LUKS. Шифруете ли Вы дома/на работе диски?

Нет. Зачем?

Кек. Европа и их граждане. Кекекеке.

ты про то, что у нас паяльники в анусы не суют?
какая жалость, да.

Боже, какой же звездеЖ.

Рассмеши публику, расскажи, чем.

Битлокером, вестимо, от которого ключ в onedrive автоматически заливается :)

Личная переписка, локальные файлы и другая персональная информация может быть раскрыта не только по требованию властей, а просто если Microsoft покажется, что это необходимо для некой защиты их клиентов.

В LVM стекирование осуществляется через физический том -> группа томов -> логический том, что больше похоже на «бутерброд», где уровни накладываются друг на друга в фиксированной последовательности.

Не надо сравнивать LVM и GEOM, LVM это только target в device-mapper, как provider в GEOM. LVM абстрагирован от d-m и может занимать любое место в топологии. Подучи матчасть, и со своими GEOM-бутербродами тоже, чтобы лучше понимать, как они работают.

Ну, BitLocker сам по себе вполне нормален, но момент с бэкапом ключей несколько должен напрягать. С другой стороны, шифрование пытаются сделать умолчанием, и представь себе, что начнётся, когда пользователи начнут обнаруживать, что доступа к данным после какого-нибудь сбоя нет, а от необходимости записать какой-то там ключ восстановления они отмахнулись, или давно потеряли листочек. Да и вообще, используя ОС, ты доверяешь её поставщику, так что нормально, так им и надо.

Когда-то давно, сидючи на этой вашей работе на Федоре, да, шифровал. Ибо с волками жить, по волчьи выть. 😉 На оффтопе нет, не шифровал. Ибо характер информации поменялся, отчёты никому не нужные фигачил. Нафиг их ещё шифровать? 😁

Там где по-умолчанию идет включённым (FileVault) – оставляю как есть. Там где по-умолчанию не идёт – не заморачиваюсь.

Да, но не убогими luks и lvm

geli?

Как ты догадался?

с обыском пару раз приходили

пару раз

Лол.

которые иногда оказываются не менее действенными, при этом не оставлять следов

Меня как-то раз четыре часа били по голове через УПК. Просто положили этот толстенный том на макушку и"легонько" стучали по нему ладонью. Потом я две недели страдал головными болями и провалами в памяти. А медицинское освидетельствование побоев я не смог сделать даже несмотря на то, что поддерживал приятельские отношения с врачами — никаких видимых следов, рентген черепушки тоже чистый, «жалобы описаны со слов пациента». ¯_(ツ)_/¯

Терморектальный криптоанализ это скорее форма речи, народ в мусарне часто намного изобретательнее.

По топику: да, шифрую, zfs нативным шифрованием, не жалуюсь. И десктоп, и ноут. Вопрос «зачем шифровать личные данные» считаю глупым: у меня даже на рабочем компе нет такого количества чувствительных данных, начиная с КЭП и прочих электронных ключей и подписей.

да, шифрую
полностью диск чтобы в том числе исключить вмешательство в систему (как из хулиганства так и из вредительства/шпионажа, меньше мест куда можно засунуть кейлогер)
рабочий ноут шифрую потому что корпорейт стандарт, не сделаю я это и мне настучат по голове а в случае утечки данных ещё и оштрафуют на все деньги
личные железки (в том числе стационар) шифрую потому как я живу не на полюсе в окружении пингвинов, квартиру могут ограбить, а на компе данные поважнее фоток с моря (ецп к примеру)
но есть и не зашифрованные устройства, к примеру хромобук-таблетка из галереи предназначен для потребления контентов из интернета, его смысла шифровать нет
с кровавой гебнёй сталкивался, досматривали телефон
вежливо попросили написать на бумажке им пароль и телефон изъяли, написал сам
ничего интересного там для них и важного для меня не было, но потом на всякий случай фактори ресет делал

бай зе вей, андроид телефон (Blackberry KEY2) таки разблокировали, хоть он и считается «супер защищённым» и запаролен пассфразой в 12 символов и зашифрован.

андроид – говно.

