Стоит ли применять LUKS на SSD для хомяка?

ну так зашифруй конкретно эту базу - и всё. а котиков и системный диск шифровать не нужно.

ну так зашифруй конкретно эту базу - и всё. а котиков и системный диск шифровать не нужно.

конкретно эту базу, потом конкретно ту и потом еще вот ту... намного проще сразу все зашифровать при этом ты от этого совершенно ничего не теряешь.

Тем не менее они существуют, и руководители параноики и сотрудники ищущие способ нае***ть компанию на деньги. Тут не угадаешь когда ты с такими встретишься.

у меня просто все данные, которые представляют персональную или корпоративную ценность, лежат в каталоге, который шифруется. меня такая система устраивала много лет. вполне удобно. проблем не возникало.

а куча всякого трэша типа кэша тормозиллы, всяких служебных файлов, софта общего назначения не шифруется. потому что не нужно и работает быстрее без шифрования всего диска.

Я собственно от «украсть ноут» хотел спастись. Вот только возникает один момент: когда шифровано и все и ноут просто спит - фактически все расшифровано, а необатимые процессы произойдут только после перезагрузки. Я правильно понимаю? В таком случае нужно или все время выключать комп или шифровать что-то нужное в контейнере отдельно.

OMG, читаю тред и удивляюсь, как можно быть хорошим программистом и настолько глупым безопасником?

а куча всякого трэша типа кэша тормозиллы, всяких служебных файлов, софта общего назначения не шифруется. потому что не нужно и работает быстрее без шифрования всего диска.

А потом окажется, что документация была в формате html и ее читали тормозиллой и что-то попало в кэш. И это тоже надо предусмотреть, а если забыли? А ведь что-то еще и в /tmp улетает, в /var/cache, даже в логи и Бог, Линус и Поттеринг знает куда еще. А еще если за tracker в третьегноме не уследить он может неожиданно проиндексировать пользовательские файлы.

Не слишком ли много накапливается случаев, которые надо предусмотреть и учитывать?

Не парься, luks на весь диск, в нем lvm (boot, root, swap, home, etc). Настрой гибернацию resume=бла-бла-бла в /etc/default/grub. В lvm.conf issue_discard = 1. В crypttab luks, discard. Включить fstrim.timer. Работает и есть не просит. Потери производительности почти не замечено, так как шифрование аппаратно поддерживается. Издержки минимальны.

Лаптоп большой, а батарейка маленькая,если его каждый раз гибернировать, то много заряда будет просаживаться на выход из гибернации. В то время как сон - это открыл крышку, секунда, и работаешь, не тратя время/аккум на прогрузку всего.

Я так понимаю в арче с LVM я могу /boot в LVM загонять т.к. GRUB последней версии? А GRUB на том же харде в отдельном разделе?

Boot в lvm, главное не забыть в конфиге Grub написать GRUB_ENABLE_CRYPTODISK=y.

и в чём же ты видишь глупость?

я думаю, что не надо культивировать паранойю и бороться с ветряными мельницами. шифровать нужно то, что требует серьёзной защиты. и таких данных обычно не так много.

но, конечно, это если руки из правильного места растут. а если руки откуда-то из альтернативного места, тогда только полное шифрование всего, два презерватива и скафандр сверху. и всё равно не поможет. лучше уж тогда вообще ноутами не пользоваться, чтобы паранойя не одолевала.

P.S, а ещё некоторые люди, которые шифруют наглухо свои ноуты, используют смартфоны (хыхы!).

нет. я не пользуюсь документацией html. пожалуй, даже ни разу не видела документацию в таком формате, кроме общедоступной, которая в сети. стандартный формат документов - pdf.

бог - миф, линюс - нормальный чувак, а поцтеринга у меня на компе нет :)

нет. я не пользуюсь документацией html. пожалуй, даже ни разу не видела документацию в таком формате, кроме общедоступной, которая в сети. стандартный формат документов - pdf.

Какая нибудь корпоративная вики доступная внутри корпоративной сети. Всякие биллинги. В любой конторе такое есть. Какой нибудь неаккуратно сделанный скриншот может валяться в не зашифрованном разделе.

но, конечно, это если руки из правильного места растут. а если руки откуда-то из альтернативного места, тогда только полное шифрование всего

Это тупо проще и надежнее, на производительность это практически ни как не сказываеся, а если минусов нету то какой смысл еб**ть себе мозг?

я думаю, что не надо культивировать паранойю и бороться с ветряными мельницами.

Ты квартиру на ключ закрываешь когда уходишь?

Случайная утечка конфиденциальных данных — не самая серьёзная проблема, гораздо опаснее возможность полной компрометации системы из-за отсутствия гарантии целостности файлов.
Имея даже кратковременный физический доступ, можно за считанные минуты заменить любой бинарник на враппер или подложить скрипт в автозапуск.

используют смартфоны (хыхы!).

Которые так же шифруют. А еще не пользуются всякими мордокнигами, но это конечно же полумеры.

Стоит ли использовать шифрование хомяка?

