Настраивайте LUKS прямо в процессе установки. Без этого – никакой защиты корня, никакой гарантии неприкосновенности. Используйте ручной разметчик, отключайте автоматические профили, добавляйте раздел вручную. Ключ – не пароль пользователя, а уникальная фраза, генерируемая вне Red. Пример конфигурации:
cryptsetup luksFormat /dev/sda3
cryptsetup open /dev/sda3 rootcrypt
mkfs.ext4 /dev/mapper/rootcrypt
Автозапуск? Только через initramfs. Без корректной записи в /etc/crypttab и /etc/fstab Red не загрузится. Будет висеть. Или падать.
Внимание! Используйте только GRUB второго поколения с поддержкой LUKS – старые версии его не читают.
Для внешних носителей используйте cryptsetup luksOpen и монтируйте вручную. GUI в Red не гарантирует корректное закрытие контейнера. Да, упростит. Но потеря ключа – конец. Никто не восстановит. Ни вы, ни техподдержка.
VeraCrypt? Поддерживается, но с оговорками. Только через бинарники, собранные под EL9. Версия в стандартных репозиториях – нерабочая. Скачивайте с официального сайта. Пример монтирования:
veracrypt --mount /path/to/container.hc /mnt/secure
Не используйте Fuse-монтаж без изменения прав доступа. Red блокирует монтирование в /media пользователями без полномочий root.
Важно помнить: каждый тип защищённого хранилища в Red требует своего подхода. Убедитесь, что вы понимаете, что делаете. Автоматизация – не всегда союзник.
Никаких решений «по умолчанию». Только кастомизация. Только жёсткий контроль за точками монтирования, скриптами автозагрузки и логикой шифрования.
Храните ключи в отдельном offline-носителе. Никогда не оставляйте их в /home, /etc или тем более /root. Это дыра. Прямая.
Паранойя? Да. Но в Red иначе нельзя.
Содержание статьи
Настройка LUKS для шифрования корневого раздела при установке Red OS
Выбирайте ручную разметку. Только так получите контроль над каждым байтом. Автоматические сценарии – враг безопасности. Раздел под корень – отдельный, не совмещать с загрузчиком.
В инсталляторе выбирайте Добавить том, указывайте тип LUKS. Формат – ext4 или xfs. Последний – быстрее, но хуже восстанавливается. Имя устройства лучше задать сразу: rootcrypt, без пробелов, без кириллицы.
Ключ доступа не должен совпадать с паролем пользователя. Генерируйте вручную: pwgen -s 32 1. Сохраняйте вне хоста. Никаких скриншотов. Никаких облаков.
После настройки тома добавляйте точку монтирования /. Флаг шифрования включается автоматически. Проверка: в списке устройств появится надпись encrypted.
Далее – конфигурация загрузчика. Используйте GRUB 2. Добавьте строку в параметры ядра:
rd.luks.uuid=luks-UUID
UUID можно получить через: blkid. Если не добавить – система не загрузится. Всё. Черный экран. И паника ядра.
Помните: не включайте SWAP в тот же контейнер. Особенно на машинах с ограниченным RAM. Иначе получите фризы на уровне ядра и невозможность восстановления после сбоя.
После завершения установки проверьте содержимое /etc/crypttab. Пример:
rootcrypt UUID=XXXX-YYYY none luks
Ошиблись в UUID – готовьтесь к chroot с Live-носителя. И долгим танцам с GRUB.
Проверка загрузки. После старта – должен появиться запрос на ввод ключа. Нет запроса – ищите ошибку в initramfs. Пересоберите вручную: dracut -f.
Важно! Используйте
rd.luks.allow-discardsтолько если уверены, что SSD поддерживает trim на зашифрованных устройствах. Иначе – потеря производительности, деградация со временем, и невозможность использовать TRIM-политику.
Точка. После ввода ключа – запускается логин. Убедитесь, что работает sshd. Потому что если отвалится интерфейс – без доступа к консоли не отладите.
