Šifrovaný home a přihlášení uživatele

[RNA]

Dobrý den,
při instalaci jsem si zvolil šifrovaný home adresář. Ale ono to tu funguje tak, že hned při bootu se to ptá na jeho heslo a pak ještě se musí přihlásit uživatel a tudíž zase heslo (jsou stejná). Na jiné distribuci, kterou dosud používám, to funguje tak, že s přihlášením uživatele se současně „odšifruje” jeho /home/user. U Mageii to zjevně funguje jinak, nebo jsem při instalaci něco hrubě nepochopil.
Jak to tedy je? Umí si Mageia šifrovat home heslem uživatele? A jak a kde se to nastavuje? (Mageia 3, KDE)

[Peťoš]

Funguje to tak, ze se zasifruje cely diskovy oddil. Pri bootu pak je potreba zadat heslo, aby operacni system na tento oddil pristoupil, proto si vyzada heslo a oddil zpristupni.
Potom pri prihlaseni uzivate se pta jiz system na heslo uzivatele (jako v pripade, ze oddil neni zasifrovan).

[RNA]

Děkuji za odpověď, ale nepotěšil jste mě. Na Mintu to funguje tak, že šifrovaný je sice adresář home, ale odšifrovává se pomocí hesla uživatele při přihlášení. Čili heslo se zadává pouze jednou a také není problém počítač spustit na dálku (WOL) a pak si pomocí SSH a x11vnc si dělat co chci.
Ovšem, mám nejasný pocit, že to šifrování na Mintu se nastavovalo při vytváření uživatele, nikoliv při rozdělení a formátování disku.

Co na to Mageia? Jde tu udělat něco podobného?

Jde mi o to, skrýt přístupová hesla v profilech Firefoxu a Thunderbirdu a také certifikáty pro  VPN. Případně i politicky nekorektní materiály, ale pro ty bych mohl udělat samostatný adresář encfs.
 

[Peťoš]

Prvne: Ty, ne vy. Kazdy Joelpovi podobny darebak mi muze tykat
Jinak je to celkem zajimavy problem a pokusim se s tim chvilku zaexperimentovat na jednom testu, co mam. Ale rekl bych, ze to nebude tak jednoduche, tak se mi zda...

[RNA]

Ok, ale pokud by to znamenalo nějaký nestandardní zásah do systému, tak tím neztrácej čas. Udělám ještě nějaké pokusy s instalací, třeba na to přijdu.

[RNA]

Přeci jen se k tomu vracím.
Při instalaci Mintu (a možná i Ubuntu) naskočí dotaz, zda chci šifrovat můj home directory. Pak se při přihlášení odšifrovává pomocí hesla uživatele. Využívá se přitom encfs.
Takhle to vypadá:
https://dl.dropboxusercontent.com/u/36139062/home-crypt.jpg

Uměla by tohle i Mageia ?

To, oč mi tu běží je možnost dálkového zapnutí počítače a přihlášení přes SSH, start služeb jako např. serveru OpenVPN. Přitom chci mít šifrovaná data v home, tedy přesněji stačí mít šifrovaná data v /home/rna.

 

[Peťoš]

Bohuzel s timto nemam zkusenosti. Zkusil bych se zeptat na EN foru: https://forums.mageia.org/en/

[Yullaw]

Přeci jen se k tomu vracím.
Při instalaci Mintu (a možná i Ubuntu) naskočí dotaz, zda chci šifrovat můj home directory. Pak se při přihlášení odšifrovává pomocí hesla uživatele. Využívá se přitom encfs.
Takhle to vypadá:
https://dl.dropboxusercontent.com/u/36139062/home-crypt.jpg

Uměla by tohle i Mageia ?

To, oč mi tu běží je možnost dálkového zapnutí počítače a přihlášení přes SSH, start služeb jako např. serveru OpenVPN. Přitom chci mít šifrovaná data v home, tedy přesněji stačí mít šifrovaná data v /home/rna.

Trochu jsem pohledal na netu a to, o co se zajímáš je utilita:

eCryptfs - částečné či úplné šifrování domovského /home adresáře. Bohužel balíček pro Mageiu neexistuje (viz. http://pkgs.org/search/?keyword=ecryptfs ). Můžeš to potlačit v bugzille: https://bugs.mageia.org/show_bug.cgi?id=4171 . Nebo poprosit Peťoše k vytvoření balíčku. Ale také s tímto nemám zkušenosti a nevím, jak by to fungovalo pod MGA.

Dálé máš také možnost použití programu TrueCrypt, kde přístup k šifrovaným složkám/souborům lze i z jiných operačních systémů.

[RNA]

Jo, dík za odpověď. Truecrypt používám na flashdisku, protože je využitelný jak ve Windows (v práci konkrétně Win7), tak i na Linuxu doma a na několika dalších počítačích. (mým příbuzným jsem násilně nařídil Xubuntu místo WinXP) Škoda, že nejde na PC-BSD, ten systém mám na 2 počítačích, nebo možná jde, ale nevím o tom.

Chtěl bych Mageiu vyzkoušet v ostrém provozu, tak asi udělám extra encfs directory a přemístím profily Firefoxe a Thunderbirda tam. Stejně tak učiním i s politicky nekorektními materiály. Prakticky totéž mám na Woknech v práci, kde profily FF a TB mám na truecryptovaném úložišti.
Docela by mě zajímalo, jestli je encfs kompatibilní mezi Linuxem a BSD. Ale to už je mimo téma a taky nevím, jaký filesystem bych použil na flash disk - BSD nechce nic než UFS a Linux zase EXT. Ledaže bych použil NTFS, který umí oba tyto uninuxové systémy    achich ouvej. Už takhle mi připadá legrační, že mám server s BSD a desktop s Linuxem a ke sdílení disků používám - světe div se - Sambu. Nicméně, když je různé userID na obou počítačích, tak  NFS je holé neštěstí. Ale to už je jiný příběh.