LINUX.ORG.RU

LUKS. Шифруете ли Вы дома/на работе диски?

 , ,


0

2

Заскучал я в общем на выходных. Не знал чем себя занять. На просторах всемирной наткнулся на шифрование дисков. Решил пощупать как это делается. По -> этому ману <- поставил, настроил, даже накатил иксы…=) В общем задумался, а кто-нить вообще юзает такое? Даже если захочется спрятать информацию, то терморектальный проктоанализ, под воздействием которого всё равно скажешь passphrase, никто не отменял.

★★
Ответ на: комментарий от anonymous

Рассмеши публику, расскажи, чем.

Битлокером, вестимо, от которого ключ в onedrive автоматически заливается :)

Личная переписка, локальные файлы и другая персональная информация может быть раскрыта не только по требованию властей, а просто если Microsoft покажется, что это необходимо для некой защиты их клиентов.

Dimez ★★★★★
()
Ответ на: комментарий от Clockwork

В LVM стекирование осуществляется через физический том -> группа томов -> логический том, что больше похоже на «бутерброд», где уровни накладываются друг на друга в фиксированной последовательности.

Не надо сравнивать LVM и GEOM, LVM это только target в device-mapper, как provider в GEOM. LVM абстрагирован от d-m и может занимать любое место в топологии. Подучи матчасть, и со своими GEOM-бутербродами тоже, чтобы лучше понимать, как они работают.

anonymous
()
Ответ на: комментарий от Dimez

Ну, BitLocker сам по себе вполне нормален, но момент с бэкапом ключей несколько должен напрягать. С другой стороны, шифрование пытаются сделать умолчанием, и представь себе, что начнётся, когда пользователи начнут обнаруживать, что доступа к данным после какого-нибудь сбоя нет, а от необходимости записать какой-то там ключ восстановления они отмахнулись, или давно потеряли листочек. Да и вообще, используя ОС, ты доверяешь её поставщику, так что нормально, так им и надо.

anonymous
()

Когда-то давно, сидючи на этой вашей работе на Федоре, да, шифровал. Ибо с волками жить, по волчьи выть. 😉 На оффтопе нет, не шифровал. Ибо характер информации поменялся, отчёты никому не нужные фигачил. Нафиг их ещё шифровать? 😁

sparkie ★★★★★
()
Ответ на: комментарий от mittorn

которые иногда оказываются не менее действенными, при этом не оставлять следов

Меня как-то раз четыре часа били по голове через УПК. Просто положили этот толстенный том на макушку и"легонько" стучали по нему ладонью. Потом я две недели страдал головными болями и провалами в памяти. А медицинское освидетельствование побоев я не смог сделать даже несмотря на то, что поддерживал приятельские отношения с врачами — никаких видимых следов, рентген черепушки тоже чистый, «жалобы описаны со слов пациента». ¯_(ツ)_/¯

Терморектальный криптоанализ это скорее форма речи, народ в мусарне часто намного изобретательнее.

По топику: да, шифрую, zfs нативным шифрованием, не жалуюсь. И десктоп, и ноут. Вопрос «зачем шифровать личные данные» считаю глупым: у меня даже на рабочем компе нет такого количества чувствительных данных, начиная с КЭП и прочих электронных ключей и подписей.

Richter
()

да, шифрую
полностью диск чтобы в том числе исключить вмешательство в систему (как из хулиганства так и из вредительства/шпионажа, меньше мест куда можно засунуть кейлогер)
рабочий ноут шифрую потому что корпорейт стандарт, не сделаю я это и мне настучат по голове а в случае утечки данных ещё и оштрафуют на все деньги
личные железки (в том числе стационар) шифрую потому как я живу не на полюсе в окружении пингвинов, квартиру могут ограбить, а на компе данные поважнее фоток с моря (ецп к примеру)
но есть и не зашифрованные устройства, к примеру хромобук-таблетка из галереи предназначен для потребления контентов из интернета, его смысла шифровать нет
с кровавой гебнёй сталкивался, досматривали телефон
вежливо попросили написать на бумажке им пароль и телефон изъяли, написал сам
ничего интересного там для них и важного для меня не было, но потом на всякий случай фактори ресет делал

oblepiha
()
Ответ на: комментарий от ann_eesti

бай зе вей, андроид телефон (Blackberry KEY2) таки разблокировали, хоть он и считается «супер защищённым» и запаролен пассфразой в 12 символов и зашифрован.

