Если вы используете ноутбук исключительно на диване, то это не значить, что все используют ноутбук только на диване.

Это была попытка спетросянить? Не очень как-то ._.

Олсо, специально для вас пишут статьи вроде этой: https://ru.wiktionary.org/wiki/диванный_теоретик

Ладно, называйте меня как хотите, но против фактов не попрёшь.

спетросянить

Где таких слов набрались?

по требованию отдела по информационной безопасности, должен зашифровать, да руки всё не доходят

Так ведь нет у вас фактов, в том и дело. Потому и теоретик :)

Disk I/O? Да бросьте, ноутбучные диски слишком медленные, чтобы был какой-то performance impact от шифрования. Энергопотребление? От яркости подсветки дисплея оно зависит намного сильнее, чем от нескольких десятков секунд процессорного времени в час.

Ладно всё равно хотел 12,10 попробовать, выберу шифрование /home, чтоб не быть, как вы соизволили выразиться «диванным теоретиком» и проверю, как оно грузит слабенький amd Athlon || x2 P340.

Кстати, любители шифрования хомяка, а ну-ка рассказывайте, как это делаете: через pam, или же на стадии загрузки пароль вводите, или еще как (например, логинимся рутом, монтируем хомяк, разлогинимся, заходим в иксы, логинимся пользователем)?

Cлабенький Athlon || x2 P340.

как оно грузит слабенький amd Athlon || x2 P340.

У меня был зашифрованый / с Athlon XP 3000+. Правда производительность я не мерял, но на глаз не было заметно.

Ну блин, кто его у меня разбирать будет без спроса/незаметно :)

Тебя свяжут, будут пытать, когда им надоест вытягивать из тебя пароль, они возьмут ноут и сбросят пароль на биос. А ты будешь с ужасом смотреть, как твоя киношка попадает в руки злоумышленников.

Очевидно, что выбор между PAM и /etc/crypttab зависит в первую очередь от точки монтирования: /home логично подключать на стадии загрузки, а /home/vasya — при логине. PAM также удобнее, если пароли пользователя и контейнера совпадают, а кроме того, использование pam_mount (в идеале) гарантирует, что контейнер будет открыт лишь во время пользовательской сессии.

Шифровал всё.

Кстати, любители шифрования хомяка, а ну-ка рассказывайте, как это делаете: через pam, или же на стадии загрузки пароль вводите, или еще как (например, логинимся рутом, монтируем хомяк, разлогинимся, заходим в иксы, логинимся пользователем)?

У меня открыт был только /boot, а шифрование наложено на раздел на котором файловая система. При загрузке cryptsetup из initrd спрашивал пароль.

Я имел в виду, что проживает он в Москве, а говорит будто у нас за шифрование судят. И вообще, что если ключа к зашифрованным данным просто не существует? всё? ад и и-раиль?

Неудобно же.

Еще можно другой вид зонда сделать: положить ключ на флешку и брать его в момент монтирования оттуда.

Нет

В первую очередь потому что нет ноутбука. Наверное было бы лучше, если бы был отдельный вариант с этим.

Зачем это вам знать?!

а где вариант «шифрую, но не /home»?

Да шифрую все кроме /boot

Не боитесь, что ядро подменят?

Не боитесь, что ядро подменят?

Связываться с ядром затратно, проще подменить initramfs :)

Связываться с ядром затратно, проще подменить initramfs :)

Это, собственно, если его поддержка в ядре включена. У меня например на домашнем десктопе выключена, ибо нафиг там не нужна (/root не LVM, не криптованый, не md, не по сети и т.д.). Если же выключена, по любому ядро придётся подменять))

При шифровании корня без initramfs не обойтись.

Не хватает варианта «Шифрую, но не весь HOME».

+1 Проголосовал «Да», но реально шифрую далеко не весь HOME

Вдруг я что-нибудь сломаю, и придётся копировать /home с помощью LiveCD. Можно, наверное, как-нибудь расшифровать, я даже не сомневаюсь, но мне влом :)

Админы делятся на две категории: которые еще не делают бэкап и которые уже делают бэкап. (с)

А зачем его шифровать??

Ох...Сохранность ваших личных\корпоративных данных, которые не должны видеть?

А не хрен их на буке таскать

Ну всякое бывает. Просят тебя срочно подготовить %отчет_по_данным%, а данных то нема:|
И с одной стороны хорошо: украсть с ноутбука могут ровно ничего. А с другой стороны есть шанс..

Нет. А почему вы спрашиваете?

У тебя на ноуте есть рейд? А посыпется винт и как ты с него будешь вытягивать «тот модуль, нужный на позавчера, который забыл пушнуть»?

У меня нет ноутбука, так что нет.

У меня ~/Documents это отдельный раздел. Шифровать весь HOME не вижу смысла.

Пример: потерял ноутбук. Пароли в браузере уплыли, пароли мессенжеров и почты - тоже уплыли...

На устройстве которым могут пользоваться другие (даже члены семьи) никогда не сохраняю пароли в браузере и т.д. Пасы в keepassx файл ~/Documents/pass/default.kdb.

echo 0 > /sys/brain/paranoia

А использовать мастер-пароль не проще?

Не шифрую ниче, не надо и не интересно.

У тебя на ноуте есть рейд?

Нет, как нет и уникальных данных. Обычно он используется как качалка торрентов и читалка.

Когда был ноут шифровал весь раздел

Никогда такими делами не занимался.

На устройстве которым могут пользоваться другие

Ты - нет. Они - могут :)

А использовать мастер-пароль не проще?

Не проще, если речь не только о браузере. Не все программы умеют такие штуки (почтовые клиенты, например).

Стандартная галочка в Ubuntu «шифровать содержимое /home» считается? Где про это можно почитать?

Шифрую и /home и /var. Сплю спокойно.

Тогда не понимаю зачем там нужно шифрование. Винт без уникальных данных ни для кого никакого интереса не представляет.

Винт без уникальных данных ни для кого никакого интереса не представляет.

Под отсутствием уникальных данных я подразумеваю отсутствие того, что есть на основном компьютере. Это не означает, что на лэптопе нет паролей к разным сервисам и машинам, а также личных документов, которые, возможно, придётся править не дома :)

Нет, так как не имею его.

Только некоторые каталоги

Ага. Теперь всё стало на свои места:) В таком случае действительно есть толк с шифрования.

* Забыл пароли.

А поцчему ви таки спгашиваете?

Нет. Ничего интересного там нет (все ценное на отдельных носителях), да я и не прячусь.