вопрос с репликацией на очень сильно удаленный сервер за территорию РФ. Планировал использовать ZFS отсюда и FreeBSD а следовательно TrueCrypt лесом идет. Не уверен что зашифрованный раздел в неё отформатируется.

Тру-крипт идёт лесом скорее по причине не труЪ лицензии и, как следствие, отсутствия нормальной поддержки со стороны СПО.
Вообще же файловая система работает поверх зашифрованного раздела, отсюда: 1) ФС можно использовать любую, 2) на уровне ФС репликация будет без шифрования.

Уверены? А в GPT можно разбить сей виртуальный жесткий диск? Как же без шифрования если я буду снимки гонять например через SSH или VPN с шифрованием?

А что уважаемые мастера думают по поводу создания бездисковой системы? Если вообще отказаться от флэшек жестких дисков и пр. благ. Загрузка ОС через PXE, ни каких логов Вам ничего. Вот только если шарнестя все это востанавление работоспособности будет долгим и мучительным.

[teapoot10]

P.S.
TrueCrypt уже смотрели?

Да смотрел, с ней есть проблемы под FreeBSD
Склоняюсь пока к geli, но сейчас с наводки sash-kan буду изучать вариант с GPG

По техники чем зашифровать уже более мение ясно.
Хочу уяснить для себя пару моментов.
Службы журналирования понятно дело в топку
в /var/log нужно монтировать шифрованный диск
своп не использовать
Еще чего?

Все файлы он, вроде, в одном каталоги хранит

В каком не подскажите?

Шифрование происходит на лету, памяти расходуется немного.

Тогда есть мысль что бы разгрузить проц, сделать виртуальный диск в памяти пускай гигов 20, и туда каждый раз копировать образ системного раздела, а раздел с боле менение статичными файлами монтировать напрямую с шифрованного диска? Имеет смысл?

[Bizdelnick]

А в GPT можно разбить сей виртуальный жесткий диск? Как же без шифрования если я буду снимки гонять например через SSH или VPN с шифрованием?

Не понял вопроса. Если виртуальный жёсткий диск - это файл, лежащий в файловой системе на зашифрованном разделе, то как это самое шифрование может повлиять на его разметку?
Гоняйте снимки по шифрованным туннелям, сколько душе угодно. Только на входе туннеля и на выходе из него они не будут зашифрованными. Устраивает такой вариант - замечательно.

[Bizdelnick]

Все файлы он, вроде, в одном каталоги хранит

В каком не подскажите?

Какой в настройках VB указан.

Шифрование происходит на лету, памяти расходуется немного.

Тогда есть мысль что бы разгрузить проц, сделать виртуальный диск в памяти пускай гигов 20, и туда каждый раз копировать образ системного раздела, а раздел с боле менение статичными файлами монтировать напрямую с шифрованного диска? Имеет смысл?

На проц нагрузка тоже весьма умеренная. Это может понадобиться не столько для разгрузки проца, сколько для разгрузки дисков.

[sash-kan]

moderator announce: две идентичные темы слиты в одну

[Doublespace]

Для надежности никто не мешает шифровать раздел рейда. Для скрытности- лучше, пожалуй, encfs- его содержимое от обычного каталога временных файлов не очень отличается. И бэкапить можно в лоб, а монтировать руками и команду из history стирать. А вот чего в luks не хватает- режима "том внутри тома" как в truecrypt, зато можно зашифровать все вплоть до корневой файловой системы. Приложив руки, можно сделать ввод пароля по ssh через удаленное подключение, и замуровать носитель где-то в труднодоступном месте.