1. Зміст статті Упевнений, багато читачів] [вже давно позбулися стаціонарних комп'ютерів і використовують...
2. шифрування диска
3. Продовження доступно тільки учасникам
4. Варіант 2. Відкрий один матеріал

Зміст статті

Упевнений, багато читачів] [вже давно позбулися стаціонарних комп'ютерів і використовують ноутбук як основний інструмент для роботи, навчання і всього іншого. Світ зрушив з місця і став мобільним. Але там, де є мобільна техніка, є і ризик її втратити, забути або бути обкраденим. Як при цьому не втратити даних, уберегти їх від сторонніх очей і відшукати-таки вкрадену техніку? Спробуємо розібратися.

фізичний доступ

Почнемо, як завжди, з азів, а саме з пароля на вхід. Здавалося б, тут все просто: будь-яка графічна середовище має вбудований блокувальник екрану, який вимагає ввести пароль після декількох хвилин простою машини. Але що робити, якщо ти не використовуєш графічне середовище і твій вибір - легкий віконний менеджер начебто Fluxbox або i3?

Існує маса найрізноманітніших блокувальників екрану, але я б рекомендував зупинитися на slock. Це вкрай простий блокувальник, що не має ніяких графічних елементів управління, вікон введення та перемикачів сесій. Все, що він робить, - це заливає екран чорним кольором. При введенні пароля екран стає синім, а при натисканні Enter в разі неправильного пароля - червоним. Побачивши таке, більшість «зломщиків» впадуть в ступор і вирішать, що комп просто завис.

Запускати slock можна як безпосередньо (тоді екран заблокується відразу), так і автоматично після пробудження ноутбука. У другому випадку тобі знадобиться systemd-юніт такого змісту:

[Unit] Description = Lock X session using slock for user% i Before = sleep.target [Service] User =% i Environment = DISPLAY =: 0 ExecStartPre = / usr / bin / xset dpms force suspend ExecStart = / usr / bin / slock [Install] WantedBy = sleep.target

Збережи його в файл /etc/systemd/system/[email protected] і активуй юніт (USER - твоє ім'я в системі):

$ Sudo systemctl enable [email protected]

Ще одна вкрай проста, але від того не менш цінна рекомендація - постав пароль на BIOS і відключи завантаження з будь-яких носіїв, крім жорсткого диска. Це вбереже тебе від тих, хто спробує завантажитися з флешки, щоб прочитати твій диск з іншої операційної системи.

Багато ноутбуки також дозволяють встановити пароль на завантаження, перезавантаження і доступ до жорсткого диска. Останній працює на рівні ATA-контролера, він врятує, якщо хтось все-таки зможе завантажити свою операційну систему, але буде марний проти фізичного вилучення жорсткого диска.

шифрування диска

Майже всі популярні дистрибутиви дозволяють зашифрувати жорсткий диск на етапі установки операційної системи. Таке шифрування робить витяг даних з диска майже неможливим завданням (при досить довгому паролі), але має один істотний недолік: падіння продуктивності операцій введення-виведення, яке може досягати сотень і тисяч відсотків.

Мінімізувати просідання продуктивності можна, якщо зашифрувати тільки розділ / home (на якому і знаходяться твої дані), а саму систему залишити незашифрованной. За фактом багато дистрибутиви пропонують такий варіант за замовчуванням, але він теж не ідеальний: ноутбук буде жерти додаткові ресурси просто при перегляді збереженого на диск фільму, а якщо ти займаєшся розробкою ПЗ або просто часто збираєш софт з вихідних - готуйся до істотного уповільнення.

Але і з цієї ситуації є вихід. системи EncFS і CryFS використовують механізм FUSE, щоб створити зашифровану віртуальну ФС поверх основної. З їх допомогою ти можеш зашифрувати будь-який окремо взятий каталог, без необхідності виділяти спеціальний контейнер заздалегідь визначеного розміру і з можливістю синхронізації каталогу з Dropbox і іншими подібними сервісами.

Обидві файлові системи використовують алгоритм AES-256 в режимі GCM, але відрізняються в реалізації. EncFS шифрує кожен файл окремо і тому приховує лише вміст файлів і їх назви, але ніяк не перешкоджає отриманню інформації про структуру каталогів і розмір файлів. Іншими словами: якщо комусь буде потрібно довести, що ти зберігаєш архів дитячого порно, скачаний з даркнета, - він зможе це зробити.

CryFS захищає від подібних ризиків. Зашифрований з її допомогою каталог виглядає як плоске файлове дерево з купою каталогів і файлів однакового розміру. Однак CryFS ніколи не піддавалася незалежного аудиту, який був проведений в відношенні EncFS. Якщо тебе це зупиняє - використовуй EncFS, якщо ж ти не віриш ні того, ні іншого - можеш озброїтися VeraCrypt або іншим «класичним» інструментом шифрування, які використовують контейнер заздалегідь заданого розміру, який не можна викласти в Dropbox без синхронізації всіх зашифрованих даних при щонайменшій зміні.

Використовувати EncFS і CryFS вкрай просто. Досить встановити пакет, а потім виконати операцію монтування:

$ Cryfs ~ / Dropbox / box ~ / crypto

В даному випадку ми підключаємо зашифрований каталог ~ / Dropbox / box як ~ / crypto. Всі файли, записані в останній, з'являться в першому в зашифрованому вигляді.

У цей каталог можна скласти всі цінні дані: скани паспорта, ключі GPG, робочі каталоги кріптокошельков, бази паролів і так далі. Підключати його доведеться вручну після кожного завантаження, а після використання краще відразу відключати:

$ Fusermount -u ~ / crypto Вміст каталогу, зашифрованого за допомогою CryFS

Продовження доступно тільки учасникам

Варіант 1. Приєднайся до товариства «Xakep.ru», щоб читати всі матеріали на сайті

Членство в співтоваристві протягом зазначеного терміну відкриє тобі доступ до ВСІХ матеріалами «Хакера», збільшить особисту накопичувальну знижку і дозволить накопичувати професійний рейтинг Xakep Score! Детальніше

Варіант 2. Відкрий один матеріал

Зацікавила стаття, але немає можливості стати членом клубу «Xakep.ru»? Тоді цей варіант для тебе! Зверни увагу: цей спосіб підходить тільки для статей, опублікованих більше двох місяців тому.