LINUX.ORG.RU

Зашифровать систему

 


0

1

Система Linux Mint 20.3

При установке был чекбокс «зашифровать диск», куда я забыл тыкнуть. Теперь вопрос: можно ли это сделать после установки тем же методом, каким оно было бы выполнено при установке (каким?)? Или надо будет снова переустанавливать?

И второй: там был второй чекбокс «зашифровать домашнюю папку». Чем это отличается от первого, кроме объекта шифрования? И стоит ли его выполнять при наличии первого?

шифровать /home имеет смысл, если за компьютером сидит больше одного человека или в случае ноутбука - дополнительная защита от кражи
шифровать полностью диск - так себе затея, потому что будет проседать производительность системы в целом

anonymous
()
Ответ на: комментарий от anonymous

шифровать полностью диск - так себе затея, потому что будет проседать производительность системы в целом

Нет, не будет. Да, почти бесплатно.

anonymous
()

Теперь вопрос: можно ли это сделать после установки тем же методом, каким оно было бы выполнено при установке (каким?)?

Можно. dm-crypt/cryptsetup. Процедура несложная, но надо хорошо понимать, как оно устроено внутри. В случае ошибок процедуры ремонта довольно нудные. Инструкции легко гуглятся, пересказывать их не вижу смысла.

Или надо будет снова переустанавливать?

Это проще и, скорее всего, быстрее.

anonymous
()
Ответ на: комментарий от anonymous

Действительно, переустановка похоже куда быстрее.

Тогда другой вопрос: если я сделаю бэкап этой системы через timeshift (rsync), можно ли будет его накатить на свежеустановленную систему и всё будет, как есть сейчас? Или придётся все программы и настройки устанавливать заново?

Architector
() автор топика
Ответ на: комментарий от Architector

Если просто восстановить, то 100% потом не загрузится без некоторых манипуляций. Стоит сохранить свой домашний каталог, изменённые файлы из /etc, а программы можно и заново поставить (список установленного можно получить через apt list --manual-installed и snap list). Если всё же восстанавливать бэкап всей системы, то как минимум надо сохранить /etc/crypttab и обновить initramfs до перезагрузки.

anonymous
()

Шифрование чего-либо, даже домашнего каталога - так себе идея. Восстанавливать данные в случае чего - очень напряжно и дорого. А иногда и невозможно.
Был такой случай:
Поставили в BIOS Setup пароль на жесткий диск Samsung, если не ошибаюсь, 320 Гб - и благополучно забыли... Ну и фсё. Осталось только выкинуть, или пепельницу из него сделать.
Честно, программно перепробовал всё, от MHDD до фирменных утилит, бесполезняк. А в СЦ за аппаратную разлочку при помощи PC-3000 заломили такую цену, что ну его нафик.
Бывает и так. Поосторожней надо с этим. А лучше - вообще конфиденциальные данные на винте не держать. Заведи отдельную флешку (папку) и шифруй её на здоровье.

cadaber ★★
()
Последнее исправление: cadaber (всего исправлений: 1)
Ответ на: комментарий от cadaber

Прекрасный совет, бесспорно.
Конфиденциальные данные на винте не держи, на бумажку запиши.
Пароли так это точно для лохов, флешки и еммц для надёжности, шифрование для трусов.

@Architector
Пароль когда вводишь, то не тыкай туда ладонью, а одним пальцем набирай его, и тогда можно будет и на винтах что-то хранить, а не только на флешках, как тут рекомендуют специалисты по хранению.

Brillenschlange
()
Ответ на: комментарий от Brillenschlange

Конфиденциальные данные на винте не держи, на бумажку запиши.

Не вижу в этом ничего плохого, даже наоборот. Я тут починяю примуса периодически, и у некоторых бабушек - целая тетрадка имеется с логинами-паролями. Очень мудро, между прочим, некоторым нуворишам бы поучиться у них стоило.

Я в том смысле, что чтобы вскрыть пароль, надо прежде вскрыть квартиру и найти эту тетрадку. А это далеко не каждому диванному кулхацкеру по силам.

cadaber ★★
()
Последнее исправление: cadaber (всего исправлений: 1)
Ответ на: комментарий от Brillenschlange

а ты представляешь, что будет с данными на шифрованном диске, когда он со временем начнёт потиху обрастать бэдблоками?
так что cadaber нормальный пример привёл с забытым паролем (в народе называют 'спрятать от себя')

anonymous
()
Ответ на: комментарий от cadaber

Шифрование чего-либо, даже домашнего каталога - так себе идея

Ровно наоборот: почти всегда шифровать диск полностью - хорошая идея, тем более в РФ.

anonymous
()
Ответ на: комментарий от anonymous

Ровно наоборот: почти всегда шифровать диск полностью - хорошая идея, тем более в РФ.

