LINUX.ORG.RU
ФорумTalks

Полнодисковое шифрование или...

 , ,


1

1

Осознанно создаю тему в Talks, так как понимаю, что однозначного ответа не существует, и отношение к безопасности у каждого свое. Да и вопрос, в общем, больше идеологический, а не технический.

Использую ноутбук, который по совместительству и домашний и рабочий ПК. Работаю я дома, т.е. транспортируется он сравнительно нечасто. Если куда-то его везу - не оставляю в машине без присмотра и т.п.

С другой стороны, отлично понимаю, что все равно существует ненулевая вероятность того, что его могут украсть.

Соответственно, уже некоторое время назад, задумался о том, что данные надо как-то защищать. Достаточно долго оценивал, что вообще у меня есть. Ну да, оказалось что есть то и это, всякие рабочие документы, личные фотографии (без всякого такого), что ежели попадет в ненужные руки - будет, конечно, неприятно. Но не более.

Пароли хранятся в KeePass.

По моим оценкам, самым критичным оказался браузер - это и почта, и доступ к админкам сайтов и еще многое другое. Т.е. если ноут стырят именно со злым умыслом, а не просто для продажи, то это то, что реально может принести проблемы. Авторизироваться во всех сервисах каждый раз при работе - сами понимаете, не комильфо. Надо работать, а не сидеть каждое утро и полчаса пароли вводить.

Соответственно, родились две мысли:

1) создать контейнер VeraCrypt и положить внутрь браузер. Включил комп - открыл контейнер - работаю. Плюсы - просто. Минусы - остальная информация, пусть и не столь критичная, все-таки остается открытой.

2) полнодисковое шифрование LUKS. Плюсы - защищено все. Минусы - масса неочевидных неудобств. Основное из которых, что когда меня нет дома, либо компьютером никто не сможет пользоваться, либо пароль должен лежать на бумажке около ноута. А уже само наличие такой бумажки ставит под сомнение всю затею. При том, что ноутом не редко пользуется жена. Или я прошу ее включить его, чтоб я мог удаленно подключиться. Ну и так далее.

Не жду однозначного ответа, просто хотелось бы, чтобы Вы поделились опытом - кто как делает? Почему? Кто использует шифрование - с какими проблемами сталкивались \ не сталкивались и т.п. - вообще впечатления. В общем, любые мысли в тему.



Последнее исправление: Gnom-s-toporom (всего исправлений: 1)

1) создать контейнер VeraCrypt и положить внутрь браузер. Включил комп - открыл контейнер - работаю. Плюсы - просто. Минусы - остальная информация, пусть и не столь критичная, все-таки остается открытой.

Положи в контейнер весь свой домашний каталог. А жене и прочим детям/гостям сделай отдельного пользователя, или пользователей. Пусть заходят и пользуются. Можно и им хомяки в контейнеры.

imul ★★★★★
()

разбить хард на два раздела и один шифровать луксом, а другой под вконтактик для жены?

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)

Только полнодисковый LUKS.

Основное из которых, что когда меня нет дома, либо компьютером никто не сможет пользоваться, либо пароль должен лежать на бумажке около ноута.

Купи им отдельные компьютеры, не будь злым буратиной. Для жены можно сделать что-то вроде USB-токена с ключиком.

Deleted
()

Уже не помню с какого года шифрую все диски, полет нормальный. С другой стороны, решения, когда контейнер требует пароля при запуске зело неудобные. Что касается жены - пусть знает пароль, ты своей жене не доверяешь? Пароль от конейнера не отменяет разных аккаунтов в операционке.

ptarh ★★★★★
()

создать контейнер VeraCrypt и положить внутрь браузер.

Положить в контейнер браузер а профиль пользователя не зашифрованный по обычному расположению.

kreygasm

Без шуток если, то ИМХО адекватный вариант сам о таком подумывал.