андроид – говно.

(а вот гейфон женщины, вроде как, нет, хотя может просто следов не оставили, там нету аттрибутов atime у файлов на ext*FS, ну или их не посмотреть без джейлбрейка.)

что на андроиде что на иос есть способы проскочить локскрин если пользователь уже зашёл в систему, этим наверняка и воспользовались
дело сильно усложняется если сдать устройство в выключенном виде

oblepiha
()

Обязательно, на всех компьютерах шифрование это маст хэв. Основной сценарий - потеря ноутбука, не хочу думать, что там может быть что-то скомпрометировано, утечь и тд.

PS а кто пользует шифрование средствами диска? OPAL вроде называется. LUKS штука геморройная. Расскажите плюсы-минусы. Против ФБР сражаться не собираюсь, если такой же нуб, как я, не сможет вытащить содержимое, мне этого более, чем достаточно.

vbr ★★★★
()
Последнее исправление: vbr (всего исправлений: 2)
Ответ на: комментарий от vbr

OPAL

  1. Почитай, как организовать загрузку. Вероятно, желание отпадёт сразу.

  2. Даже Microsoft не доверяет этой технологии, точнее, её реализациям.

LUKS штука геморройна

Используй файловое шифрование в ext4. В Btrfs его пока нет.

anonymous
()

Да, перевёл таки домашнюю систему на шифрование с luks + LVM.

Единственное неудобство - ключ пароль надо вводить на текстовом терминале и буковки мелкие так как разрешение экрана на ноутбуке 1920x1200.

Альтернативы - ключ в USB или по отпечатку пальца даже если технически реализуемо, например, неудобно для меня да и небезопасно, я ж хочу по пароль чтобы только я пароль знал.

Хочется графическое окно ввода, но пока не придумал, как. В теории можно было бы систему оставить на незашифрованном разделе и шифровать только /home, наверное, так работало бы, да не хочется переделывать.

BattleCoder ★★★★★
()
Последнее исправление: BattleCoder (всего исправлений: 1)

Конечно. Вопрос в том, что бы такого поднять на удаленном устройстве, чтобы добраться до файлов. В особености нужно фильмы смотреть. Хотелось бы просто скармливать ссылку mpv и смотреть видосик. Есть vpn в локалку. Посоветуйте что-то быстрое, что может 5-12-12 гигов нормально передавать. Пасиба.

anonymous
()
Ответ на: комментарий от rtxtxtrx

LVM он кривой (не по багам а по схеме использования) но удобный, raid-0 заполняет диски по порядку что плачевно для ssd (сначала заполнится полностью один потом второй) и по скоростям для всех видов дисков грусно, вместо я древний mdam юзаю. Btrfs использовать на сервере где базы данных на нём захлёбываются, да и дома sqllite во всех программах от браузера до телеги юзаются, конечно разработчики Btrfs придумали флаг специально говорящий что с базой sqllite работаем и сейчас Btrfs на них не крашется но и скорость не фонтан.

Скрыватся нужно не от майора, а от дочери, жены так чтобы понятно что ни чего не скрывают, я файл «обыкновенное чудо.mp4» создал его LUKS зашифровал на нём ext4 её к пользователю допустим secret монтирую вручную, и

ssh -X secret@localhost Telegram
ssh -X secret@localhost firefox
подключаюсь работаю. Родственики хакеры даже не подозревают есть secret он почти пустой мол я его для отладки использую.

s-warus ★★★
()
Ответ на: комментарий от anonymous

Я пробовал minidlna, как-то кривовато он работает… тормозил.

Мне лучшее зашёл jellyfin, впрочем, он тоже иногда тупит на некоторых больших видеофайлах. plex почему-то не тупил. Хотя он мне не нравится тем, что слишком навороченный, пока работает стабильнее всего для отдачи киношек по сети.

