Чем зашифровать несколько баш-файлов и запускать их расшифрование для всей сессии пользователя?
Исходные данные: Десктоп на вэйланде (swaywm).
Приведу сначала пример того, как я поступаю с ssh.
Система загружается на уровень 3 (если в терминологии олдов), то есть без графики. Логинимся, вводим: eval "$(ssh-agent -s)" ; ssh-add ~/.ssh/my_ssh_key
Вводим пароль от ключа. Стартуем sway. Теперь, на все время сеанса, получаем загруженный ssh-ключ в режиме session-wide. То есть, открывая терминалы (termite, alacritty и т.д.), можно без ввода пароля подключаться к удаленным ssh-серверам, на которых существует вторая пара (публичный ключ). Удобно, вобщем. (грубо говоря это некий костыль, вместо какого-нибдь гномовского графического агента, типа gnome-keyring).
А суть вопроса такая:
В .bashrc есть "инклуды" других моих двух файлов: source ~/.ssh_aliases source ~/.wlfreerdp_functions
Внутри первого соответственно ssh-алиасы, а внутри второго функции (по сути те же алиасы в моем случае) для запуска подключения посредством wlfreerdp к виндовым машинам. И там айпиадреса, логины и пароли в открытом тексте.
То есть, если кто-то завладеет моей машиной, получит полный доступ ко всем виндам, а также имена пользователей и адреса ssh-серверов.
Как можно зашифровать эти два файла, но чтобы при логине в систему либо автоматом спрашивался пароль к этим зашированным файлам и по аналогии с вызовом ssh-агента, и все алиасы и функции начинали работать session-wide?
Если такое невозможно, то какой тулзой шифровать дешифровать? Я так понимаю. просто придётся в скрипт в пару строк типа:
Вызываем агент расшифровщик - вводим пароль - делаем source ~/расшифрованные_файлы).
gpg или есть еще что-то более подходящее здесь?
Зашифруй домашнюю директорию encryptfs, первая же ссылка в гугле, ну и конечно отходя от машины блокируй консоль... без пароля или доступу к резервной копии ключей шифрования получить доступа к файлам не получится
p.s. на сколько я помню, установщик linux по умолчанию предлагает это сделать
Когда опубликовал вопрос, потом понял, что предложат зашифровать весь хоум и, что я был не совсем корректен в описании своих "хотелок". Предполагаем, что пришли с аудитом. Нужно показать рабочую систему, но без раскрытия данных в этих двух файлах. Лайтовая версия трукриптовского скрытого раздела, когда вводя тот или иной пароль, система загружается либо в decoy, либо в hidden. Поэтому, да, был не прав спрашивая про ввод пароля на этапе входа в систему - тут именно спрятянный в дебрях скрипт вызывать уже после входа. Но вот чем?
p.s. Арчлинукс при установке ни о чём не спрашивает. :)
Т.е. тебе нужно менять содержимое определенного каталога или нескольких по команде? ну и монтируй в них свой криптоконтейнер, где его размещать сам придумай
Все зависит от того, с какой целью "пришли с аудитом". Если пришли просто так, для галочки, глубоко искать не будут. Если же пришли за чем-то конкретным - стоит предположить, что им тоже известно про то, что есть у трукрипта разные типы разделов...
brar,
Не обязательно Шифрование всего хоума, вполне можно через ecryptfs шифровать отдельный каталог, в котором лежат нужные файлы, который можно смонтировать потом как раздел. У меня так на машинах шифруются некоторые данные, кэш браузера например.
Простой