Behem0th ★★★★★
()
Ответ на: комментарий от Deleted

Дык он же есть вроде, и на безопасность влияет не так, чтобы уж очень отрицательно - LUKS и TRIM

А по поводу второй ноут купить... Накладно, блин. Она на нем играет, а второй ноут с 1070 - не самая дешевая штуковина :(

Gnom-s-toporom
() автор топика
Ответ на: комментарий от Gnom-s-toporom

Понятно, это же шутка была :-)

Из советов выше мне понравилась идея сделать пользователей для себя и жены. Свой профиль зашифровать, жены нет.

Behem0th ★★★★★
()
Ответ на: комментарий от Behem0th

Согласен, я сам как-то это вариант пропустил, сейчас он мне кажется наиболее подходящим!

Gnom-s-toporom
() автор топика
Ответ на: комментарий от ptarh

С другой стороны, решения, когда контейнер требует пароля при запуске зело неудобные.

Чем? Я перезагружаю компьютер раз в пару месяцев.

Что касается жены - пусть знает пароль, ты своей жене не доверяешь?

LUKS контейнеру можно назначить несколько паролей. Это удобно, в частности, тем, что жене нужно запомнить свой пароль, а не твой. А свой пароль для аккаунта в OS она уже помнит.

Пароль от конейнера не отменяет разных аккаунтов в операционке.

Будешь смеяться, но я видел множество людей, которые используют один аккаунт всей семьёй. У мужа один браузер, у жены - другой. За детьми нужно следить, чтобы не напакостить. Разные аккаунты у них ассоциируются с недоверием и вызывают категорическое отторжение.

aquadon ★★★★★
()

LUKS плох тем что наличие шифрованного раздела уже палево, лишний повод применения электровспоминателя. Я за вариант, когда наличие шифрованного диска не очевидно. Например encfs. Есть и другие плюсы: 18.04.1 осторожно с абдейтами(С) зашифрованной фс (комментарий)

А то что чуть медленней пофиг, на практике не ощущается.

Deleted
()

Использую ноутбук, который по совместительству и домашний и рабочий ПК.

Моя личная формула хороших взаимоотношений: два компьютера себе (один помощнее, второй мобильный) и по одному компьютеру всем остальным. Один месяц попользовались на двоих одним ноутбуком, больше такого повторять не стану никогда.

полнодисковое шифрование LUKS

Используй его.

Основное из которых, что когда меня нет дома, либо компьютером никто не сможет пользоваться, либо пароль должен лежать на бумажке около ноута.

Уже ответил выше, но выдать жене пароль - тоже не проблема.

При том, что ноутом не редко пользуется жена. Или я прошу ее включить его, чтоб я мог удаленно подключиться.

А зачем ты его выключаешь?

aquadon ★★★★★
()
Ответ на: комментарий от aquadon

Чем? Я перезагружаю компьютер раз в пару месяцев.

Как минимум тем, что это лишний пароль который нужно помнить. Обычно длинный и сложный, что черевато когда он используется раз в пару месяцев.

LUKS контейнеру можно назначить несколько паролей. Это удобно, в частности, тем, что жене нужно запомнить свой пароль, а не твой.

Это весьма монописуально для безопасности, если она может контейнер вскрыть. Разве что в случае если она свой пароль запишет на бумажку и потеряет на улице не придется перешифровывать раздел, а можно просто сменить ее пароль.

Будешь смеяться, но я видел множество людей, которые используют один аккаунт всей семьёй.

Буду смеяться, я на свои девайсы даже чужие аккаунты не пускаю ¯\_(ツ)_/¯

ptarh ★★★★★
()
Ответ на: комментарий от ptarh

Как минимум тем, что это лишний пароль который нужно помнить. Обычно длинный и сложный, что черевато когда он используется раз в пару месяцев.

Не вижу серьезной проблемы для безопасности в том, чтобы использовать для LUKS контейнера тот-же самый пароль, что и для аккаунта в OS. А потому, возможность открыть контейнер разными паролями выглядит очень удобно.

