- 1.2 Шифрование домашнего каталога в Linux Mint.
- 1.3 Шифрование в gnome – Seahorse
- 1.4 TrueCrypt
- Linux mint зашифровать диск
- Установка системы с шифрованием пользовательских данных
- Установка системы с шифрованием пользовательских данных
- Установка системы с шифрованием пользовательских данных
- Установка системы с шифрованием пользовательских данных
1.2 Шифрование домашнего каталога в Linux Mint.
Шифрование домашнего каталога обеспечивает надежную защиту данных, хранящихся на жёстком диске или ином носителе. Шифрование особенно актуально на переносных ПК, на компьютерах с множественным доступом, а также в любых других условиях. Шифрование домашнего каталога предлагается при установке Linux Mint.
Основная загвоздка при полном шифровании домашнего каталога состоит в том, что необходимо «вынести» каталог с зашифрованными данными за пределы точки монтирования.
Производительность снижается незначительно, по крайней мере пока не пользуется SWAP. SWAP – это специальный раздел на диске или файл в который операционная система перемещает отдельные блоки оперативной памяти в случае когда оперативной памяти не хватает для работы приложений. SWAP тоже шифруется, если в инсталляторе выбрать шифрование домашнего каталога, и при этом перестает работать спящий режим.
Не шифровать SWAP при шифрованном домашнем каталоге – потенциально опасно, так как там могут оказаться данные из шифрованных файлов в открытом виде – весь смысл шифрования теряется. Начиная с 14-ой версти Linux Mint, при установке есть возможность выбрать вариант шифрования всего диска. Этот вариант наиболее подходит для сохранения персональных данных на переносных устройствах (у которых, как правило, только один пользователь).
1.3 Шифрование в gnome – Seahorse
В Linux Mint есть встроенная утилита «Пароли и ключи» или же Seahorse. Используя её возможности пользователь может оперировать всеми ключами, паролями, а также сертификатами которые имеются в данной ОС.
По сути Seahorse – это приложение для GNOME (GNOME – свободная среда рабочего стола для Unix-подобных операционных систем), являющееся фронтэндом к GnuPG (свободная программа для шифрования информации и создания электронных цифровых подписей) и предназначенное для управления ключами шифрования и паролями. Пришел на замену GNOME Keyring, которого полностью заменил в GNOME 2.22, хотя был анонсирован еще в GNOME 2.18. Позволяет производить все операции которые ранее необходимо делать в командной строке и объединяя их под едиными интерфесом:
- управлять безопасностью своей рабочей среды и ключами OpenPGP и SSH;
- шифровать, расшировывать и проверять файлы и текст;
- добавлять и проверять цифровые подписи к документам;
- синхронизировать ключи с ключевыми серверами;
- создавать и публиковать ключи;
- резервировать ключевую информацию;
- добавлять к изображениями в любом поддерживаемом GDK как OpenGPG photo ID;
1.4 TrueCrypt
TrueCrypt обладает достаточно удобным графическим интерфейсом, но, к сожалению, разработчики жестко зашили в код интеграцию с файловым менеджером Nautilus. Для шифрования данных можно использовать разные методы. Для начала нужно создать так называемый контейнер, в котором будут содержаться файлопапки, предназначенные для шифрования. Контейнером может служить файл с произвольным названием или даже целый раздел диска. Для доступа к контейнеру необходимо указать пароль, а также можно сделать файл ключа (необязательная опция), с помощью которого будет шифроваться информация. Размер контейнера ограниченный. Создание зашифрованных разделов/файлов Создание файл ключа: truecrypt -create-keyfile /home/user/test/file ,где file – название файла-ключа. Создание контейнера, в данном случае раздела: sudo truecrypt -k /home/user/test/file -c /dev/sda9 Вместо раздела /dev/sda9 вполне можно указать и файл, например /home/user/test/cryptofile, но в этом случае необходимо будет указать его размер, это делается параметром -size=5G до параметра -c. В указанном примере создастся файл cryptofile размером 5 Гбайт. Иногда TrueCrypt принимает размер только в байтах, для 5 Гбайт можно или высчитать значение