LinuxMint.com.ru

Добрый день!

Имеется настольный компьютер со следующей конфигурацией:

• на SSD (распознаётся как /dev/sdc) - загрузочный раздел Linux Mint 19.3 и раздел подкачки, а также загрузочный раздел Windows;
• на жёстком диске (/dev/sda) - пользовательские данные (/home);
• на втором жёстком диске (/dev/sdb) - торренты на раздаче.

Требуется вместо Linux Mint 19.3 установить Linux Mint 21.1 и заодно зашифровать пользовательские данные. Покопался на эту тему в Интернете, вопрос следующий: правильно ли я понимаю, что

• оптимальное (если не единственное) решение для такой конфигурации - это при установке Linux Mint 21.1 выбрать ввод пароля при входе в систему и шифрование домашнего каталога;
• в этом случае будет также зашифрован раздел подкачки (спящим режимом я не пользуюсь);
• установка системы с такими параметрами НЕ СОПРОВОЖДАЕТСЯ уничтожением уже имеющихся на диске пользовательских данных;
• каталог /home/timeshift зашифрован не будет, то есть Timeshift нельзя будет использовать для резервного копирования пользовательских данных (он у меня сейчас резервирует не только систему, но и скрытые файлы и подкаталоги в моём домашнем каталоге)?

Или есть ещё какие-то нюансы, которые я упускаю?

Спасибо.

Амдир писал(а): ↑

03 апр 2023, 15:09

каталог /home/timeshift зашифрован не будет,

Странная логика, /home зашифрован а /home/timeshift нет...

symon2014 писал(а): ↑

03 апр 2023, 15:18

Странная логика, /home зашифрован а /home/timeshift нет...

Просто я так понял, что если при установке системы выбрать шифрование домашнего каталога, то зашифрован будет не /home, а, условно говоря, /home/user. Или в этом случае шифруется весь /home, включая /home/timeshift?

Амдир писал(а): ↑

03 апр 2023, 15:44

не /home, а, условно говоря, /home/user.

Домашний каталог для системы - /home , а юзеров может быть много , и все они будут в /home.

Амдир писал(а): ↑

03 апр 2023, 15:09

(если не единственное) решение для такой конфигурации - это при установке Linux Mint 21.1 выбрать ввод пароля при входе в систему и шифрование домашнего каталога;

Еще есть veracrypt, и возможность просто создать файл-контейнер с шифрованной FS монтируя его по необходимости. Но если есть желание/необходимость шифровать все пользовательские данные - шифрованный /home пожалуй что удобнее всего.

Амдир писал(а): ↑

03 апр 2023, 15:09

в этом случае будет также зашифрован раздел подкачки (спящим режимом я не пользуюсь);

Если шифруется только /home - при чем здесь раздел подкачки? Это отдельная сущность.

Амдир писал(а): ↑

03 апр 2023, 15:09

установка системы с такими параметрами НЕ СОПРОВОЖДАЕТСЯ уничтожением уже имеющихся на диске пользовательских данных;

Сопровождается или уничтожением данных на форматируемых разделах, или геморроем в попытках их случайно не затереть. А инициализация шифрованного пространства в любом случае требует его форматирования, насколько я помню.

Амдир писал(а): ↑

03 апр 2023, 15:09

каталог /home/timeshift зашифрован не будет, то есть Timeshift нельзя будет использовать для резервного копирования пользовательских данных (он у меня сейчас резервирует не только систему, но и скрытые файлы и подкаталоги в моём домашнем каталоге)?

Timeshift в принципе не предназначен для резервного копирования пользовательских данных. Это средство создания контрольных точек для отката системы, не более. Кроме того - сильно зависит от используемой FS. Если ext4 - то он работает одним образом, если btrfs - другим. Помесь ежа с ужом, в общем.
Его конечно можно пытаться использовать как средство резервного копирования на ext4, но результат может оказаться совсем не тем, что ожидался.

slant писал(а): ↑

03 апр 2023, 21:22

Еще есть veracrypt

Плюсую к "Вере" . На рабочем компе, к которому доступ возможен кого угодно, спокойно храню под Верой всё что "моё". Когда нужно - монтируется виртуальный диск.

