Jak nainstalovat truecrypt na server s Debianem

linuxový balíček odsudhttps://www.veracrypt.fr/en/Downloads.html+ instalace přes konzoli pod rootem nefunguje?

Turingův test opravdu nepatří mezi moje oblíbená témata diskuze

Díky a jak se takový balíček instaluje?sudo apt install veracrypt-1.23-setup.tar.bz2tak asi ne, že? :(

https://www.linuxbabe.com/ubuntu/install-veracrypt-...

by člověk čekal, že když se hrabeš v Debianu serverové edice, tak že s linuxem nějaké zkušenosti už máš...

Turingův test opravdu nepatří mezi moje oblíbená témata diskuze

Všichni jsme se se schopností spravovat Debian už narodili.A kdo ne, je odsouzen k tomu se v tom nikdy nehrabat, jinak to schytá od Ala.

tak spíš jde o to, že správa serveru je obecně vyšší level a Debian taky není nic pro začátečníky... Takže bych čekal nějakou snahu si nejdřív něco dohledat a ne hnedka plácnout že jako nejde pomocí APT nainstalovat tar.bz...

Turingův test opravdu nepatří mezi moje oblíbená témata diskuze

Jak tu diskuzi tak sleduji, tak hádám, že máte VPS s Debianem.A tam je vám TrueCrypt dost nahouby. Protože klíč k otevřeným kontejnerům si drží v paměti a tu dokáže vytáhnout hypervizor, v horším případě díky Spectre i sousední VPS.Pokud váš poskytovatel zálohuje snapshoty i s pamětí, nemusí vám pomoct ani server vypnout. Pokud chcete schovat data před někým rafinovanějším, než vlastní mladší sestrou, hledejte jiné cesty.

Ano, jedná se o VPS, díky za informace. A ty jiné cesty jsou?

Vlastni dedikovany server. Ale je to trochu narocnejsi a drazsi nez VPS. A musis resit spravu, zalohy apod.Bezpecnost neni zadarmo. Ani jednoducha. Na druhou stranu opravdovou bezpecnost malokdo potrebuje.

Tak netušíme, co od toho tazatel vlastně chce.Dá se udělat i to, že se na VPS udělá klasické Windows sdílení (samba), to se připojí k domácí stanici, a truecryptový kontejner se umístí na VPS, ale otevírat se bude na stanici.Tak server nebude nikdy znát obsah kontejneru ani heslo k němu.Cena za to je poněkud zoufalá rychlost, ale to bezpečí už tam je.

Pro nejaky maly kontejner by to mozna mohlo fungovat, ale jakmile zminis "gigabajt" tak to nejspis bude nepouzitelne...I kdyz priznavam, ze netusim jak detailne dokaze TrueCrypt pracovat se s kontejnerem sdilenym pres Sambu - zejmena co se tyka ukladani zmen. Osobne bych to ale nezkousel, vypada to jako celkem jista cesta k poskozenemu FS (drive nebo pozdeji).

Používáme to přes iSCSI a chodí to i na terabajtových kontejnerech.Přes sambu to nemusí být špatné, už delší čas se to využívá jako úložiště pro HyperV virtuály, tak Truecrypt by to mohlo zvládnout také.Jak píšeš, cesta k poškozenému FS to je, každé neočekávané odpojení kontejneru bude loterie.

iSCSI a Samba jsou trochu jine urovne :) Ale kdyz to zvlada HyperV, snad to zvladne i TrueCrypt. Diky za info, uz jsem z tehle urovne par let pryc.

A evidentne mam dnes slevu na slovo "urovne" :(

A co LUKS? Ten by neuměl bezpečně zašifrovat a mountnout nějaký adresář?

Stejný problém jako Truecrypt.

Hm, tak co teda není problém? Nebo nic neexistuje?

