Non puoi cifrare il root file system dopo l'installazione, a meno che tu non voglia staccare l'HD, metterlo su un altro PC, copiare tutti i dati da un'altra parte, cifrare l'HD, ricreare il file system, ricopiarci i dati, reinstallarlo sul PC e sperare che riparta dopo aver acceso un cero a San IGNUcius .

L'installer Debian offre la possibilità di cifrare il fs durante l'installazione in fase di partizionamento: perché non sfruttare quest'occasione?

Se poi vuoi cifrare solo il fs con i dati allora il discorso cambia: devi usare i comandi:

- cryptsetup luksFormat per formattare la partizione
- cryptsetup luksOpen per aprire il device con un NOME che scegli tu (poi lo trovi su /dev/mapper/NOME)
- creare il file system su /dev/mapper/NOME
- montare il fs

Poi devi aggiornare i file /etc/crypttab e /etc/fstab per montarlo al boot. C'è un sacco di documentazione in rete:

https://www.google.com/search?q=cryptsetup%20luks

Comunque io ormai da anni sui miei PC adotto la seguente configurazione:

- partizione /boot in chiaro (ext2)
- tutto il resto in un'unica partizione criptata
- la partizione criptata la configuro con LVM
- su LVM creo tutti i file system che mi servono (almeno root e swap ed i fs di dati se servono)

Se vuoi mettere la chiave in automatico al boot cerca l'opzione 'keyscript' nel manuale di crypttab. Ti consiglio di creare uno script che prende la chiave di cifratura da una chiavetta USB in maniera da usare la chiavetta come "token" di autenticazione (ovviamente lo script deve essere reperibile al boot, quindi non puoi metterlo nella partizione criptata). Se qualcuno dovesse prendersi l'HDD non riuscirebbe a fare nulla, ma se dovessero rubare l'HDD e la chiavetta in teoria sarebbero in grado di decifrare il disco.

Quello che potresti fare per aumentare la sicurezza è cifrare ulteriormente la chiave che metti sulla chiavetta USB usando come seconda chiave una stringa che è propria del tuo PC, come ad esempio il serial number della motherboard, l'hw address della scheda di rete, ecc. In questa maniera anche se dovessero prendere HDD e chiavetta non riuscirebbero a decodificare il disco perché manca la seconda chiave che serve a decodificare il tutto. Ovviamente se dovessero prendere tutto il PC avrebbero libero accesso a tutto (ma dovrebbero essere ladri mediamente smanettoni...).

Non so se sono stato chiaro.

Pietro

Per questo ti consigliavo di usare uno dei sistemi totem/kiosk già fatti... Ma non devi lasciarti spaventare dalla complessità: è tutto ben documentato.

Riguardo alla cifratura: l'anello debole di ogni sistema crittografico è sempre la password/passphrase! Su LUKS la chiave di cifratura è memorizzata all'interno della partizione criptata ma è a sua volta criptata con una password: in parole povere, la password che devi inserire per montare il file system serve a sbloccare la chiave di decodifica vera e propria.

Comunque, se la partizione root è in chiaro e quella dati/home è criptata, anche se ti prendono l'hd al massimo riusciranno a leggere quella in chiaro: la partizione criptata risulterà impossibile da leggere a meno che non sappiano la password (che ovviamente non devi memorizzare sulla partizione in chiaro!). Più la password è forte e meno rischi corri.

Ma perché non vuoi criptare tutto il disco in fase di installazione lasciando solo /boot in chiaro? Qualche dato sensibile nella partizione root c'è sempre... banalmente, potrebbero tentare un brute force attack sul file delle password, leggere eventuali password di reti wi-fi, consultare i log di sistema....

Che tipologia di dati hai bisogno di criptare? Se si tratta di pubblicità immagino che hai tutto l'interesse a diffonderla il più possibile...

Alternativamente puoi fare un totem "stupido" senza dati e prendere tutte le informazioni da un server remoto blindato attraverso protocolli web.

tab ha scritto:

Un mio amico mi suggeriva di crittare anche il boot e di inserire una password direttamente nel grub, per avere ancora più sicurezza.

Per ogni partizione che decidi di cifrare, se il sistema deve avviarsi da solo, allora bisogna registrare in chiaro una password in un posto accessibile prima di montare tale partizione. Se cifri la home, puoi mettere la password nella root. Se cifri anche la root, devi metterla nel boot. Se cifri l'intero disco, devi metterla in una chiavetta esterna, il che ha il vantaggio che la password e i dati protetti da essa sono su due dispositivi fisicamente separati. Questo potrebbe disorientare il malintenzionato della domenica, ma non fermare quello davvero agguerrito.

Faccio un intervento NON tecnico.
Sicuramente non è complicato trovare delle aziende che possono fornirti quello che chiedi bello è pronto e più o meno personalizzabile sia a livello tecnico / contenuti che di "scatolone che contiene il totem".
Il costo potrebbe essere un po' più alto che "tirarlo su" per conto tuo (che poi, se metti insieme tutto...) ma, se ti rifornisci, hai un livello di responsabilità minore e, questo, non è banale. Vedi il "Pietro Hacker" . Se Pietro avesse manomesso un apparecchio da te fornito l'eventuale querela non puoi "scaricarla" al fornitore.
Se stai pensando di lanciare una "linea di Totem per agenzie" o cose così la strada che hai preso è corretta, tutt'altro che semplice e, soprattutto, la questione "come fare il totem" è il 20% (abbondante) del tutto.
Se devi fornire una manciata di totem a qualche cliente per farci girare pubblicità più o meno tua (nel senso che la rivendi) il mio consiglio è: trova un fornitore di Totem che sia all'altezza delle tue aspettative

Bon... torniamo a parlare di bash...