(а вот гейфон женщины, вроде как, нет, хотя может просто следов не оставили, там нету аттрибутов atime у файлов на ext*FS, ну или их не посмотреть без джейлбрейка.)

что на андроиде что на иос есть способы проскочить локскрин если пользователь уже зашёл в систему, этим наверняка и воспользовались
дело сильно усложняется если сдать устройство в выключенном виде

Обязательно, на всех компьютерах шифрование это маст хэв. Основной сценарий - потеря ноутбука, не хочу думать, что там может быть что-то скомпрометировано, утечь и тд.

PS а кто пользует шифрование средствами диска? OPAL вроде называется. LUKS штука геморройная. Расскажите плюсы-минусы. Против ФБР сражаться не собираюсь, если такой же нуб, как я, не сможет вытащить содержимое, мне этого более, чем достаточно.

Какого ответа вы ожидаете в данном чате?

OPAL

1. Почитай, как организовать загрузку. Вероятно, желание отпадёт сразу.

2. Даже Microsoft не доверяет этой технологии, точнее, её реализациям.

LUKS штука геморройна

Используй файловое шифрование в ext4. В Btrfs его пока нет.

Как ты догадался?

У тебя же Фря? Значит geli. Правда сейчас, вроде, и в zfs шифрование завезли…

LUKS штука геморройная.

Почему?

У тебя же Фря?

LUKS. Шифруете ли Вы дома/на работе диски? (комментарий)

Типичный такой фряшник с виндой, ничего особенного.

Да, шифрую.

Да, перевёл таки домашнюю систему на шифрование с luks + LVM.

Единственное неудобство - ключ пароль надо вводить на текстовом терминале и буковки мелкие так как разрешение экрана на ноутбуке 1920x1200.

Альтернативы - ключ в USB или по отпечатку пальца даже если технически реализуемо, например, неудобно для меня да и небезопасно, я ж хочу по пароль чтобы только я пароль знал.

Хочется графическое окно ввода, но пока не придумал, как. В теории можно было бы систему оставить на незашифрованном разделе и шифровать только /home, наверное, так работало бы, да не хочется переделывать.

Конечно. Вопрос в том, что бы такого поднять на удаленном устройстве, чтобы добраться до файлов. В особености нужно фильмы смотреть. Хотелось бы просто скармливать ссылку mpv и смотреть видосик. Есть vpn в локалку. Посоветуйте что-то быстрое, что может 5-12-12 гигов нормально передавать. Пасиба.

minidlna попробуй. Или просто веб-сервер.

Plymouth поставь, там всё должно быть в более удобном масштабе. Или почини конфигурацию консоли, чтобы она в initrd уже применялась.

Не пойму, как получить ссылку на файл из терминала?

Нужно немного подождать, обещают скоро шифрование через TPM запилить, тогда только системный пароль вводить.

Clevis существует уже давно. systemd-cryptenroll тоже не вчера появился. Настраивается это всё элементарно.

LVM он кривой (не по багам а по схеме использования) но удобный, raid-0 заполняет диски по порядку что плачевно для ssd (сначала заполнится полностью один потом второй) и по скоростям для всех видов дисков грусно, вместо я древний mdam юзаю. Btrfs использовать на сервере где базы данных на нём захлёбываются, да и дома sqllite во всех программах от браузера до телеги юзаются, конечно разработчики Btrfs придумали флаг специально говорящий что с базой sqllite работаем и сейчас Btrfs на них не крашется но и скорость не фонтан.

Скрыватся нужно не от майора, а от дочери, жены так чтобы понятно что ни чего не скрывают, я файл «обыкновенное чудо.mp4» создал его LUKS зашифровал на нём ext4 её к пользователю допустим secret монтирую вручную, и

ssh -X secret@localhost Telegram
ssh -X secret@localhost firefox

я так как выше описал сделал

Ага, какое-то время назад пробовал plymouth, что-то там не взлетело, времени не было ковыряться. Дам ему ещё один шанс. =)

TPM? Another tree letter acronym?

Я пробовал minidlna, как-то кривовато он работает… тормозил.

Мне лучшее зашёл jellyfin, впрочем, он тоже иногда тупит на некоторых больших видеофайлах. plex почему-то не тупил. Хотя он мне не нравится тем, что слишком навороченный, пока работает стабильнее всего для отдачи киношек по сети.