Буду смеяться, я на свои девайсы даже чужие аккаунты не пускаю ¯\_(ツ)_/¯

Я тоже, но мои аккаунты есть на всех компьютерах в доме xD

aquadon ★★★★★
()
Ответ на: комментарий от Gnom-s-toporom

Дык он же есть вроде

Так речь не про поддержку его LUKS'ом, а про TRIM в ZoL (ZFS-on-Linux).

А по поводу второй ноут купить... Накладно, блин.

А почему именно ноут? Жена тоже с ним куда-то ездит?

Deleted
()
Ответ на: комментарий от aquadon

Не вижу серьезной проблемы для безопасности в том, чтобы использовать для LUKS контейнера тот-же самый пароль, что и для аккаунта в OS. А потому, возможность открыть контейнер разными паролями выглядит очень удобно.

Ну тут мы и подходим к решению FileVault2 - пароль пользователя и есть пароль от контейнера. Это так же имеет тот профит, что если я, к примеру, активирую разлочивание компа по Apple Watch, то мне не нужно сначала вбивать пароль от контейнера при запуске.

Я тоже, но мои аккаунты есть на всех компьютерах в доме xD

Мои пациенты проживают на расстоянии, там только TeamViewer помогает. Объяснять куда жать никаких нервов не хватает.

ptarh ★★★★★
()
  1. Раздели рабочее окружение и личное. Это могут быть либо разные устройства, либо разные жесткие диски (что может быть удобно для загрузки рабочей системы на любой из машин, где понадобится), либо хотя бы разные разделы.

  2. На каждом из устройств/дисков/разделов настрой полнодисковое шифрование. Что на деле означает «при установке Debian не забудь поставить галочку „включить шифрование раздела“».

  3. Купи жене отдельный ноутбук. Иначе рано или поздно она тебе «установит flash player», со всеми вытекающими последствиями.

Сам использую описанный выше подход (за исключением покупки отдельного ноутбука жене, ввиду её отсутствия).

Непосредственно по вопросу «полнодисковое шифрование или только важной информации» — советую именно полнодисковое. Проблема шифрования только важной информации в том, что «передергивать контейнер» рано или поздно тебе надоест.

Deleted
()
Ответ на: комментарий от Gnom-s-toporom

А по поводу второй ноут купить… Накладно, блин. Она на нем играет, а второй ноут с 1070 - не самая дешевая штуковина :(

В таком случае может быть выходом купить себе рабочий. Судя по «почта, и доступ к админкам сайтов» ты занимаешься либо разработкой в Web, или администрированием — в этом случае тебе видеокарта не нужна.

Хотя тут скорее даже не «не нужна», а противопоказана. Чем хуже железо у разработчика (Web-)приложений, тем спокойнее потом пользователю.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Gnom-s-toporom

Отдай этот ноут жене, пусть играет. А себе купи попроще.

imul ★★★★★
()
Ответ на: комментарий от Gnom-s-toporom

Ноутбук для игр - это мазохизм. Купи ей для игр десктоп с Windows.

aquadon ★★★★★
()

всякие там убунты из-коробки умеют шифровать /home/user - расшифровка производится автоматически паролем юзера при входе в систему

next_time ★★★★★
()

А уже само наличие такой бумажки ставит под сомнение всю затею.

нет. вы уже определитесь, от кого скрываетесь: от жены или от хакеров, хакеров, которые ноут украдут?

итого: отдельный юзер, выделенный жене и бумажка с паролем, чтобы она в форс-мажорных обстоятельствах могла зайти под вашим аккаунтом

next_time ★★★★★
()
Ответ на: комментарий от Einstok_Fair

а как тогда он за ейной активностью следить будет?

