Поддержка luks-nuker
luks-nuker — это утилита уничтожающая зашифрованные LUKS-разделы при вводе специального тревожного пароля.
Установка
# apt-get install luks-nukerПоследние образы ALT Mobile на Сизифе должны идти с предустановленным luks-nuker.
Настройка
Необходимо отредактировать конфиг
/etc/luks-nuker.conf. Все доступные директивы представлены в файле и снабжены комментариями. ВНИМАНИЕ: КОНФИГ СТРОГО В КОДИРОВКЕ ASCII, НЕ ДОБАВЛЯЙТЕ КИРИЛЛИЦУ ДАЖЕ В КОММЕНТАРИИ.В большинстве случаев достаточно отредактировать директивы
hashиpartitions_to_nuke.Для отладки можно задать
stderr_log_level:verboseскажет, что будет сделано, аdebugещё напечатает значение всех параметров.После отладки необходимо закомментировать директиву
no_action, без неё luks-nuker будет делать всё, кроме самого уничтожения разделов.Сделать резервную копию LUKS-заголовков с помощью cryptsetup-luksHeaderBackup(8) и её сохранить в безопасном месте.
Добавить в
/etc/initrd.mkстрокуFEATURES += luks-nuker.Пересобрать initrd командой
make-initrd.
Рекомендации
Во время установки системы можно выделить специальный раздел для совершенно секретной информации и уничтожать только его, а не зашифрованный корень. Можно также добавить тревожный пароль к основному LUKS-разделу, что приведёт к успешной разблокировке основного вместе с уничтожением совершенно секретного. Для стороннего наблюдателя это будет выглядеть как обычная разблокировка устройства.
Использование
Используем устройство как обычно, в чрезвычайной ситуации вводим тревожный пароль и уничтожаем заданные разделы.
Авторы
Egor Shestakov