У меня наконец-то дошли руки настроить шифрование на ноуте. Традиционно не обошлось без последствий.
Для начала я сделал полный бэкап раздела /home
dd if=/dev/md126p3 of=/media/arch/home.img bs=1G
После проверки корректности образа можно приступать к развлечению. Форматируем в шифрованный раздел.
cryptsetup luksFormat /dev/md126p3
Для ручного монтирования можно выполнить ледующие команды.
cryptsetup open /dev/md126p3 home
Эта команда создаст устройтво /dev/mapper/home. Этим устройством можно пользоваться как обычным разделом.
mkfs.ext4 /dev/mapper/home
mount /dev/mapper/home /home
Само собой эти команды можно запихать в скрипт, который вызывать при логине, но вводить пароль два раза не очень хочется. Поэтому я настроил автомонтирование через pam_mount по вот этому гайду.
После этого пришло время восстановить данные. Внезапно выяснилось, что образ, который я создал не открывается. Я решил развернуть образ на диск. На это понадобилось порядка двух часов. После этого предполагалось вытащить файлы с помощью R-Studio. Выяснилось, что он стоит 80$ и я подумал, что опять придется нарушить копирайт, но раздел распознался и я спокойно перенес все файлы.
Итоговая схема выглядит так:
- Загружается система
- Я ввожу логин и пароль
- Пароль передается в библиотеку libpam.so
- раздел расшфровывается и монтируется
Незашифрованным у меня остался только /boot и / Но там нет никаких данных.
Забавно, что текущая версия не сильно отличается от того, что я придумал пару месяцев назад.
Скорость шифрования достаточно хорошая — 1Gb/s. Все за счет аппаратной поддержки AES процессором.