LINUX.ORG.RU
ФорумTalks

Полнодисковое шифрование или...

 , ,


1

1

Осознанно создаю тему в Talks, так как понимаю, что однозначного ответа не существует, и отношение к безопасности у каждого свое. Да и вопрос, в общем, больше идеологический, а не технический.

Использую ноутбук, который по совместительству и домашний и рабочий ПК. Работаю я дома, т.е. транспортируется он сравнительно нечасто. Если куда-то его везу - не оставляю в машине без присмотра и т.п.

С другой стороны, отлично понимаю, что все равно существует ненулевая вероятность того, что его могут украсть.

Соответственно, уже некоторое время назад, задумался о том, что данные надо как-то защищать. Достаточно долго оценивал, что вообще у меня есть. Ну да, оказалось что есть то и это, всякие рабочие документы, личные фотографии (без всякого такого), что ежели попадет в ненужные руки - будет, конечно, неприятно. Но не более.

Пароли хранятся в KeePass.

По моим оценкам, самым критичным оказался браузер - это и почта, и доступ к админкам сайтов и еще многое другое. Т.е. если ноут стырят именно со злым умыслом, а не просто для продажи, то это то, что реально может принести проблемы. Авторизироваться во всех сервисах каждый раз при работе - сами понимаете, не комильфо. Надо работать, а не сидеть каждое утро и полчаса пароли вводить.

Соответственно, родились две мысли:

1) создать контейнер VeraCrypt и положить внутрь браузер. Включил комп - открыл контейнер - работаю. Плюсы - просто. Минусы - остальная информация, пусть и не столь критичная, все-таки остается открытой.

2) полнодисковое шифрование LUKS. Плюсы - защищено все. Минусы - масса неочевидных неудобств. Основное из которых, что когда меня нет дома, либо компьютером никто не сможет пользоваться, либо пароль должен лежать на бумажке около ноута. А уже само наличие такой бумажки ставит под сомнение всю затею. При том, что ноутом не редко пользуется жена. Или я прошу ее включить его, чтоб я мог удаленно подключиться. Ну и так далее.

Не жду однозначного ответа, просто хотелось бы, чтобы Вы поделились опытом - кто как делает? Почему? Кто использует шифрование - с какими проблемами сталкивались \ не сталкивались и т.п. - вообще впечатления. В общем, любые мысли в тему.



Последнее исправление: Gnom-s-toporom (всего исправлений: 1)
Ответ на: комментарий от unanimous

Я сам использую encfs, но именно в полнодисковом шифрованиии они попросту несравнимы по производительности.

В теории или если сравнивать в тестах. На практике пофиг, если не использовать там что-то сильно требовательное к производительности дисков, например сервер БД.

Deleted
()
Ответ на: комментарий от Deleted

Ну я например хочу, чтобы кэш браузера с паролями, локальный сторадж мэйл-клиента, документы тоже были защищены, а производительность браузера таки зависит от скорости дискового доступа... Так что почему надо жертвовать производительностью, работая с encfs, а не luks-ом — непонятно.

Плюс полнодискового шифрования еще и автоматом шифрованный своп (для гибернации, например) и настройки ОС.

В общем могу только повторить, что реально полезная ниша encfs — шифрование важных данных поверх сетевых ФС, по крайней мере оно довольно легко делается технически и гораздо гибче, скажем, всяких шифрований iscsi устройств.

unanimous ★★★★★
()
Ответ на: комментарий от next_time

Смотреть надо, может быть первым залогинивоимся

dikiy ★★☆☆☆
()
Ответ на: комментарий от unanimous

Так что почему надо жертвовать производительностью, работая с encfs, а не luks-ом — непонятно.

Ну вот мне больше нравится принцип когда монтировать надо вручную после входа в учётку, а не автоматом всё монтируется при логине. И то что диск зашифрован не палится явным образом. Производительность да, такае себе, если измерять. Создал шифрованную директорию encfs в /dev/shm и замерил с помощью dd, разница в скорости в десять раз (а я где-то читал что в два раза всего).

Плюс полнодискового шифрования еще и автоматом шифрованный своп (для гибернации, например) и настройки ОС.

Ну вот если надо своп можно ж и отдельно зашифровать с помощью LUKS, одно другому не мешает.

Deleted
()
Последнее исправление: pyroman (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.