Использование cryptsetup для шифрования внешних накопителей в Red OS
Сначала определите имя устройства. Не доверяйте автоподключениям. Используйте:
lsblk -o NAME,SIZE,FSTYPE,MOUNTPOINT
Пример: флешка на /dev/sdb. Удалите старую разметку:
wipefs -a /dev/sdb
Дальше – форматирование контейнера. Используйте только второй LUKS:
cryptsetup luksFormat --type luks2 /dev/sdb
Пароль – уникальный. Без фамилий, дат, повторов. Желательно – минимум 20 символов. Проверяйте генератор:
openssl rand -base64 24
Открытие контейнера вручную:
cryptsetup open /dev/sdb secure_usb
Если ключ верный – появится устройство /dev/mapper/secure_usb. Форматируйте в любой подходящий тип:
mkfs.ext4 /dev/mapper/secure_usb
Монтирование:
mount /dev/mapper/secure_usb /mnt
Перед отключением – всегда отмонтировать и закрыть. Не делайте hot-unplug. Получите повреждение заголовка:
umount /mnt
cryptsetup close secure_usb
Внимание! Повреждение заголовка LUKS = потеря доступа. Бэкап создаётся один раз, при инициализации. Используйте:
cryptsetup luksHeaderBackup /dev/sdb --header-backup-file luks-header.img
Хранить копию отдельно. Не на том же носителе. Не в домашнем каталоге.
Для автоматического открытия – прописывайте UUID и alias в /etc/crypttab. Не рекомендуется на переносимых носителях. Особенно на публичных машинах.
Важно помнить: автоматическое монтирование через udev в Red требует создания пользовательских правил. Без них интерфейс будет отбрасывать запрос. Смонтируете вручную – будет работать. Через файловый менеджер – нет.
Отдельный момент – использование discard. На внешних SSD – возможно, но только при наличии trim-команды. Проверяется так:
hdparm -I /dev/sdb | grep TRIM
Если поддерживается – добавьте параметр allow-discards при открытии. Не злоупотребляйте. Вызывается вручную:
cryptsetup --allow-discards open /dev/sdb secure_usb
Никаких LUKS1 для новых носителей. Поддержка ограничена. Только LUKS2. С ключами на основе PBKDF2 или Argon2id. Первый быстрее. Второй – надёжнее.
Автозапуск не нужен. Контейнеры подключаются вручную. Без следов в системе. Без записи в лог. Только если вы не хотите быть замечены.
Создание и монтирование зашифрованных контейнеров с помощью VeraCrypt в Red OS
Скачивайте только с официального сайта. В репозиториях версия мертва. Невозможно собрать. Библиотеки не совпадают. Проблемы на этапе линковки и запуска GUI. Используйте архив tar.gz с предсобранным бинарником.
Распаковывайте вручную. Не ставьте через ./veracrypt-setup-gui.sh – не сработает на многих сборках. Просто выполните:
chmod +x veracrypt
sudo mv veracrypt /usr/local/bin/
Для создания контейнера – запускайте в интерактивном режиме:
veracrypt --text --create
Следуйте инструкциям. Размер – кратен 4096. Алгоритм – AES или Twofish. Лучше первый. Совместимость выше. Файловая система – ext4, если планируется использование внутри Red. FAT – только для совместимости с Windows.
Внимание! Не используйте скрытые тома без подготовки. Ошибка в расчёте объёмов – контейнер повреждён. Восстановление невозможно. Вся информация теряется навсегда.
Монтирование вручную. Без GUI. Без ошибок. Пример:
veracrypt /home/user/secure.vc /mnt/secure
Обязательное условие – права root. Иначе: Permission denied. Не поможет sudo. Только прямой вызов от имени администратора.
Для размонтирования:
veracrypt -d /mnt/secure
Или снять всё сразу:
veracrypt -d
Важно помнить: VeraCrypt не интегрирован в PAM. Это значит – нет автоматической разблокировки. Каждый контейнер – вручную. Каждый запуск – с вводом пароля. Без вариантов.
Для автоматизации – создавайте скрипты. Но не храните пароли в открытом виде. Никогда. Даже с chmod 700. Даже в /root. Это ловушка.
Проблема с монтированием? Проверьте модуль FUSE. Иногда Red блокирует его на уровне SELinux. Проверьте логи:
journalctl -xe | grep fuse
Если ошибка – добавьте правило или временно отключите SELinux:
setenforce 0
Не забудьте вернуть обратно после теста. Иначе создадите брешь. И забудете о ней. А потом получите доступ к контейнеру от кого-то, кто не должен был его видеть.
Используйте VeraCrypt, если нужна переносимость. LUKS лучше для стационарных решений. Но если нужна мобильность – контейнер VeraCrypt читается везде. Главное – не терять ключ. Второго шанса не будет.