Различия
Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
wiki:шифрование_всего_диска [2011/12/14 18:33] |
wiki:шифрование_всего_диска [2016/05/08 19:34] [Описание руководства] |
||
---|---|---|---|
Строка 3: | Строка 3: | ||
===== Описание руководства ===== | ===== Описание руководства ===== | ||
- | Данная статья рассказывает, как создать надёжно зашифрованное хранилище данных на жестом диске компьютера и при этом не сломать спящий и ждущий режимы. Особенно актуально это для владельцев ноутбуков, т. к. в отличие от стационарных компьютеров шанс кражи/утери ноутбука выше и возникает обоснованное желание хранить информацию в зашифрованном виде. Однако, предлагаемая по-умолчанию опция шифрования домашней папки при помощи ecryptfs во-первых не шифрует корневой раздел системы ((имея доступ к корневому разделу можно, например, получить список файлов в домашнем разделе, несмотря на то, что тот зашифрован)), а во-вторых ecryptfs шифрует раздел swap с применением случайно сгенерированного ключа, таким образом, перестает работать такая нужная в ноутбуках опция как спящий режим((т. е. режим приостановки работы компьютера, при котором все содержимое оперативной памяти сбрасывается на диск, а питание компьютера отключается)). | + | Данная статья рассказывает, как создать надёжно зашифрованное хранилище данных на жестком диске компьютера и при этом не сломать спящий и ждущий режимы. Особенно актуально это для владельцев ноутбуков, т. к. в отличие от стационарных компьютеров шанс кражи/утери ноутбука выше и возникает обоснованное желание хранить информацию в зашифрованном виде. Однако, предлагаемая по-умолчанию опция шифрования домашней папки при помощи ecryptfs во-первых не шифрует корневой раздел системы ((имея доступ к корневому разделу можно, например, получить список файлов в домашнем разделе, несмотря на то, что тот зашифрован)), а во-вторых ecryptfs шифрует раздел swap с применением случайно сгенерированного ключа, таким образом, перестает работать такая нужная в ноутбуках опция как спящий режим((т. е. режим приостановки работы компьютера, при котором все содержимое оперативной памяти сбрасывается на диск, а питание компьютера отключается))(([[https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap|Починка спящего режима для EncryptFs-swap]])). |
Предлагается же создать один большой зашифрованный раздел размером с весь диск компьютера((за исключением небольшого не шифруемого раздела /boot)), поверх которого развернуть виртуальную группу LVM, в которой создать обычные (не шифрованные с точки зрения ОС) разделы /, /home и swap. При этом, пользователю придётся вводить пароль при каждом включении компьютера (даже при выходе из спящего режима), однако, за счёт смещения шифрования на более низкий уровень, ОС «не заметит» этого и все функции будут работать. | Предлагается же создать один большой зашифрованный раздел размером с весь диск компьютера((за исключением небольшого не шифруемого раздела /boot)), поверх которого развернуть виртуальную группу LVM, в которой создать обычные (не шифрованные с точки зрения ОС) разделы /, /home и swap. При этом, пользователю придётся вводить пароль при каждом включении компьютера (даже при выходе из спящего режима), однако, за счёт смещения шифрования на более низкий уровень, ОС «не заметит» этого и все функции будут работать. | ||
+ | <note important>Начиная с версии 12.10 возможность зашифровать весь диск целиком добавлена в варианты установки Ubuntu в стандартном инсталляторе.</note> | ||
===== Установка ===== | ===== Установка ===== | ||
Строка 15: | Строка 16: | ||
</note> | </note> | ||
- | Загрузите систему с alternate — диска, выберите язык и приступите у установке: | + | Загрузите систему с alternate — диска, выберите язык и приступите к установке: |
{{ :wiki:cryptsetup_screen_002.png?direct& |Загрузите систему с alternate — диска, выберите язык и приступите у установке.}} | {{ :wiki:cryptsetup_screen_002.png?direct& |Загрузите систему с alternate — диска, выберите язык и приступите у установке.}} | ||
Строка 265: | Строка 266: | ||
<code> | <code> | ||
sudo cryptsetup luksKillSlot /dev/sda5 0 | sudo cryptsetup luksKillSlot /dev/sda5 0 | ||
+ | -------тут нужно указывать номер слота ^ | ||
Enter any remaining LUKS passphrase:Пароль из слота 1 (т. е. Из любого оставшегося слота) | Enter any remaining LUKS passphrase:Пароль из слота 1 (т. е. Из любого оставшегося слота) | ||
</code> | </code> | ||
Строка 291: | Строка 293: | ||
===== Заключение ===== | ===== Заключение ===== | ||
- | Вот и все. Информация на диске надёжно защищена. Однако, не стоит забывать, что существует большое количество различных угроз, и ваши данные все еще могут быть доступны злоумышленнику, в то время, пока компьютер включён, в диски "открыты". И конечно же, в случае кражи, шифрование спасет ваши данные от злоумышленника, но не вернет из вам, так что не забывайте делать резервные копии. | + | Вот и все. Информация на диске надёжно защищена. Однако, не стоит забывать, что существует большое количество различных угроз, и ваши данные все еще могут быть доступны злоумышленнику, в то время, пока компьютер включён, все диски "открыты". И конечно же, в случае кражи, шифрование спасет ваши данные от злоумышленника, но не вернет их вам, так что не забывайте делать резервные копии. |
===== Ссылки ===== | ===== Ссылки ===== | ||
Строка 297: | Строка 299: | ||
Статья написана по мотивам [[http://joernfranz.net/2011/01/20/installing-ubuntu-10-10-with-full-disk-encryption/|вот этой вот статьи]]. | Статья написана по мотивам [[http://joernfranz.net/2011/01/20/installing-ubuntu-10-10-with-full-disk-encryption/|вот этой вот статьи]]. | ||
+ | {{tag>Система Настройка_системы Cryptsetup LUKS LVM Шифрование}} |