usbstick sifrovany pomoci dm-crypt
Petr Vejsada
daemon na nospam.exe
Čtvrtek Říjen 21 18:11:39 CEST 2004
Dracula007 wrote:
> planuji pouzivat USB disk k ukladani a prenosu dat mezi praci,
> domovem a notebookem, a potreboval bych je nejak rozumne
> zabezpecit. Vzhledem k tomu ze se ten USB stick se v pohode da
> pripojit jako dalsi disk (diky Mass Storage), pojal jsem myslenku
> provest to pomoci dm-cryptu. Otazka je jak - vsechna howto ktera
> jsem na netu nasel pocitaji s USB diskem pouze v roli tokenu, coz
> nechci.
disk je blokove zarizeni, na nem mohou byt particie, coz jsou zase blokova
zarizeni. Na nich muze byt filesystem nebo cokoli jineho, treba zasifrovany
filesystem (cryptoloop, losetup). DM-crypt zatim nepouzivam/nezkousel jsem. Z
tohoto hlediska neni rozdil mezi disketou, diskem, usb-stickem, cflash ci
jinou pametovou kartou.
> Navic potrebuji aby bylo mozne USB stick jednoduse pripojit a
> odpojit, tj. abych nemusel do konzole a prepinat se na roota apod.
> Hledal jsem nejakou moznost jak to udelat primo v ramci mountu
> (treba nejakym externim skriptem apod.), ale nic mne nenapada.
mam v util-linux patchnuty i mount, takze to mohu mountnout uplne stejne jako
treba disketu, staci to zapsat do fstabu a nemusim byt root, treba takhle:
/dev/sdb1 /mnt/cflash.crypt auto \
user,nodev,nosuid,noauto,loop=/dev/loop1,encryption=blowfish,keybits=256 \
1 1
zasunu cflash card (nebo usb stick, to je jedno)
pak zadam jen:
mount /mnt/cflash.crypt
a zadam heslo (lze samozrejme modifikovat a brat klic ze stdin ci odkudkoli)
> http://www.saout.de/misc/dm-crypt/util-linux-2.12-cryptsetup.patch
patchu na util-linux je hrozne moc a je v tom bordel, nekde jsem to komentoval
na rootovi, myslim, ze u clanku o dm-cryptu.
> na util-linux, ale jeste nez se do toho pustim tak bych se chtel
> zeptat jestli to nekdo nevyresil nejak jinak. Jedine dalsi co mne
> napada je pouzit gnupg, coz ma vyhody (portabilitu apod.) ale zase
> to nema to kouzlo jako dm-crypt.
no kdyz si budes davat velky pozor, aby na tom usb sticku nikdy nebyly data v
nesifrovane forme, tak by to slo. Nicmene cryptoloop (ci dm-crypt) mi pripada
o mnoho pohodlnejsi.
--
Zdraví
Petr
Další informace o konferenci Linux