LUKS. Шифруете ли Вы дома/на работе диски?

после обыска СК, ЦПЭ и ФСБ шифрую

А смысл?

При следующем обыске обязан будешь предоставить пароли. Не проще жить правильно, а не лезли в дебри …

Шифрую.
Не знаю что такое LUKS не использую.

Не проще жить правильно, а не лезли в дебри …

почему такая глубокая мысль написана анонимно?

#GRUB_GFXMODE=640x480

коммент сними

Не проще жить правильно, а не лезли в дебри

На сегодняшний день в малом и среднем бизнесе целая куча компаний, у которых ещё ч/б з/плата + фиктивные ИП

Настроить TPM, конечно, тоже можно, но я почитал - там всё очень мутно и сложно.

Заинтриговали… когда-нибудь тоже почитаю.

raid-0 заполняет диски по порядку что плачевно для ssd (сначала заполнится полностью один потом второй)

Шта?

что это не так? меня LVM давно ещё на hdd этим пугал, что не пытается при raid-0 писать по переменно на разные диски. может что то в этом плане сейчас поменялось?

В связи с чем?

Как шифрование защитит от воровства?

Потому что нужно регистрироваться, а я очень ленивый. Да и не вижу смысла в регистрации на ресурсах (lor, opennet) для отправки нескольких сообщений в год.

Бежать из таких контор нужно, а не шифроваться.

ЗЫ Даже в моём крае молодёжь старается устроится в организации с белой з/п. Но это в моем кругу общения: железнодорожники, энергетики, медики, горнорабочие. На слуху разве что сфера торговли, перевозок, да всякая мелочь в виде подработки у нас отчасти в тени.

Не использую шифрование дисков потому что это снижает шанс успешного восстановления данных/ОС в случае проблем. Я руководствуюсь в первую очередь защитой физического доступа к устройствам от злоумышленников. Также я ни разу не терял и у меня ни разу не крали цифровые устройства с данными. Я не представляю каким надо быть раздолбаем чтобы потерять ноутбук или смартфон.

раздолбаем

Я бы другим словом это назвал, но цензура не пропустит

Как шифрование защитит от воровства?

Защита данных при физическом воровстве.

Единственный раз, когда меня «взломали» это админ тупо унес мой сервак из серверной и канул в лету.

Однажды на линуксовке в нашем городе один товарищ пришёл с проблемой: как подобрать брутфорсом забытый пароль от шифрованного раздела?

Я не знаю/не помню подобрал ли он, но с тех пор я даже если и задумываюсь о шифровании, то вспоминая эту историю думаю: «да ну его нафиг!»

Также я ни разу не терял и у меня ни разу не крали цифровые устройства с данными

А дверь у тебя дома дороже информации, хранящейся за ней? У меня как-то вынесли дверь и украли лаптоп, еще в далеком 2007. Шифрованный был. С тех пор у меня даже усб драйвы, подключенные к роутерам, шифрованные.

обязан будешь предоставить пароли

На основании какого закона? В РФ верховенство права пока не отменили:

Конституция РФ:

" Статья 51

1. Никто не обязан свидетельствовать против себя самого, своего супруга и близких родственников, круг которых определяется федеральным законом.

2. Федеральным законом могут устанавливаться иные случаи освобождения от обязанности давать свидетельские показания."

http://www.constitution.ru/

Что должен знать специалист ИБ на старте (комментарий)

Для усиления приватности все данные на всех дисках, включая бекапы и домашние каталоги пользователей подлежат специальным математическим преобразованиям. При этом в юрисдикции РФ необходимо избегать лицензированных слов: Что должен знать специалист ИБ на старте (комментарий)

Пароли предоставлять никому никогда нельзя. Пароли могут и своровать кейлогером.

Есть надзорные и проверяющие, для их работы можно собрать тестовый стенд..

Единственный раз, когда меня «взломали» это админ тупо унес мой сервак из серверной и канул в лету.

В одной конторе поставил сервер в датацентре. При установке спрашивал диски шифровать? Сервер физически не у нас стоять будет! Ответили ставить без всех шифрований. Через пару лет контора распалась на две и за сервак с клиентами начали драться. Отколовшимся удалось убедить персонал дата центра, что суд сервак отдал им и сотрудники дата центра предоставили IPKVM, воткнули привод с LiveCD Linux и ресетнули. Сервак перегрузили с LiveCD, поменяли пароль рута, настройки сетевого экрана и начали кошмарить всех клиентов, чтобы они перезаключить договора с новым юрлицом. Вред для организации был критичен!!! Долго разговаривали с датацентром, меня искали, для востановления настройки сетевого экрана и паролей..

)) искали anonymous’а

для востановления настройки сетевого экрана и паролей.

В свое время задался вопросом: - «Что случится с большей долей вероятности кража/потеря техники либо сбой, который потебует восстановление данных?». долго думал, но жизнь показала, что второе. Так что для себя решил - шифрование диска лишняя головная боль при восстановлении данных с него. А так шифрованные контейнеры использую, да

Восстановление данных делается из бэкапа. Кроме того, LUKS практически никак не затруднит восстановление и там, где резервных копий ещё не было.

