По материалам http://forums.gentoo.org/viewtopic.php?t=31363
-----------------
Подготовка
-----------------
1. Рабочая система с раздельной /boot партицией.
Если система не работает на обычной файловой системе, то криптование
ничего не исправит.
2. loop-AES исходники, скачать можно здесь http://sourceforge.net/projects/loop-aes/
Прочитать loop-AES README что бы знать где копать если что нибудь
пойдет не правильно.
3. исходники для util-linux-2.11y.
Получить можно на любом ядреном сайте типа ftp://ftp.kernel.org/pub/utils/util-linux.
4. Knoppix или Knoppix lite нарезанный компакт.
Получить можно на http://www.knoppix.net
и необходимо убедится что вы можете загрузится с этого компакта. В
knoppix уже есть поддержка loop-AES.
5. !!!BACKUP YOU DATA
СДЕЛАЙТЕ КОПИЮ ВАШИХ ДАННЫХ!!!
------------------
Установка
------------------
1. Пересобрать ядро с установками:
CONFIG_MODULES=y
CONFIG_BLK_DEV_LOOP=n ([y] or [m] НЕ РАБОТАЕТ),
CONFIG_BLK_DEV_RAM=y,
CONFIG_BLK_DEV_RAM_SIZE=4096,
CONFIG_BLK_DEV_INITRD=y,
CONFIG_MINIX_FS=Y (это потому что ramdisk is minix),
CONFIG_DEVFS=Y (dev file system support (EXPERIMENTAL)=Y)
CONFIG_PROC_FS=Y
(остаток по желанию)
Файловая система должна быть включена в ядре как [Y] потому как ядро
не сможет получить доступа к модулям с зашифрованной файловой системы,
до тех пор пока не будет знать ключ расшифровки.
остальное можно оставить в виде модулей - по желанию так сказать
2.Перейти в каталог /usr/src и развернуть loop-AES.хххх.tar файл
(loop-AES-v1.7a.tar.bz2 в нашем случае)
перейти в новообразованный каталог и запустить make.
в результате получим драйвера к loop device которые знают как
шифровать/расшифоровать файловую систему
3. Скопируйте util-linux-2.11y.tar
(следите за совпадением diff от loop-AES и util-linux)
в loop-AES каталог и разверните, затем переместитесь во вновь
созданный каталог (cd util-linux-2.11y)
ПОДМОНТИРОВАТЬ ВАШУ ЗАГРУЗОЧНУЮ ПАРТИЦИЮ К /BOOT
теперь несколько команд
4. В loop-AES каталоге отредактировать переменные в файле
build-initrd.sh
BOOTDEV
BOOTTYPE
CRYPTROOT
ROOTYPE
CIPHERTYPE
USEDEVFS=1 (включена поддержка devfs в ядре )
USEPIVOT=1
с необходимыми значениями, (остальное оставить по умолчанию)
BOOTDEV=/dev/ide/host2/bus0/target0/lun0/part1 (это будет /dev/hde1)
CRYPTROOT=/dev/ide/host0/bus0/target0/lun0/part10 (это будет /dev/hda10)
(посмотреть можно ls -aR /dev/ide/) затем выполнить
sh build-initrd
этой командой создается ramdisk что бы потом можно было присоеденить
криптованную систему при загрузке и передать пароль ядру
#~~~~~~~~Пример~~~~~~~~~~~~~~~~~
#build-initrd.sh
#15+0 входных записей
#15+0 выходных записей
#32 inodes
#15 blocks
#Firstdatazone=5 (5)
#Zonesize=1024
#Maxsize=268966912
#
#Файловая система 1K-блоков Испол Доступно Исп%Подключено к
#/usr/src/loop-AES-v1.7a/tmp-i-13211 10 7 3 70% /usr/src/loop-AES-v1.7a/tmp-d-13211
#-rw------- 1 root root 1888 2003-04-17 02:33 /boot/initrd.gz
#Copying /sbin/losetup to /boot
#Copying /sbin/insmod to /boot
#Copying /lib/libc.so.6 to /boot
#Copying /lib/ld-linux.so.2 to /boot
#Done.
#~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
5. Загрузится с Knoppix CD с параметром knoppix 2
для получения root терминала, мы не грузим то что не надо и ускоряем
процесс. после этого отдать команду на исполнение:
8. Перезагрузится (не забыть вытащить knoppix CD)
в GRUB выбрать Encrypted Root
и когда попросит выдать ему парольную фразу.
9. Если что то не работает то прочитать README loop-AES файл и
загрузится с knoppix CD и переделать losetup с пункта 6.
(dd if=/dev/hda2 of=/dev/loop0 bs=64k conv=notrun ПОВТОРЯТЬ НЕ НАДО)
Для расшифровки файловой системы надо
1) Загрузиться с Knoppix
2) losetup -e AES256 /dev/loop0 /dev/hdaENCRYPTED (ваша рутовая партиция)
Для проверки можно выполнить
2.5)
mount /dev/loop0 /mnt/222 (подмонтировать директорию)
Vova