U VPS na jakoukoliv bezpecnost zapomen. Ten kdo ti ji poskytuje ma pristup ke tve VPS RAM a ten sifrovaci klic muze kdykoliv precist.Porid si vlastni zelezo, ve vlastni uzamykatelne kleci v datacentru. Jedine takto si muzes byt jist (ale nikoliv na 100 procent) ze mas data v bezpeci.

Pokud ma nekdo/neco (hypervizor) plny pristup k tve pameti, kde jsou sifrovaci klice a dokonce schopnost tu pamet kdykoli ulozit a analyzovat, tak neexistuje.Ale evidentne se nezabyvas zakladnim pravidlem - bezpecnostni opatreni a jejich naklady/slozitost se odvozuji od miry rizika a dulezitosti zabezpecovanych informaci/dat. Pokud chces schovat svou historii prohlizeni pred manzelkou nebo ISP, resis to zbytecne slozite. Pokud chranis utajovane informace, jdes na to spatne. Zbytek viz vyse.

a k čemu to hodláš používat? Proč na ten Truecrypt kontejner nepoužiješ nějaký normální cloud? Nebo potřebuješ šifrovaný cloud s online rozhraním?

Turingův test opravdu nepatří mezi moje oblíbená témata diskuze

Existuje, však jsme vám to popsali.Na VPS musí být data jen v šifrované podobě, dešifrovat se musí až lokálně.Pak ale nepotřebujete VPS, stačí vám vzdálené úložiště.

Vzdálené uložiště mi je k ničemu, potřebuji spouštět soubory v tom šifrovaném kontejneru. Dát mount na zašifrovaný adresář, spustím potřebné soubory, dám unmount a je to.

A může se dostat provozovatel těch VPS i na moje soubory které mám na tom VPS?

Ano.

A jak? Že se přihlásí jako root heslem které nějak odchytil? Jelikož z node se tam těžko dostane když je vlastně celý kontejner pouze jeden soubor, ne?

Ano, celý ten kontejner může být jeden soubor (a nebo přímo oddíl na disku) a on si ten soubor/oddíl normálně přimountuje.Do tvého kontejneru se vůbec nemusí přihlašovat, prostě si ho připojí jako další disk.

Aha, a pokud bude mít ta VPS šifrovaný celý disk?

Hele, co přesně nechápeš na tom, že si provozovatel té VPS může kdykoliv počkat na to, až budeš mít ten disk rozšifrovaný, a ten dešifrovací klíč si pak jednoduše vytáhnout z paměti té VPS?

To celkem chápu, ale nevěřím, že je to tak jednoduchý to mountnout...

Je to fakt naprosto jednoduché.Bez jakýchkoli pokročilích znalostí to zvládne i prostý správce. Jakmile dešifrujete disk a klíč bude v paměti, udělá si snapshot VPS i s pamětí (něco jako zálohu) a ten snapshot si pak zkopíruje na flashdisk, donese domů, a zapne klon vašeho VPS někde úplně jinde. A voilá, nastartuje to už nabootované a s dešifrovaným kontejnerem.AMD s Epycem se v tom pokusilo udělat trochu rozruch a nabídnout šifrovanou paměť pro virtuály, takže teoreticky by mohlo být možné tomu zabránit. Než se ale Epyc na trhu ohřál, v té funkci se našla fatální chyba, takže zatím neexistuje nic jako bezpečné virtuální prostředí. Zapomeňte.

Díky moc ;)Zkoušel jsem to moutnout ale nejde mi to.Příkaz: pct mount 100Error: Configuration file 'nodes/proxmox/lxc/100.conf' does not existJedná se o úplně čistou instalaci s jediným vytvořeným VM kontejnerem s názvem 100. Nemá někdo zkušenosti?

A to sme ešte nespomenuli, že súčasné procesory obsahujú jednu nádhernú feature pomocou ktorej môžu byť data z RAM odoslané cez sieťovú kartu bez toho, aby to aký-koľvek operačný systém zaregistroval. Volá sa to Ring -3. Je možné dohladať pdf ako to funguje. Nepoteší to ľudí, ktorým ide o najmaximálnejšiu bezpečnosť.