Режим паранойя, включено
А сегодня все пьют, чтоб не выть на Луну
Пир во время чумы, кто есть кто не пойму
Я бегу чтобы жить
А вокруг ликует паранойя
М. Пушкина
О чем это я, ах да, давно хотел убунту свою обновить, уж очень она достала тем, что после каждого обновления ядра надо вайфай заново заводить, что 3G-модемы руками прикручивать надо, самопроизвольно меняющие цвет значки и т.п., короче обновить хотелось, да все времени никак выбрать не мог. Причем тут паранойя, да просто что-то вспоминалась последнее время тема защиты данных при разных обстоятельствах, короче решил поэкспериментировать и зашифровать винт в ноуте.Придумывать ничего не пришлось,
вопрос хорошо документирован и зашифровать весь жесткий диск так, чтобы он выглядел совсем не разбитым (или стертым) оказалось несложно. Вот тут достаточно интересная, хоть и старенькая уже статья на эту тему, от себя лишь уточню не забыть поставить execute бит на созданные скрипты
/etc/initramfs-tools/hooks/cryptokeys/etc/initramfs-tools/scripts/local-top/cryptokeys
В остальном все вполне верно, единственное чего я не понял - зачем автору потребовался второй компьютер (виртуальная машина) для установки системы, у меня вполне получилось и одним ноутбуком обойтись, потому ниже привожу только порядок действий, за командами отправляя к первоисточнику.Итак, начинаем экзекуцию:
- грузимся с LiveCD (или с флэшки в моем случае)
- сносим в жесткого диска все разделы
- берем флэшку (в моем случае еще одну флэшку), уменьшаем раздел FAT32 на ней, создаем за ним раздел ext2
- заполняем винт рандомными данными
- создаем ключ для шифрования
- шифруем им диск
- подключаем шифрованный диск
- создаем на подключенном диске LVM тома
- запускаем утилиту установки, выбираем ручную разбивку, расставляем точки монтирования (/boot на флэшку, остальное в LVM)
- выполняем установку, как только закончится - отказываемся от перезагрузки
- монтируем разделы с установленной системой, chroot'имся в ее корень
- вносим изменения в конфигурацию initramfs-tools
- по новой генерируем initrd
- перезагружаемся
В общем-то все, у меня система после этих действий загрузилась с флэшки, подмонтировав разделы с пошифрованного диска. Вообще вместо обычной флэшки наверное лучше MicroSD, даже заюзать, в случае чего ее поломать легче, а грузиться современные компы умеют откуда угодно. Короче солюшен для торрентокачалки самое оно, ну и в случае утери/кражи компьютера вполне поможет сохранить личные данные в тайне от похитителей. А вот при сдаче в сервис лучше сразу предупредить персонал, что все внутри покриптовано, а то могут и систему поверх шифрованного раздела вкатать.
Комментарии
Sun][
То есть в итоге грузиться приходиться с флешки?
впрочем, наверное это даже прикольно, загрузился, выкинул флешку куда-нить за холодильник и все, никто у тебя данные так просто не сопрёт %)
Meg@DED
Да, именно так, грузиться надо с флэшки, единственное неудобство - она из гнезда торчит, еще один плюс в сторону MicroSD.
Для торрентокачалки кстати да вариант выкинуть флэшку за холодильник вполне себе ничего, главное /boot отмонтировать не забыть.
reonaydo
Грузится "с флэшки" или "с флэшкой"? Система на флэшке или флэшка юзается как ключ?
Meg@DED
На флэшке находится /boot (и ключи для расшифровки винта), соответственно грузится "с флэшки".
adre
Убунто гуано