TooPar
()

Пароль - на бумажку, бумажку в сейф, ключ под коврик

Artificial_Thought ★★★★
()

есть такая штука как ecryptfs и как encfs, которые могут шифровать отдельные каталоги, емнип.

dikiy ★★☆☆☆
()

Свой home на отдельный шифрованный раздел, и всё. Тот же LUKS и pam_exec.

baka-kun ★★★★★
()

У меня FreeBSD'шное полнодисковое шифрование на GBDE. Неудобств не испытываю, ноут обычно всегда со мной и никому в него лазить не надо. У жены свой ноут. А в крайнем случае несложно пароль и продиктовать.

Остальные пароли у меня просто запомнены в FF. И дополнительно есть пассфраза для ssh ключа. Итого при включении ноута я ввожу 3 пароля - от шифрования, для логина и пассфразу.

slovazap ★★★★★
()
Ответ на: комментарий от dikiy

есть такая штука как ecryptfs и как encfs, которые могут шифровать отдельные каталоги, емнип.

Недостаток таких решений, что крайне сложно уследить в процессе работы в каком временном файле или еще где, в том числе в секторах диска, ОС и приложения могут оставить информацию.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

минимально адекватные приложения оставляют всю ценную информацию в ~

next_time ★★★★★
()

Бумажка лежит дома, а не в машине, из которой ноут тащить будут. Можешь дату годовщины на пароль поставить или её ДР, точно не будет забывать.

А по поводу второй ноут купить... Накладно, блин. Она на нем играет, а второй ноут с 1070 - не самая дешевая штуковина :(

Купи себе рабочий ноут. 1070 для работы точно не нужна, да и не так жалко будет если скомуниздят.

Murg ★★★
()
Ответ на: комментарий от dikiy

Как уже заметили у приложений выбора особо нет: ~, /tmp и /var/tmp

next_time

минимально адекватные приложения оставляют всю ценную информацию в ~

Значит, надо не забыть эти каталоги добавить в encfs.

Плюс в своп может попасть, если он включен. Плюс еще возможна куча неочевидных ситуаций, например, содержимое памяти в креш-дампе после падения, в индексном файле после какого-то поиска. В секторах диска после удаления временного файла. Не все сразу и в голову придет.

К тому же в адекватности еще надо убедиться. Поэтому мое мнение, что если волнует конфиденциальность, надо все же полнодисковое использовать.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Плюс в своп может попасть, если он включен. Плюс еще возможна куча неочевидных ситуаций, например, содержимое памяти в креш-дампе после падения, в индексном файле после какого-то поиска. В секторах диска после удаления временного файла. Не все сразу и в голову придет.

своп автоматом обычно шифруется (cryptswap в fstab), /tmp находится в памяти обычно и затирается при выключении компа. /var/tmp разве что добавить надо.

Плюс еще возможна куча неочевидных ситуаций, например, содержимое памяти в креш-дампе после падения

если юзерская программа свалится, то и дамп в хомяк попадет.

К тому же в адекватности еще надо убедиться. Поэтому мое мнение, что если волнует конфиденциальность, надо все же полнодисковое использовать.

вопрос не в адекватности программы. Они в другие места писать просто не могут по причина нехватки прав.

В случае ТС такой тяжелой шапки из фольги не надо. Думаю даже для ФСБ будет достаточно зашифровать хомяк.

dikiy ★★☆☆☆
()
Ответ на: комментарий от praseodim

ну удачи спарсить из этих файлов полезную информацию

ls -a /var/tmp                                                                                                                                                                                                             
.                                                                                  systemd-private-697582bfa4cf4f15a3691bef307865c1-colord.service-HYdkUF                                                                                  
..                                                                                 systemd-private-697582bfa4cf4f15a3691bef307865c1-rtkit-daemon.service-Z3qINY                                                                            
flatpak-cache-3L4DSZ                                                               systemd-private-73e21c749e7e4b8ab3af3cefbe6e34da-rtkit-daemon.service-W8Tqph                                                                            

итд. итп.                                                            