есть ценные порноданные?

а ещё некоторые люди, которые шифруют наглухо свои ноуты, используют смартфоны (хыхы!)

Юзкейсы бывают разные, в т.ч. не затрагивающие передачу конфиденциальных данных.
А бывает так, что намеренно не используют по причине низкого уровня доверия к подобным девайсам.

нет. я не пользуюсь документацией html. пожалуй, даже ни разу не видела документацию в таком формате, кроме общедоступной, которая в сети. стандартный формат документов - pdf.

Ладно, у каждого свой опыт.

Скажу только про свой, что считаю моих знаний Linux и конкретного дистрибутива не достаточно, чтобы уверенно гарантировать, что в процессе работы даже с plain text файлами и простейшим редактором, отдельные куски от файлов случайно не окажутся в каких-нибудь самых неожиданных местах.

Чтобы не то, чтобы гарантировать, но быть более-менее уверенным, как минимум, надо обезопасить ~/.config, /tmp /var и каталог с настройками (если он не или помимо .config), особенно кэши разных программ, желательно не забыть про историю команд (названия файлов) и т.п., то есть, как раз то самое, что считаешь не нужным класть в еnсfs

Я бы советовал скрывать тот факт что тебе есть что скрывать. И не шифровать содержимое компа. Все палево держать отдельно. Зашифрованное, да. Но зашифрованое так чтобы нельзя было понять что это зашифрованное что-то. Например флешка без фс, являющаяся контейнером для LUKS образа.

Да ты мастер конспирации.
P.S. С уважением Товарищб майор.

А ты мастер польстить.

Это называется стеганография.

пробовал брутфорсить?

спасибо капитан, это и называется пароли в зашифрованном виде

шифрования != хэширование

пробовал брутфорсить?

Конкретно пароли пользователей в linux или вообще?

шифрования != хэширование

В контексте этого треда это не имеет значения.

1) пароли в юниксах.

2) Земля квадратная, но в контексте этого треда это не имеет значения.

1) пароли в юниксах.

Нет, брутфорс их чем то принципиально отличается?

2) Земля квадратная, но в контексте этого треда это не имеет значения.

Что тебе от меня нужно?)

Нет, брутфорс их чем то принципиально отличается?

Жёсткая соль и sha512 по дефолту

соль мешает только подбору пароля по радужным таблицам, а разница алгоритмов хеширования сводится к затратам на время их вычисления и разница там не существенная по сравнению с разницей в количестве символов в пароле.

Если пароль меньше хотя бы 8 символов или есть в словарях то можно считать что он хранится в открытом виде.

Я имею ввиду выполняются ли операции по дешифрованию всего контейнера и запись на SSD в 100500 ГБ при изменении маленького файлик или включении/выключении ПК

естественно нет. шифруется/дешифруется все поблочно.

Стоит применять шифрование всего диска всегда. И удивительно, почему в 2017 году еще остаются вопросы на этот счет. Это относится и к другим устройствам с памятью: телефоны, фото, всякие умные браслеты и тостеры

Отсутствие свободного шифрования повсеместно - это большая ошибка, и это ошибка невежественных пользователей, что позволяют так над собой издеваться, и привели индустрию к такой нелепой норме.

Поэтому, старайся лично исправить то, что сможешь. В данном случае юзай luks, да

человек, который понимает, что такое безопасность

никогда не скажет то что сказал ты... Зашифровано должно быть абсолютно все, а загрузчик этого всего на флэшке в сейфе...

ну, от паранойи только медикаменты помогают :)

Флешка без фс не стеганография.

Стеганография — это флешка с котиками.

Ты квартиру на ключ закрываешь когда уходишь?

Конечно закрываю, но при этом не ставлю внутри капканы на медведя, решетки на окна и не заделываю дверь когда ухожу кирпичной кладкой.

Именно это ты и предлагаешь своим шифрованием всего и вся. Хотя достаточно будет обычного разогретого паяльника, что бы его вскрыть.

Стеганогра́фия (от греч. στεγανός — скрытый + γράφω — пишу; буквально «тайнопись») — способ передачи или хранения информации с учётом сохранения в тайне самого факта такой передачи (хранения).

Конечно закрываю, но при этом не ставлю внутри капканы на медведя, решетки на окна и не заделываю дверь когда ухожу кирпичной кладкой.
Именно это ты и предлагаешь своим шифрованием всего и вся.

Нет, шифрование всего и вся это обычный замок на двери.

Хотя достаточно будет обычного разогретого паяльника, что бы его вскрыть.

Так же как и заставить тебя открыть дверь в кварту. Так что повторю свой вопрос, зачем ты закрываешь дверь если достаточно простого паяльника что бы заставить тебя открыть её?

а если не понимает, то его никакое шифрование не спасёт.

Четко.

