LinuxMint.com.ru

Всем привет.
Есть необходимость в шифровании ВСЕГО ссд небольших размеров, на которой должен быть установлен линукс минт и еще парочка разделов с деликатными данными. Увы, сам официальный образ не дает этого сделать по умолчанию, в отличии от дебиан, например. Как я понял, штатными средствами возможно только зашифровать домашнюю папку, ну и вроде как еще свап, но это не точно. Да и собственные разделы создать не получится, а надо бы...
Вопрос. Как мне выполнить поставленную задачу, полностью зашифровав содержимое диска с установленной на него системой и при этом разметив его как мне нужно? Какие программные средства для этого есть? Боюсь кастомные установщики ставить, нужен официальный минт без сюрпризов. Если что, в ноутбуке есть другой ссд с виндой и личными данными, которые не нуждаются в анальном огорождении. Шифрование нужно, чтобы в том числе, скрыть содержимое диска от винды, и не только от нее. Основная система все же линукс минт (хфце).

victorfedorovich писал(а): ↑

09 апр 2022, 17:08

Шифрование нужно, чтобы в том числе, скрыть содержимое диска от винды, и не только от нее. Основная система все же линукс минт (хфце).

Так и шифруй только данные

victorfedorovich писал(а): ↑

09 апр 2022, 17:08

Шифрование нужно, чтобы в том числе, скрыть содержимое диска от винды

По этой строчке чую очередную попытку забивать шурупы молотком, или закручивать гвозди отверткой.
Объясните, что именно подразумевается под "скрыть от винды"? Винда, к вашему сведению, и так ни один линуксовый раздел прочесть не может, т.к. файловые системы используемые в линуксе не понимает. Видит их как "неизвестный раздел". А вот целиком зашифрованный диск она вполне способна принять за пустой, и в наглую нанести на него новую таблицу разделов, пустив все зашифрованное содержимое в цифровой рай.

slant писал(а): ↑

09 апр 2022, 21:03

А вот целиком зашифрованный диск она вполне способна принять за пустой,

Как, потенциально, этого варианта избежать?

Отключать диск в Bios`е или физически.

Если раздел не опознан, значит его нужно предложить форматировать.
Для Microsoft альтернативных файловых систем не существует.

demonlibra писал(а): ↑

10 апр 2022, 18:09

Отключать диск в Bios`е или физически.

В bios - бесполезно. Современные OS не использовали функции BIOS для доступа к железу еще со времен Win 2000 как минимум. Такой диск только для загрузки недоступен будет, а OS его увидит. В случае EFI - не все так однозначно, там много нюансов...

demonlibra писал(а): ↑

10 апр 2022, 18:09

Если раздел не опознан, значит его нужно предложить форматировать.
Для Microsoft альтернативных файловых систем не существует.

Раздел - пол беды, оно хотя бы спрашивает когда на него пытается сунуться.
А вот случае если зашифрован весь диск - система не увидит не только FS но и таблицу разделов. А такой диск M$ считает полностью чистым, после чего первым делом пишет туда новую пустую таблицу разделов затирая часть зашифрованных данных (в которых скорее всего окажется старая таблица разделов. Со всеми последствиями).

victorfedorovich писал(а): ↑

10 апр 2022, 17:47

Как, потенциально, этого варианта избежать?

Никак. Разве что физически провод из диска выдергивать.
Винда тупая, самомнение у нее до небес, а пользователя ни во грош не ставит. Если решит что это новый диск - "приготовит" его для использования. Спросит подтверждения или нет - как повезет. XP спрашивала всегда. Win7 - уже бывало самовольничала (если точнее в любой момент могло вылезти окно "обнаружен новый диск, инициализировать?" и выбор по умолчанию - "да". Только ткни Enter в этот момент.) 10-ка... Ну, вы поняли... Иногда говорит лишь по факту уже сделанного.

slant писал(а): ↑

10 апр 2022, 22:16

А вот случае если зашифрован весь диск

У меня диск шифрован не полностью.
Создан один раздел FAT32 с флагом boot и точкой монтирования /boot/efi

У шифрования всего диска есть минусы: если с файловой системой зашифрованного диска случится сбой, загрузиться с флешки для проверки проблема (есть риск потерять все данные). Шифрование всего диска занимает много времени, а сколько времени понадобится для шифрования диска >6TB?
Я использую шифрование отделенных папок при помощи ecryptfs, а внутри зашифрованной папки виртуальные диски программы VeraCrypt. При необходимости файловую систему можно проверить с флешки и скопировать зашифрованную папку на другое устройство. Есть другие методы и программы, этот метод для меня самый удобный.

Сотрудник писал(а): ↑

11 апр 2022, 09:33

Я использую шифрование отделенных папок при помощи ecryptfs, а внутри зашифрованной папки виртуальные диски программы VeraCrypt

Т.е. файлы гибернации и подкачки без шифрования?? Если да, то при анализе данных файлов можно вытащить ключи шифрования