а /tmp у меня в ramfs

next_time ★★★★★
()
Ответ на: комментарий от dikiy

своп автоматом обычно шифруется (cryptswap в fstab)

секунду. а каким паролем шифруется, и, что важнее, расшифровывается, при загрузке из гибернации?

next_time ★★★★★
()

Ношу ноут без шифрования вообще. В ноуте стоит SSD. Все критичные данные хранятся на внешнем HDD c LUKS. Пароли в KeePass на флешке. Флешка хранится отдельно от ноута. Профит в том что хоть в вендомашину вставь, хоть под онтоп - пароли доступны. Пароли в бровзере не храню. Куки за исключением белого списка чищу т.е. авторизован всего-лишь на паре сервисов и пароль вполне можно сменить удаленно или заблочить доступ. К таким сервисам относятся Telegram и Яндекс с его Яндекс.Деньги - это самые критичные.
Т.е. проблему пока решил описанным выше способом. Других вариантов пока не придумал. Браузер в контейнере тоже неплохо конечно, но я пока не пришел к этому из-за лени.

Promusik ★★★★★
()
Ответ на: комментарий от next_time

секунду. а каким паролем шифруется, и, что важнее, расшифровывается, при загрузке из гибернации?

есть вероятность что тем же самым.

dikiy ★★☆☆☆
()
Ответ на: комментарий от Deleted

LUKS плох тем что наличие шифрованного раздела уже палево, лишний повод применения электровспоминателя

Хоспаде, да когда же вы уже поймете что шифрование носителя — оно не от мифических спецслужб, а от кражи, слишком любопытных работников сервисов и коллег с загрузочными флешками. Если вами заинтересуются органы, то у них и без мороки с расшифровкой может быть на вас достаточно материала, вплоть до подкидывания фальшивого диска с цп.

unanimous ★★★★★
()
Ответ на: комментарий от unanimous

Хоспаде, да когда же вы уже поймете что шифрование носителя — оно не от мифических спецслужб, а от кражи, слишком любопытных работников сервисов и коллег с загрузочными флешками.

А в этом плане мне LUKS не даёт каких-то преимуществ по сравнению с encfs. Зато с encfs у меня:

  • После аутентификации пустые профили браузера и прочее, пока я вручную не примонтирую шифрованную директорию. Автомонтирование при логине плохо, я считаю.
  • Удобство дельта бекапа с помощью rsync прямо шифрованных данных.
Deleted
()

«Полнодисковое» («спасибо» EFI) шифрование LUKS, потому что это попросту ненапряжно.

t184256 ★★★★★
()
Ответ на: комментарий от unanimous

слишком любопытных работников сервисов и коллег с загрузочными флешками

лол, только не от этого. google://evil+maiden+attack

t184256 ★★★★★
()
Ответ на: комментарий от Deleted

А в этом плане мне LUKS не даёт каких-то преимуществ по сравнению с encfs

Я сам использую encfs, но именно в полнодисковом шифрованиии они попросту несравнимы по производительности. Процы в моих лаптопах умеют в aes-ni, поэтому просадки дисковой производительности от шифрования малы даже на быстрых SSD. А вот encfs — тормоз.

Encfs удобен когда нужно прятать данные от посторонних глаз при хранении чего-то на удаленном сервере, например поверх sshfs--- там да, скорость все равно лимитирована сетью. Или что-то сильно секретное, но небольшое — локально.

unanimous ★★★★★
()

Использую полнодисковое шифрование, проблем никаких. Просадок производительности не наблюдается. Даже без учёта безопасности это тупо удобно - 1 раз ввёл пароль при загрузке и всё, а не надо заморачиваться о монтировании специального раздела в особых случаях и т. д. Если у меня будет жена и ей нужно будет пользоваться моим ноутбуком, я её заставлю выучить пароль.

KivApple ★★★★★
()

Почему бы не шифровать $HOME и иметь интеграцию с PAM для расшифровки и монтировании при логине.

ivlad ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.