Да и не вижу смысла в регистрации на ресурсах (lor, opennet) для отправки нескольких сообщений в год.

так не регистрируйся. Просто пиши я, фамилия имя отчество, паспорт номер, хочу сказать, что «проще жить правильно»

Разумеется, в нынешние времена не шифруют только непуганные идиоты. (3)

У меня как-то вынесли дверь и украли лаптоп

Значит либо вы жили в криминальном районе, либо привлекли жуликов (богато выглядящая дверь, балкон и т.п.).

Причем тут шифрование, жить правильно, фио и паспортные данные?

С твоей логикой хорошо смешивать котлеты, мух и астероиды, но мне она чужда.

Разумеется, в нынешние времена не шифруют только непуганные идиоты. (3)

Разумеется, в нынешние времена шифруют только пуганные идиоты. (4)

Ваш исходная фраза:

Это защита от воровства диска, и возможность потом его продать,

В ней описка? Ну, а с данными с воровованного ноута, ИМХО, мало кто будет заморачиваться, побыстрее почстить и продать.

Ну ну. Вы всё краней усредняете. Одни лезут в квартиры про наводке и берут только денги. Другие выбирают хату побогаче. А третьи в первую попавшуюся и уносят всё. И выбор вторых может опредлить простая дверь в подъезд, соседи-пенсионеры на всё лето на даче, замок в двери, под который подходит их свёртыш и т.д. И вобще, они часто под веществами и что в их затуманеное сознание придёт не угадаешь.

Значит либо вы жили в криминальном районе, либо привлекли жуликов (богато выглядящая дверь, балкон и т.п.).

Привлек, конечно. Занимал руководящую должность. Со мной это периодически случается, хотя в целом я не люблю быть руководителем.

Потеря диска это, имхо, мелочь, это просто потеря сравнительно небольших денег, а вот утечка данных может привести к куче весьма неприятных последствий.

Ну, а с данными с воровованного ноута, ИМХО, мало кто будет заморачиваться, побыстрее почстить и продать.

Быстрее его просто продать, не чистя. Но мало ли, если диск открыт, то могут и посмотреть, что внутри на предмет компромата, как доп доход, плюс могут продать тем, кто этим занимается. Короче, лучше подстраховаться, чем на ровном месте иметь такие риски.

Для ноутов мастхев. Для пекичей сомнительно.

А можно даже когда вы её закрыли к вам с паяльником подойти и вы сами откроете.

Я тут в своём городе ЗП почекал оказалось что дворник нынче в госконторе получает больше админа и разраба. Такие дела.

ЗЫ

Подмосковье.

дворник нынче в госконторе получает больше админа и разраба.

Так у него видать погоны и важная мисия, а у админа с разрабом нет.

Для пекичей сомнительно.

Необходимость. Причем полнодисковое, включая /boot, / и дополнительно домашний каталог пользователя!

/boot то зачем?

Обычно для защиты от модификации злоумышленником initramfs. Но, честно говоря, я с трудом представляю ситуацию, когда условная службп из трёх букв настолько заморочится. А если и понадобится что-то такое сделать, то классическая скрытая камера для получения пароля куда проще. Да даже элементарный фишинг и прочая социальная инженерия.

Но если кому-то так комфортнее, то почему нет? Хотя практичнее, когда открытые и не представляющие секрета файлы просто подписаны, многие дистрибутивы к этому сейчас идут, а некоторые даже уже сделали.

Обычно для защиты от модификации злоумышленником initramfs.

Secureboot существует.

Secureboot существует.

Это надо MOK свой добавлять, настраивать UKI, подписи. Несложно, но проще дождаться, когда это будет из коробки.

Secureboot существует.

Придется с Virtualbox пердолиться.

Если попердолился с настройкой SB, то подписать пару модулей уже не будет особым квестом.

sbctl тоже существует.

На арче оно как-то само работает но на дебиане не помню чтобы это вообще какие-то сложности вызвало.

Я тут в своём городе ЗП почекал оказалось что дворник нынче в госконторе получает больше админа и разраба. Такие дела.

Так там работать надо.

Делал сам автоматизацию этого хозяйства на Debian, но как-то не очень красиво было. Попробую sbctl как-нибудь, выглядит неплохо.

нет. ничего ценного на ноуте не лежит. а даже если что-то и лежит, то в контейнере, а даже если и не в контейнере, то скомпроментированные доступы обнуляются

Нет, просто дворника нынче сложнее найти чем админа.

Админа я знаю там) Он как белка в колесе работает. Из говна и палок при отсутствии денежного обеспечения поддерживает парк в 70 компов +2 сетки с ними за которые ещё и материально отвечает.

Не проще жить правильно,

Ходить в РПЦ, слушать Шамана (не ШВИМа), голосовать за ЕР?