Szyfrowanie całego dysku

Chciałbym by ktoś doradził mi jak dobrze stworzyć partycję pod szyfrowanie całego dysku. Dodam że system będzie na pendrive i zależy mi na konkretnym zabezpieczeniu systemu.
Moja propozycja jest taka:
boot - 250 MB bez szyfrowania
/ - 20GB - szyfrowany (LUKS bo taka mi partycja sama wyskakuje)
swap - 4 GB - Szyfrowana
/home - reszta dysku - szyfrowana

System sam wykrzyczał mi że nie jest to rozsądne. Dlatego chciałbym się was poradzić by to było rozsądne i konkretne. Dodam że nie mam dużego doświadczenia właśnie w szyfrowaniu całych dysków.

Albo szyfrowanie całego dysku, albo niektórych partycji.

Interesuje mnie szyfrowanie całego dysku. Dosłownie wszystkiego co się da. Rozumiem że źle do tego podszedłem tak ?

Kiedyś chciałem coś podobnego i znalazłem taki artykuł. Wydaje się spełniać założenia, a nawet więcej :wink:.
link

O ile dobrze rozumiem ideę, to możesz zaszyfrować cały dysk, bez dzielenia na partycje, albo szyfrować poszczególne partycje (wszystkie lub wybrane). Jeżeli mówimy o przenośnej maszynie, która wychodzi ‘na miasto’, to prosto i bezpiecznie będzie zaszyfrować cały dysk. Gdybyś potrzebował swap’a, to nie musisz tworzyć dla niego osobnej partycji, bo możesz go zrealizować za pomocą pliku.


VeraCrypt jest OK, szczególnie jeżeli operujesz jednocześnie na Linux’ie i Windows’ach, i potrzebujesz wspólnych technologii. Ale jeśli używasz wyłącznie Linux’a, to moim zdaniem, lepiej oprzeć się o rozwiązanie dla niego natywne, czyli LUKS.

Wiem,że samo szyfrowanie dysku można zrobić przy instalacji systemu, wystarczy zaznaczyć odpowiednią kratkę. Mnie chodziło o szyfrowany katalog. Nie znam się za bardzo na tych sprawach więc szukałem rozwiązań w internecie. Spośród różnych artykułów wybrałem sobie własnie ten ze względu na drugą jego część. Tworzenie rozproszonego katalogu, którego niby nie ma i tylko od wpisanego hasła zależy co pokaże. Nie mogę póki co się jednak przełamać i tego spróbować. Ostatecznie poprzestałem na encfs chociaż gdzieś tu na forum było, że nie jest zbyt bezpieczny (dla mnie wystarczający). Może kiedyś popróbuję innych rozwiązań w tym LUKSa

Do szyfrowania katalogu ancfs nadaje się (rzeczywiście miał/ma jakieś problemy z bezpieczeństwem). Można również użyć szyfrowanej partycji w pliku (VeraCrypt). @Atom jednak potrzebuje szyfrowania partycji/dysku, a to trochę odmienny temat.

Wykonałem szyfrowanie dysku podczas instalacji za pomocą LUKS. Odpowiednia opcja wybrana w instalatorze. Ku mojemu zdziwieniu hasło które podawałem przy instalacji nie powodowało odblokowania partycji. Wypisywał błędne hasło. Powtarzałem instalacje trzy raz wpisując za każdym razem te samo hasło i ciągle to samo.W haśle są takie znaki jak “ż”. Czy może być w tym problem jakieś kodowanie lub nie taka klawiatura jak się podaje hasło a potem system już ładuję odpowiednią tą którą podałem podczas instalacji ?

Chyba muszę, w końcu, przywyknąć do tego, że pewne ‘oczywistości’ trzeba będzie powtarzać do końca życia:

  1. Jeżeli używasz nośnika pod różnymi systemami operacyjnymi, to nie stosuj znaków narodowych w nazwach plików i katalogów. Nie szalej również z długością nazwy pliku / ścieżki.
  2. Nie stosuj spacji w nazwach użytkowników, nawet jeżeli system / aplikacja pozwala na to.
  3. Nie stosuj ponadstandardowych znaków (np. narodowych) w hasłach. Tylko znaki widoczne na klawiaturze, czyli litery (małe i wielkie), cyfry i inne specjalne (np. !@#$ …).

Być może, to nie jest przyczyną Twojego problemu, ale na pewno pierwsza rzecz, jaka powinna przyjść do głowy w takich okolicznościach.


EDIT-20200622-2013 … gorący (z przedwczoraj) przykład rozwiązania, jake standardowo stosuję na notebook’ach wychodzących. Na maszynie, na której mam Win10 (muszę czasem coś przetestować w oryginalnym i fizycznym środowisku) czekało miejsce na Linux’a. Gdy znalazł się czas, to miejsce zostało wypełnione, przy pomocy Manjaro, oczywiście:

  • dysk MBR/BIOS;
  • jedna partycja dla Linux’a, bez wydzielania home’a czy boot’a;
  • szyfrowanie LUKS;
  • swap w pliku;
  • GRUB.

Sekwencja startowa wygląda w taki sposób, że najpierw pojawia się pytanie o hasło do szyfrowanej partycji, a następnie menu GRUB’a z Linux’em i Windows’ami.

Mój schemat szyfrowania to partycja root i partycja home. Swap w pliku lub zram. W załączniku mój dysk, czyli wszystko jest okey.
gparted

Wielkie dzięki :slight_smile: to co napisaliście wszyscy bardzo jest pomocne teraz już wiem dokładnie co mam zrobić :slight_smile:

Odkopie jeszcze temat, czy jest możliwe zaszyfrowania dysku tak żeby partycja / i /home były osobno i obydwa były zaszyfrowane? I czy w przypadku reinstalacji systemu będę mógł podłączyć partycje /home bez utraty danych na niej zawartych?

Można w ten sposób, choć nie miałem okazji przerabiać takiego przypadku, więc nie poczęstuję Cię praktycznymi radami - będę miał taką instalację, ale dopiero w perspektywie najbliższych miesięcy. Z tego co mi wiadomo, to można tak zaszyfrować istniejącą instalację i instalator nowej również oferuje takie możliwości.

Póki co:
https://wiki.archlinux.org/index.php/Dm-crypt
https://forum.manjaro.org/search?q=encryption
https://forum.manjaro.org/search?q=dm-crypt
https://forum.manjaro.org/search?q=luks

forum.manjaro.pl - polskie wsparcie Manjaro. Hostowane przez: vpsadmin - hosting Discourse