FreeSource Encrypted - File - System

Навіщо шифрування файлових систем?

Завдяки падінню цін на флешки, а також зниження цін на пристрої типу ZIV-Drive, нарешті з'явилася можливість легко носити з собою великі обсяги інформації. Звичайно ці пристрої рідко губляться або крадуть.

Крім того, часто доводиться зберігати дані на комп'ютері, до якого мають доступ інші люди.

Страшна історія

Ось уже місяць я постійно їжджу в офіс із флешкою. На флешці у мене завжди валяється велика кількість інформації різної цінності, яка мені потрібна під рукою. Кілька днів тому її втратив. Якщо її знайде користувач Windows, то просто відформатує тамтешній ext3. А якщо користувач Linux, то він отримає певну кількість конфіденційної інформації. Мені не хочеться більше повторювати цей досвід, тому я почав використовуватиEncFS.

Існуючі шифровані файлові системи

У світі Linux? вже давно існує відносно зручний засіб шифрування - crypto loopback filesystem. Основна ідея у тому, щоб прозоро шифрувати блоковий пристрій, встановлюючи у ньому довільну файлову систему.

Основний мінус такого підходу — необхідність заздалегідь резервувати місце під дані, що шифруються. Крім того, монтування такого розділу вимагає root-привілеїв.

Переваги EncFS

Короткий огляд можливостей

Встановлення EncFS

  1. Встановлюємо fuse (в ALTLinux це пакет avfs-fuse), бажано версії не менше 1.9 (тільки з неї з'явилася підтримка видалення відкритих файлів з їх подальшої роботи, що є загальноприйнятим методом роботи з тимчасовими файлами).
  2. Встановлюємо пакет з модулем fuse для ядра, що використовується.
  3. У /etc/modules додаємо рядок'fuse' (в останній збірці avfs-fuse, що зараз у Sisyphus це робити необов'язково)
  4. modprobe fuse
  5. chmod u+s /usr/sbin/fusermount (на жаль, інакше він не працює)
  6. Далі можете зібрати та встановити librlog та encfs. Користувачі Sisyphus можуть отримати ці пакети звичайним шляхом (apt-get install encfs avfs-fuse)

Використання EncFS

Створюєте два порожні каталоги:

При першому запуску можна використовувати стандартний параноїдальний режим, а можна самостійно виставити всі налаштування. При наступних монтуваннях буде достатньо лише ввести пароль.

Я настійно рекомендую використовувати режим налаштування «експерт», вибираючи за замовчуванням усі опції крім однієї: “filename initialization vector chaining”, її краще відключити, бо від неї зараз більше шкоди, ніж користі.

Крім того, я настійно не рекомендую дозволяти розділу переповнюватися, у мене є підозра, що цей вид помилок обробляється некоректно.

Зараз я активно тестую цю файлову систему, і, виявивши її в деяких випадках неадекватну поведінку (втрату доступу до файлу, файл стає невидимим, хоча і залишається на диску, і пов'язано це саме з filename initialization vector chaining). Крім того, якщо ця опція включена, то стає неможливим створення hardlink'ів (спочатку я це прийняв за недолік самої Enc FS?, але усвідомивши, як працює ця опція і відключивши її все стало нормально).

Недоліки EncFS

1. Маленька дивина – при монтуванні/розмонтуванні всі шляхи треба вказувати повністю. Тому для себе я написав скриптик encfs.sh:

Думаю треба було зробити його просто або.

2. Увага зараз mutt не може коректно додавати нові повідомлення в maildir. У encfs всіфайли мають різні inode-numbers, навіть hardlinks, чого mutt не розуміє. Багрепорт у багзилу я вже відправив.

EncFS — дуже цікавий і перспективний засіб безпеки, проте поки що є серйозні недоліки, що помітно обмежують її застосування.

(C) Денис Смирнов 29 Oct 2004 Розміщення цього документа на інших Інтернет-ресурсах, а також у друкованих виданнях не допускається.

Відгуки - тут ви можете висловити свою думку щодо вмісту сайту Сторінки, що посилаються на цю: Статті

Сторінки, що посилаються на цю: Статті