значительно снизить риски

Я не уверен что правильно въехал в суть твоей позиции, но если ты считаешь что шифрование всего подряд это «снижение рисков», то позволю себе не согласиться. Если тебе нужно защитить сырцы от саботажа/плагиата, то здесь достаточно взвешенных политик безопасности в локалочке. Когда ты свою порнуху зашифруешь, мастера паяльника будут сильно разочарованы, найдя только ее, и врядли ты убедишь их что действительно ничего кроме порнухи там нет. По крайней мере врядли это будет быстро. Ты знаешь как бывают неприятны в общении разочарованные люди? Как люди склонны верить в лучшее? И они будут верить, будут дожимать пока ты не родишь им достойны их трудов компромат. Поэтому, повторюсь, в идеале стоит жить так чтобы тебе не было чего скрывать. По меньшей мере чтобы не было чего прятать. А если уж прятать, то там где никому не придет в голову искать. А еще лучше чтобы вообще никому не пришло в голову искать, где-бы то ни было.

Хотя, чем больше людей шифруют свои фотки с нудистского пляжа, тем лучше.

Нет, шифрование всего и вся это обычный замок на двери.

Нет, обычный замок на двери это логин/пасс при входе в систему.

Так что повторю свой вопрос, зачем ты закрываешь дверь если достаточно

Затем, что закрыть дверь на ключ гораздо проще, чем понаставить внутри капканов и прочего развесистового буллшита, с тайной параноидальной надеждой, что никто ничего не найдёт и не узнает.

А то, что паяльник инструмент универсальный, не надо на это напирать.

Затем, что закрыть дверь на ключ гораздо проще

А зашифровать диск это что сложно? В убунте вообще надо просто галочку при установке поставить. А вот шифровать частично это реально насилование своего мозга.

Стоит.

Тоже собрался шифровать диски, только решил грузить систему с флешки в раму, чтобы всё в ней крутилось. Возникли несколько вопросов:
1.Кто-нибудь сталкивался с повреждением томов или данных в подмонтированном LUKS при отключении света, или зависании, при котором выдернуть вилку из розетки необходимость? При чистом ext4 без всяких шифров такого не встречал, а как с этим при шифровании, и на сколько сильна вероятность побить весь том из-за сбоя в питании.
2.И как быть с бед блоками в LUKS, как это скажется на контейнерах?
3.Использование шифрования hdd сильнее уменьшает жизнь винта?

У меня складывается впечатление что на лоре каждого второго насиловали разогретым паяльником.

Поэтому, повторюсь, в идеале стоит жить так чтобы тебе не было чего скрывать. По меньшей мере чтобы не было чего прятать.

Выкладывай сюда свой пароль от лора, почты и других аккаунтов, или ты их че прятать будешь? А как же идеальная жизнь?

Выкладывай сюда свой пароль от лора, почты и других аккаунтов, или ты их че прятать будешь?

От лора мне ничего выкладывать не нужно, сам понимаешь почему. А от почты и прочих акков, периодически, если читаешь новости, их и так все выкладывают.

У меня складывается впечатление что на лоре каждого второго насиловали разогретым паяльником.

То, что к тебе еще не прилетел этот чёрный лебедь, не значит, что ты с ним не столкнёшься. Как пример приведу тебе Бриташку, где за отказ дать ключи к шифродиску тебя сразу бросят в кутузку.

А если я грамотно зашифровал только то, что считаю необходимым, да еще и стеганографией это дело прикрыл, то и нарваться на паяльник имею шансы гораздо меньше тебя, который по дурости взял и шифранул всё (легко же чо, галочку поставить).

А ты еще потом придешь жаловаться на ЛОР, после того, как твой комп просто не загрузится из-за глюка и ты с этим ничего не сможешь поделать.

От лора мне ничего выкладывать не нужно, сам понимаешь почему.

Я и не тебе писал.

А от почты и прочих акков, периодически, если читаешь новости, их и так все выкладывают.

не по собственному же желанию

То, что к тебе еще не прилетел этот чёрный лебедь, не значит, что ты с ним не столкнёшься. Как пример приведу тебе Бриташку, где за отказ дать ключи к шифродиску тебя сразу бросят в кутузку.

А за отказ открыть дверь в квартиру выбьют её тараном и отпи***ют тебя.

А если я грамотно зашифровал только то, что считаю необходимым, да еще и стеганографией это дело прикрыл, то и нарваться на паяльник имею шансы гораздо меньше тебя, который по дурости взял и шифранул всё (легко же чо, галочку поставить).

вот это уже реально параноя. Почему ты считаешь что если кто то что то шифрует это исключительно против спецслужб? Ботовые ситуации типо потери ноута или кражи вообще в твоей голове не укладываются?

А ты еще потом придешь жаловаться на ЛОР, после того, как твой комп просто не загрузится из-за глюка и ты с этим ничего не сможешь поделать.

Он и без шифрования может однажды не загрузиться, тут вообще никакой связи.)

Ты бы уж продолжил

Как правило, сообщение будет выглядеть как что-либо иное, например, как изображение, статья, список покупок, письмо или судоку.

Тебе часто попадаются в руки флешки без файловой системы?

Тебе часто попадаются в руки флешки без файловой системы?

Это уже вопрос надежности реализации.