Ещё более глупая идея. Если кому действительно понадобится - расскажешь не только пароль, а как в трехлетнем возрасте конфеты из серванта воровал. Паяльники и утюги с противогазами конечно больше не применяют, но и пластиковый пакет сойдёт.

cadaber ★★
()
Ответ на: комментарий от cadaber

Если кому действительно понадобится - расскажешь не только пароль

Не обязательно. Не все силовики идут на пытки. А легки пытки вполне можно пережить, если инфа важная. По крайней мере в части случаев полное шифрование помогает. Это лучше, чем ничего.

anonymous
()
Ответ на: комментарий от cadaber

А лучше - вообще конфиденциальные данные на винте не держать

Большинство людей чуть менее чем всегда держать конфиденциальные данные на винте. почти У всех есть папка $HOME/.mozilla с паролями и куками, как минимум.

anonymous
()
Ответ на: комментарий от anonymous

Это лучше, чем ничего.

Всё равно, абсолютно не вижу смысла в полном шифровании. У тебя там что, база персональных данных наркокурьеров? Или порно с несовершеннолетними? Или битков на пару миллионов евро? Если нет - не вижу особого смысла, самому себе осложнять жизнь.

В одном ты прав. Если попал - никому ничего не рассказывать и не показывать, даже адвокату. Чистосердечное признание в этом конкретном случае только увеличит срок или штраф. А доказать и обосновать грамотно для суда, обвинению - ну О-О-Очень придётся постараться с доказухой... А там тоже, далеко не все эксперты по компам, как в кино. Скорее, по обьявлениям.

Большинство людей чуть менее чем всегда держать конфиденциальные данные на винте. почти У всех есть папка $HOME/.mozilla с паролями и куками, как минимум.

У провайдера тоже. Так что можешь успокоиться.

cadaber ★★
()
Последнее исправление: cadaber (всего исправлений: 1)
Ответ на: комментарий от cadaber

Откуда у прова куки? SSL никто не отменял.

anonymous
()
Ответ на: комментарий от cadaber

А доказать и обосновать грамотно для суда

Серьезно? В суде 99.8% обвинительный уклон, на доводы защиты никто не смотрит, если защищаемый - простой холоп.

anonymous
()
Ответ на: комментарий от Brillenschlange

Конфиденциальные данные на винте не держи, на бумажку запиши.

Я таким макаром у всех знакомых и коллег пароли потырил, до сих пор пользуюсь. Так что не, спасибо.

Заведи отдельную флешку (папку) и шифруй её на здоровье.

А это мысль… Правда есть хорошая вероятность что-то интересное перекинуть на эту флешку с компа, либо просто не знать, что оно где-то есть на компе. Да и постоянно место удалённого файла нулями перезаписывать…не охото

У всех есть папка $HOME/.mozilla с паролями и куками

Куки можно быстро стереть, а для паролей установить какое-нибудь расширение (SafeInCloud, MYKI, ещё куча), как минимум средствами самой firefox поставить мастер-пароль.

В суде 99.8% обвинительный уклон, на доводы защиты никто не смотрит, если защищаемый - простой холоп.

Если ничего нет, то и статью как-никак сложнее будет подобрать. Поэтому и надо зашифровать. Другое дело, надо это сделать так, чтобы зашифрованные данные не нашли, что иначе повысит интерес к персоне. Поэтому, видимо, нужно шифрованное хорошенько спрятать.

Похоже да, полное шифрование диска может доставить много хлопот, если не больше, чем пользы.

Architector
() автор топика
Последнее исправление: Architector (всего исправлений: 1)
Ответ на: комментарий от Architector

перечитай мой первый пост ещё (пару) раз
как уже не раз писал cadaber - от мвд шифроваться бесполезно

anonymous
()
Ответ на: комментарий от cadaber

Паяльники и утюги с противогазами конечно больше не применяют

Откуда инфа?

hakavlad ★★★
()
Ответ на: комментарий от hakavlad

пальцы в двери, и ты лично признаешься в убийстве кеннеди

anonymous
()
Ответ на: комментарий от Architector

полное шифрование диска может доставить много хлопот, если не больше, чем пользы.

Не надо полное, сделай на пол-шишечки и порядок.
И пароль не надо тогда полностью запоминать, пол-пароля уже достаточно.

Brillenschlange
()

Домашнюю папку можно зашифровать на установленной системе используя fscrypt, например. При условии что у тебя etx4

anonymous
()

Ничто не должно храниться в открытом виде! Шифруй всё, что только можешь, а для самого важного используй стеганографию.

Prosto_user ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.