заранее и указать -size=5368709120, или же записать следующим образом: -size=`echo 1024^3*5 | bc`. Для шифрования будет использоваться сделанный уже файл-ключ. При создании будет предложен выбор типа контейнера (нормальный / скрытый), файловой системы (FAT, ext2/3/4 или без ФС), в данном примере был выбран режим без использования ФС. Также будет предложен выбор алгоритма шифрования (например, AES), а так же hash-алгоритм (например, SHA-1) для шифрования потоков данных. TrueCrypt используется для шифрования данных налету, то есть можно, подмонтировав контейнер, работать с находящимися в нём файлами как обычно (открывать/редактировать/закрывать/создавать/удалять), что очень удобно. Шифрованный раздел/файл был создан. Теперь, если необходимо его внутреннюю файловую систему (далее ФС) отформатировать под нужную, следует сделать следующее. Выбрать необходимый раздел используя Truecrypt: truecrypt -k /home/user/test/file /dev/sda9 По умолчанию будет задействован созданный Truecrypt девайс /dev/mapper/truecrypt0. По обращению к этому девайсу, можно менять, например ФС в шифрованном контейнере. В данном случае это нужно сделать. sudo mkfs.ext4 -v /dev/mapper/truecrypt0 Этим самым была сделана ФС ext4 внутри данного шифрованного контейнера. Далее, так как данный контейнер уже «прикреплён» к девайсу /dev/mapper/truecrypt0, то осталось его просто примонтировать к какой-нибудь директории. Эта директория для монтирования должна уже существовать в системе. sudo mount /dev/mapper/truecrypt0 /mnt/crypto , где /mnt/crypto – директория, к которой примонтирован шифрованный контейнер. Далее, чтобы что-то зашифровать, нужно поместить информацию в папку /mnt/crypto. А чтобы скрыть шифрованную информацию от чужих глаз, выполняем команду размонтирования, но с помощью Truecrypt: truecrypt -d Теперь без знания файла-ключа и пароля никто не сможет прочесть спрятанную информацию.
Linux mint зашифровать диск
(если не единственное) решение для такой конфигурации — это при установке Linux Mint 21.1 выбрать ввод пароля при входе в систему и шифрование домашнего каталога;
Еще есть veracrypt, и возможность просто создать файл-контейнер с шифрованной FS монтируя его по необходимости. Но если есть желание/необходимость шифровать все пользовательские данные — шифрованный /home пожалуй что удобнее всего.
установка системы с такими параметрами НЕ СОПРОВОЖДАЕТСЯ уничтожением уже имеющихся на диске пользовательских данных;
Сопровождается или уничтожением данных на форматируемых разделах, или геморроем в попытках их случайно не затереть. А инициализация шифрованного пространства в любом случае требует его форматирования, насколько я помню.
каталог /home/timeshift зашифрован не будет, то есть Timeshift нельзя будет использовать для резервного копирования пользовательских данных (он у меня сейчас резервирует не только систему, но и скрытые файлы и подкаталоги в моём домашнем каталоге)?
Timeshift в принципе не предназначен для резервного копирования пользовательских данных. Это средство создания контрольных точек для отката системы, не более. Кроме того — сильно зависит от используемой FS. Если ext4 — то он работает одним образом, если btrfs — другим. Помесь ежа с ужом, в общем.
Его конечно можно пытаться использовать как средство резервного копирования на ext4, но результат может оказаться совсем не тем, что ожидался.
prusony Сообщения: 235 Зарегистрирован: 04 май 2017, 11:33 Решено: 4 Благодарил (а): 155 раз Поблагодарили: 66 раз Контактная информация:
Установка системы с шифрованием пользовательских данных
Плюсую к «Вере» . На рабочем компе, к которому доступ возможен кого угодно, спокойно храню под Верой всё что «моё». Когда нужно — монтируется виртуальный диск.
demonlibra Сообщения: 835 Зарегистрирован: 12 авг 2017, 09:09 Решено: 13 Откуда: Ростов-на-Дону Благодарил (а): 29 раз Поблагодарили: 198 раз Контактная информация:
Установка системы с шифрованием пользовательских данных
Можно зашифровать весь диск, оставив только разделы /boot и /boot/efi
Можно ограничиться контейнером, таким как luks, veracrypt, truecrypt, куда Вы спрячете «важные» данные.