BattleCoder ★★★★★
()
Ответ на: комментарий от BattleCoder

ключ пароль надо вводить на текстовом терминале и буковки мелкие так как разрешение экрана на ноутбуке 1920x1200. Хочется графическое окно ввода, но пока не придумал, как.

plymouth же. Он умеет графический ask-password. В ubuntu именно так и сделано.

adn ★★★★
()
Ответ на: комментарий от vbr

https://wiki.archlinux.org/title/Silent_boot + https://wiki.archlinux.org/title/Plymouth

Я допердолился в дебиане до того, что у меня сразу на загрузке вылезает красивый интерфейс с вендор лого и вводом пароля, а через несколько секунд уже рабочий стол (включил автологин). Все это без переключений разрешений и миганий, но это не просто и наверно не на всех видеокартах работает (на интеле работает).

В Убунте это +- из коробки есть.

masa
()
Последнее исправление: masa (всего исправлений: 1)
Ответ на: комментарий от vbr

Можно в grub (не пробовал, но по логике да) вписать этот пароль с тем же успехом. То есть он будет в grub.cfg в текстовом незашифрованном формате. Что немного портит всю идею шифрования всего диска, конечно. =) Но в bios же аналогично наверное?

BattleCoder ★★★★★
()
Ответ на: комментарий от masa

Не уверен, как именно в убунте это реализовано, но чтобы реально сделать быструю загрузку (чтобы система начала грузиться ДО ввода пароля), надо таки корневой раздел не шифровать, шифровать только /home (и может ещё /var и /tmp, тут не уверен, что есть смысл, что нет, /tmp может лучше просто чистить при перезагрузке).

Иначе (как у меня), даже если сделать красивое графическое окошко ввода пароля в plymouth, собственно загрузка графической среды всё равно будет отнимать время уже после ввода пароля, а не до. =)

BattleCoder ★★★★★
()
Ответ на: комментарий от vbr

Хочу, чтобы пароль биос сам вводил.

Если пароль вводить не хочется, можно же и ключевой файл на флешке использовать. Или, например, если флешка с ключём отсутствует, то пароль вводить, а если вставлена, то автоматически подключать.

QsUPt7S ★★
()
Ответ на: комментарий от QsUPt7S

Хочу, чтобы пароль биос сам вводил.

TPM + systemd-boot, но от какой угрозы тогда защитит такое шифрование, что кто-то влезет в ноут, выкрутит диск, и попробует подключить на своем компьютере? Сомнительно

masa
()
Ответ на: комментарий от s-warus

Можно просто создать раздел, удалить, а потом монтироваться по смещению:

sudo mount -o loop,offset=<offset> /dev/sda /mnt/hidden

Можно файловую систему создать одну, затем ее удалить, потом со смещением мегабайт в 50 создать еще одну, удалить ее. Затем создать раздел с первой (без форматирования), и будет показываться первая система, а самому монтироваться по смещению во вторую файловую систему. Будет двойное дно

rtxtxtrx ★★
()
Ответ на: комментарий от BattleCoder

Можно в grub (не пробовал, но по логике да) вписать этот пароль с тем же успехом. То есть он будет в grub.cfg в текстовом незашифрованном формате. Что немного портит всю идею шифрования всего диска, конечно. =) Но в bios же аналогично наверное?

Почему в БИОС аналогично? Диск я могу вытащить, подключить к другому компьютеру и прочитать grub.cfg. А БИОС как я вытащу? Если он по уму сделан, он там в TPM как-то будет хранить. Не вытащить это никак.

Настроить TPM, конечно, тоже можно, но я почитал - там всё очень мутно и сложно. Мне проще вводить пароль каждый раз, чем настроить это TPM. А ещё проще было бы, чтобы в БИОС тыкнуть галочку и всё стало супер.

vbr ★★★★
()
Ответ на: комментарий от vbr

В целом я скорей другим путём думаю пойти - там в федоре была какая-то фишка типа включаешь автологин и он паролем, которым расшифровали диск, также открывает gnome keychain (или как там его), так что пароль вводишь один раз.

vbr ★★★★
()