видеодрайвер nvidia может внезапно перехварить фокус с vt1 на vt7 или что то ещё может пойти не так

Что за бред

dm-crypt + libpam-mount

Даже, знаете, родилось внезапно петросянство. Не место рабочим файлам в домашнем каталоге! Извините.

vt1 При запуске представляете? Всякие сообщения о запуске системы, потом запрос логина/пароля, или допустим пользователь пытается ввести пароль на подключение шифрованого диска luks. А потом проходит ещё 20 секунд, заставка нвидия, затем появляется DM и предлагает залогиниться независимо от подмонтированного /home. А поле ввода пароля остаётся на vt1 и пользователь об этом не знает.

Я ведь не вообще в принципе спрашиваю, а для вполне конкретного бородатого ноута HP с ужасной nvidia 9200M.

Решение на поверхности: установить уровень запуска multi-user, а по логину в tty запускать графику автоматом без DM.

Допустим, приемлимо. Как примерно будет выглядеть автозапуск xfce при логине в консоли? Мне просто интересно знать, что меня (и пользователя) ждёт до того, как я начну форрматировать и разбивать диск.

BitLocker твой выбор.

Эх, так я не помню прям точно что писать для крысы, но просто прописываешь нужное в bashrc. На bbs.archlinux.org точно был пример, оттуда утаскивал себе, но потом забил. Там еще было и автологин в tty (править юнит systemd) c последующим автостартом иксов.

Судя по описанию шифрование не нужно ни вам, ни пользователю. Вы просто ещё этого не поняли. Если оно было бы _действительно_ нужно, то давно бы началось обучение пользователя, кем бы он небыл.

Truecrypt 7.1 уже предлагали?

Ты к нам из 2007 года прибыл?

Какой смысл шифровать домашний каталог, если исполняемый код из корневого незашифрованного каталога может быть с легкостью скомпрометирован? Идем дальше. Какой смысл шифровать корневой каталог, если загрузочный «каталог» может быть с легкостью скомпрометирован? Идем дальше. Какой смысл что-либо шифровать, если микрокод проприетарных процессоров может быть с легкостью скомпрометирован? А вы уверенны, что в вашу клавиатуру не встроен кейлогер?

Цепочку можно развивать и дальше, но и этого должно быть достаточно для того, чтобы понять бессмысленность шифрования диска в качестве полноценной защиты. Система безопасна настолько, насколько безопасно её самое слабое звено. А этих слабых звеньев просто дохрена.

Не занимайтесь самообманом - забейте на шифрование.

https://cryptomator.org/downloads/#linuxDownload

Какой смысл обращать внимание на йуных максималистов-лоровских икспердов по безопасности, если 99,999% угроз срезаются шифрованием рабочего каталога, а от оставшихся - никакие технические средства защиты не спасут?

Не забейте. Вот сопрут у меня лаптоп, а там пароль от ЛОРа в браузере сохранен и хоумвидео. А так случайный вор-васян лишь останется с железякой, а не с приватными данными. Шифрование тут защита в том же смысле что и замаскированый сейф в квартире — от целевой атаки не спасет, при случайной — минимизирует ущерб.

А его не могут спереть во включенном или спящем состоянии?

А могут, например, спереть, внедрить кейлоггер и вернуть.

МогутА его не могут спереть во включенном или спящем состоянии?

Сессия блокирована. А далее это будет уже целевая атака, от такого нужен другой уровень защиты.

А могут, например, спереть, внедрить кейлоггер и вернуть.

А могут жену и детей в заложники взять — сам всё отдашь.

Я об этом и говорю - слабых мест очень много. Поэтому если вы владеете ценной инфой и боитесь, что она попадет к третьим лицам - шифрование само по себе не поможет. Нужны комплексные меры защиты. А иначе это все просто самообман. Это как в автомобиле вместо подушек безопасности, установить иконку - авось пронесет.

Не место рабочим файлам в домашнем каталоге! Извините.

Извиняюсь, а где им место?

Ну ТС не раскрыл, что имеется в виду под словом «безопасно». Если это от случайных и просто любопытных — вполне достаточно. А если нужна реальная защита от компрометации — то шифрование тоже нужно, но уже не достаточно, это да, тут спорить глупо.

И ecryptfs, и luks прозрачны с точки зрения пользователя.

а ввод пароля во время запуска системы (например подключение luks при старте) тоже не желателен

Как ты себе это представляешь? Шифрование без пароля?

Железка ещё не сдохла, она есть, она соответствует системным требованиям. Так пусть работает!

Именно от случайных шаловливых рук. Младший брат, его друзья, и вообще, ноуту ездить в машине - может вдруг исчезнуть.

1) Ставь бубенту / минт, там на этапе установки само предложит зашифровать хомяк или весь диск (но тогда прощай гибернация). Никаких дополнительных паролей. Погугли как оно работает и как зашифровать после установки, куча статей.

2) Ставь VeraCrypt. Можно сделать шифрованный раздел или файлик, как удобней. Интерфейс не сложный, только монтируемый каталог в закладки повесить и всё, юзверь разберётся как-нибудь. Потенциально чревато танцами с бубном, у меня эта зараза после очередного обновления похерила кодировку и все русские имена стали кракозябрами.

В итоге пришлось сделать не так как хотелось, а стандартно для дебиана, раздел через dm-crypt, драйвера нуво и автологин sddm. А всё потому что пока думал, оказалось что завтра уже должно быть.

Шифрование домашнего каталога с точки зрения чайника

Это ненужный бред.

Что именно бред? Шифрование в целом или предложенный метод, для чайника?

Шифрование в целом или предложенный метод, для чайника?

С точки зрения чайника всё эти ваши шифрования не что иное как бред. Так понятнее? Это от лукавого. Начнем с того что у истинного чайника будет даже не этот ваш ГНУ/Линукс у него будет то что поставят ему в этот его ящик… ааа процессор! Вот!

Можно по ключ-файлу на флешке, например.

Мне хочется думать, что я всё таки уже не чайник и могу разобраться и этим «ящик… ааа процессор» и с luks. А чайник - конечный пользователь, который должен знать один длинный пароль и 3 программы для одной определённой задачи. А шифрование тут надо для того, чтобы все пароли и личные записи хранились относительно безопастно и недоступно посторонним.

eCryptFs

Ну eCryptFs же, ну. Расшифровка автоматически при логине юзера (по его паролю)