Амдир писал(а): ↑

03 апр 2023, 15:09

оптимальное (если не единственное) решение для такой конфигурации

Можно зашифровать весь диск, оставив только разделы /boot и /boot/efi
Можно ограничиться контейнером, таким как luks, veracrypt, truecrypt, куда Вы спрячете "важные" данные.
Всё зависит от целей и глубины Вашей паранои.

demonlibra писал(а): ↑

04 апр 2023, 21:18

Можно ограничиться контейнером, таким как luks, veracrypt, truecrypt

truecrypt - мертв, после странной истории. Провели аудит кода сообществом (на предмет ошибок и надежности), ничего не нашли, потом вдруг автор выпустил последнюю версию, которая только декодирует содержимое контейнеров (нет функций создания и записи внутрь) и выпил все остальные - куда дотянулся. И пропал с горизонта.
Veracrypt - форк truecrypt.

История получила продолжение - я всё-таки поставил на домашний компьютер Linux Mint 21.1 Cinnamon 64bit, при установке выбрал ввод пароля при входе в систему и шифрование домашнего каталога, но похоже, что домашний каталог зашифрован не был: когда загружаюсь с LiveDVD, раздел с домашним каталогом монтируется без пароля, все файлы видны и без проблем читаются. Пытаюсь теперь сообразить, что с этим делать дальше ;-(

Вообще, если попытаться очертить границы моей "паранойи", то на данный момент меня беспокоят три вещи:

1. Telegram - там нельзя просто выйти из системы в два клика, а при следующем включении компьютера войти по логину и паролю (как в том же Skype, например). Чтобы разлогиниться, нужно заходить в параметры профиля, а логиниться заново потом придётся по коду, который высылают на мобильное устройство, по-другому никак. То есть вся процедура авторизации выстроена в расчёте на то, что пользователь один раз авторизуется на каждом из своих устройств, а дальше будет просто открывать клиентскую программу без ввода пароля. Это удобно на смартфоне или планшете, благо смартфон или планшет обычно у каждого свой, внутренняя память на современных устройствах под Android по умолчанию шифруется, а в настройках можно указать разблокировку экрана по паролю. В компьютере всё сложнее. Похожая ситуация с почтой, т.к. Thunderbird при работе с GMail тоже не спрашивает пароль.

2. Локальные копии переписки - та же почта, например, хранится в скрытом подкаталоге домашнего каталога; такая же ситуация - с Telegram и Skype (если я правильно понимаю). И очень похожая ситуация - с браузером: его файлы (кэш, куки, история, закладки и т.д.) тоже хранятся в скрытом подкаталоге домашнего каталога.

3. Раздел подкачки - но это актуально только в том случае, если там что-то остаётся после выхода из GNU/Linux (спящий режим я не использую).

Всё остальное - это собственно документы, их при необходимости можно просто в запароленных архивах хранить, или для большей надёжности - в зашифрованных контейнерах с помощью того же VeraCrypt. А вот с тремя пунктами выше (или с первыми двумя, если третий не актуален) так не получается. Причём в случае с домашним компьютером это скорее чисто теоретический интерес, но в случае с рабочим компьютером и особенно с ноутом - вполне себе практический. На ноуте я скорее всего попробую зашифровать весь SSD целиком. Рабочего компьютера у меня пока своего нет, но в скором времени ожидается, и там мне скорее всего придётся устанавливать GNU/Linux параллельно с Windows, то есть установка GNU/Linux на зашифрованный раздел в этом случае, как я понимаю, может оказаться слишком рискованной (из-за того, что Windows может определить этот раздел как неразмеченную область диска и стереть его). На домашнем компьютере у меня тоже второй системой стоит Windows, плюс в случае создания шифрованного раздела для GNU/Linux добавляется ещё очень большой геморрой с временным переносом всех пользовательских файлов на какой-нибудь внешний носитель. Поэтому меня так и заинтересовал флажок "Зашифровать мою домашнюю папку" в инсталляторе Mint ;-)

Для любителей свечей для геммороя и параноикам. В винде и линуксе есть гостевые сеансы. В винде не помню его название , что то похоже на safety . Ну вобщем вы поняли , по окончании работы комп тупо всё забывает . И не надо шифровать и гемморою приятно.

symon2014 писал(а): ↑

11 апр 2023, 00:30

Для любителей свечей для геммороя и параноикам. В винде и линуксе есть гостевые сеансы. В винде не помню его название , что то похоже на safety . Ну вобщем вы поняли , по окончании работы комп тупо всё забывает . И не надо шифровать и гемморою приятно.

Не мой случай, увы ;-(