navodila:kriptiranje

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision		 Previous revision
navodila:kriptiranje [2023/02/20 23:59] – created g1smonavodila:kriptiranje [2025/06/06 08:52] (current) g1smo
Line 1: Line 1:
 # Kriptiranje # Kriptiranje
  
-Tukaj so razna navodila za varovanje podatkov - pretoka ali hrambe.+Tukaj so razna navodila za varovanje podatkov - shrambe ali prenosa.
  
-## Kriptiranje datoteke+## Kriptiranje datoteke (pisanje)
  
 Datoteko lahko kriptiramo z `gnupg` (`apt install gnupg` / `guix install gnupg`): Datoteko lahko kriptiramo z `gnupg` (`apt install gnupg` / `guix install gnupg`):
Line 12: Line 12:
 Nato vnesemo geslo, s katerim bi radi datoteko zavarovali. Nato vnesemo geslo, s katerim bi radi datoteko zavarovali.
 Ponujena je tudi možnost hrambe gesla v obesek za ključe. Ponujena je tudi možnost hrambe gesla v obesek za ključe.
 +
 +### Dekriptiranje (branje)
 +<code>
 +gpg -d <pot_do_fajla>
 +</code>
 +## Kriptiranje diska (linux)
 +
 +Najbolje je imeti cel disk (root / `/`) kriptiran.
 +
 +V kolikor imamo več particij (ločen `home` / `var`) je praktično uporabit Linux volume manager ([[.:admin:lvm|LVM]]) na eni kriptirani particiji. Tako ni treba vpisovati gesla za vsako particijo posebej.
 +
 +[[https://wiki.archlinux.org/title/LVM|Dokumentacija za LVM nastavitev]].
 +
 +### Ustvari kriptirano particijo
 +
 +Namestimo `cryptsetup`, ki omogoča ustvarjanje ter urejanje kriptiranih particij, pa tudi nalaganje.
 +
 +`cryptsetup luksFormat <naprava>` formatira particijo, `cryptsetup loksOpen` jo naloži.
 +
 +**POZOR: ** če je `/boot` direktorij na kriptirani particiji in sistem zaganjamo z `grub2` (2.12+), mora imeti ključ vrste `pbkdf2` (in //ne// `Argon2(id)`. Ključ je mogoče tudi zamenjati z ukazom: ` cryptsetup  luksConvertKey /dev/<pot_do_particije> --pbkdf pbkdf2`.
 +
 +### Btrfs na LVM na LUKS kriptirani particiji (GNU Guix)
 +
 +Preverjeno deluje poganjanje linux sistema iz [[.:admin:btrfs|btrfs]] particije, ki nima ločenega `/boot` in se nahaja na LVM volume-u LUKS kriptirane particije.
 +
 +Izsek iz `config.scm` sistemske konfiguracije guix sistema (korenski direktorij se nahaja na `@root` subvolomue-u btrfs sistema):
 +
 +<code scheme>
 +(bootloader (bootloader-configuration
 +              (bootloader grub-efi-bootloader)
 +              (targets '("/boot/efi"))))
 +(mapped-devices
 +   (list (mapped-device 
 +           (source (uuid "3020ad8b-ee01-49e2-8a46-3f66c902ef67")) 
 +           (target "sda3_crypt")
 +           (type luks-device-mapping))
 +         (mapped-device
 +           (source "dbn-vg")
 +           (targets (list "dbn--vg-guix" "dbn--vg-home"))
 +           (type lvm-device-mapping))))
 +           
 +  (file-systems
 +   (cons* (file-system
 +           (mount-point "/")
 +           (device "/dev/mapper/dbn--vg-guix")
 +           (type "btrfs")
 +           (options "subvol=@root,compress-force=zstd,space_cache=v2")
 +           (dependencies mapped-devices))
 +          (file-system
 +           (mount-point "/home")
 +           (device "/dev/mapper/dbn--vg-home")
 +           (type "ext4")
 +           (dependencies mapped-devices))
 +          (file-system
 +            (mount-point "/boot/efi")
 +            (device (uuid "3F44-75AB" 'fat))
 +            (type "vfat"))
 +          %base-file-systems))
 +</code>
  • navodila/kriptiranje.1676937581.txt.gz
  • Last modified: 2023/02/20 23:59
  • by g1smo