Всё зависит от целей и глубины Вашей паранои.
slant Сообщения: 4253 Зарегистрирован: 21 июн 2017, 18:09 Решено: 82 Благодарил (а): 51 раз Поблагодарили: 1833 раза Контактная информация:
Установка системы с шифрованием пользовательских данных
truecrypt — мертв, после странной истории. Провели аудит кода сообществом (на предмет ошибок и надежности), ничего не нашли, потом вдруг автор выпустил последнюю версию, которая только декодирует содержимое контейнеров (нет функций создания и записи внутрь) и выпил все остальные — куда дотянулся. И пропал с горизонта.
Veracrypt — форк truecrypt.
Амдир Сообщения: 35 Зарегистрирован: 11 июн 2018, 20:28 Решено: 1 Благодарил (а): 8 раз Контактная информация:
Установка системы с шифрованием пользовательских данных
История получила продолжение — я всё-таки поставил на домашний компьютер Linux Mint 21.1 Cinnamon 64bit, при установке выбрал ввод пароля при входе в систему и шифрование домашнего каталога, но похоже, что домашний каталог зашифрован не был: когда загружаюсь с LiveDVD, раздел с домашним каталогом монтируется без пароля, все файлы видны и без проблем читаются. Пытаюсь теперь сообразить, что с этим делать дальше ;-(
Вообще, если попытаться очертить границы моей «паранойи», то на данный момент меня беспокоят три вещи:
1. Telegram — там нельзя просто выйти из системы в два клика, а при следующем включении компьютера войти по логину и паролю (как в том же Skype, например). Чтобы разлогиниться, нужно заходить в параметры профиля, а логиниться заново потом придётся по коду, который высылают на мобильное устройство, по-другому никак. То есть вся процедура авторизации выстроена в расчёте на то, что пользователь один раз авторизуется на каждом из своих устройств, а дальше будет просто открывать клиентскую программу без ввода пароля. Это удобно на смартфоне или планшете, благо смартфон или планшет обычно у каждого свой, внутренняя память на современных устройствах под Android по умолчанию шифруется, а в настройках можно указать разблокировку экрана по паролю. В компьютере всё сложнее. Похожая ситуация с почтой, т.к. Thunderbird при работе с GMail тоже не спрашивает пароль.
2. Локальные копии переписки — та же почта, например, хранится в скрытом подкаталоге домашнего каталога; такая же ситуация — с Telegram и Skype (если я правильно понимаю). И очень похожая ситуация — с браузером: его файлы (кэш, куки, история, закладки и т.д.) тоже хранятся в скрытом подкаталоге домашнего каталога.
3. Раздел подкачки — но это актуально только в том случае, если там что-то остаётся после выхода из GNU/Linux (спящий режим я не использую).
Всё остальное — это собственно документы, их при необходимости можно просто в запароленных архивах хранить, или для большей надёжности — в зашифрованных контейнерах с помощью того же VeraCrypt. А вот с тремя пунктами выше (или с первыми двумя, если третий не актуален) так не получается. Причём в случае с домашним компьютером это скорее чисто теоретический интерес, но в случае с рабочим компьютером и особенно с ноутом — вполне себе практический. На ноуте я скорее всего попробую зашифровать весь SSD целиком. Рабочего компьютера у меня пока своего нет, но в скором времени ожидается, и там мне скорее всего придётся устанавливать GNU/Linux параллельно с Windows, то есть установка GNU/Linux на зашифрованный раздел в этом случае, как я понимаю, может оказаться слишком рискованной (из-за того, что Windows может определить этот раздел как неразмеченную область диска и стереть его). На домашнем компьютере у меня тоже второй системой стоит Windows, плюс в случае создания шифрованного раздела для GNU/Linux добавляется ещё очень большой геморрой с временным переносом всех пользовательских файлов на какой-нибудь внешний носитель. Поэтому меня так и заинтересовал флажок «Зашифровать мою домашнюю папку» в инсталляторе Mint 😉