Каждый раз пароль вводить в некрасивом интерфейсе приходится. Хочу, чтобы пароль биос сам вводил.

ключ пароль надо вводить на текстовом терминале и буковки мелкие так как разрешение экрана на ноутбуке 1920x1200. Хочется графическое окно ввода, но пока не придумал, как.

plymouth же. Он умеет графический ask-password. В ubuntu именно так и сделано.

https://wiki.archlinux.org/title/Silent_boot + https://wiki.archlinux.org/title/Plymouth

Я допердолился в дебиане до того, что у меня сразу на загрузке вылезает красивый интерфейс с вендор лого и вводом пароля, а через несколько секунд уже рабочий стол (включил автологин). Все это без переключений разрешений и миганий, но это не просто и наверно не на всех видеокартах работает (на интеле работает).

В Убунте это +- из коробки есть.

Можно в grub (не пробовал, но по логике да) вписать этот пароль с тем же успехом. То есть он будет в grub.cfg в текстовом незашифрованном формате. Что немного портит всю идею шифрования всего диска, конечно. =) Но в bios же аналогично наверное?

Не уверен, как именно в убунте это реализовано, но чтобы реально сделать быструю загрузку (чтобы система начала грузиться ДО ввода пароля), надо таки корневой раздел не шифровать, шифровать только /home (и может ещё /var и /tmp, тут не уверен, что есть смысл, что нет, /tmp может лучше просто чистить при перезагрузке).

Иначе (как у меня), даже если сделать красивое графическое окошко ввода пароля в plymouth, собственно загрузка графической среды всё равно будет отнимать время уже после ввода пароля, а не до. =)

Хочу, чтобы пароль биос сам вводил.

Если пароль вводить не хочется, можно же и ключевой файл на флешке использовать. Или, например, если флешка с ключём отсутствует, то пароль вводить, а если вставлена, то автоматически подключать.

Типичный такой фряшник с виндой

Вряд ли Dimez фряшник. А то что он виндузятник, это да.

Хочу, чтобы пароль биос сам вводил.

TPM + systemd-boot, но от какой угрозы тогда защитит такое шифрование, что кто-то влезет в ноут, выкрутит диск, и попробует подключить на своем компьютере? Сомнительно

Можно просто создать раздел, удалить, а потом монтироваться по смещению:

sudo mount -o loop,offset=<offset> /dev/sda /mnt/hidden

Можно файловую систему создать одну, затем ее удалить, потом со смещением мегабайт в 50 создать еще одну, удалить ее. Затем создать раздел с первой (без форматирования), и будет показываться первая система, а самому монтироваться по смещению во вторую файловую систему. Будет двойное дно

Да, у меня так же, ~10 сек от ввода пароля до десктопа.

так это ты сам выставляешь при создании время сколько нужно для расшифровки ключа. я вручную 15 сек выставил

Можно в grub (не пробовал, но по логике да) вписать этот пароль с тем же успехом. То есть он будет в grub.cfg в текстовом незашифрованном формате. Что немного портит всю идею шифрования всего диска, конечно. =) Но в bios же аналогично наверное?

Почему в БИОС аналогично? Диск я могу вытащить, подключить к другому компьютеру и прочитать grub.cfg. А БИОС как я вытащу? Если он по уму сделан, он там в TPM как-то будет хранить. Не вытащить это никак.

Настроить TPM, конечно, тоже можно, но я почитал - там всё очень мутно и сложно. Мне проще вводить пароль каждый раз, чем настроить это TPM. А ещё проще было бы, чтобы в БИОС тыкнуть галочку и всё стало супер.

TPM - это в дополнение к обычному паролю.

Про теорию я в курсе, на практике мне это кажется геморроем. Это даже в мейнстрим линуксах не сделали в инсталляторах, значит ещё не готово.

В целом я скорей другим путём думаю пойти - там в федоре была какая-то фишка типа включаешь автологин и он паролем, которым расшифровали диск, также открывает gnome keychain (или как там его), так что пароль вводишь один раз.

Готово, но не нужно. Я всегда пароль ввожу так безопаснее (и гарантия что я его не забуду)