Уверен, многие читатели ][ уже давно избавились от стационарных компов и используют ноутбук как основной инструмент для работы, учебы и всего остального. Мир сдвинулся с места и стал мобильным. Но там, где есть мобильная техника, есть и риск ее потерять, забыть или быть обокраденным. Как при этом не лишиться данных, уберечь их от посторонних глаз и отыскать-таки украденную технику? Попробуем разобраться.
 

Физический доступ

Начнем, как обычно, с азов, а именно с пароля на вход. Казалось бы, здесь все просто: любая графическая среда имеет встроенный блокировщик экрана, который требует ввести пароль после нескольких минут простоя машины. Но что делать, если ты не используешь графическую среду и твой выбор — легковесный оконный менеджер вроде Fluxbox или i3?

Существует масса самых разнообразных блокировщиков экрана, но я бы рекомендовал остановиться на slock. Это крайне простой блокировщик, не имеющий никаких графических элементов управления, окон ввода и переключателей сессий. Все, что он делает, — это заливает экран черным цветом. При вводе пароля экран становится синим, а при нажатии Enter в случае неправильного пароля — красным. Увидев такое, большинство «взломщиков» впадут в ступор и решат, что комп просто завис.

Запускать slock можно как напрямую (тогда экран заблокируется сразу), так и автоматически после пробуждения ноутбука. Во втором случае тебе понадобится systemd-юнит следующего содержания:

[Unit]
Description=Lock X session using slock for user %i
Before=sleep.target

[Service]
User=%i
Environment=DISPLAY=:0
ExecStartPre=/usr/bin/xset dpms force suspend
ExecStart=/usr/bin/slock

[Install]
WantedBy=sleep.target

Сохрани его в файл /etc/systemd/system/slock@.service и активируй юнит (USER — твое имя в системе):

$ sudo systemctl enable slock@USER.service

Еще одна крайне простая, но оттого не менее ценная рекомендация — поставь пароль на BIOS и отключи загрузку с любых носителей, кроме жесткого диска. Это убережет тебя от тех, кто попытается загрузиться с флешки, чтобы прочитать твой диск из другой операционной системы.

Многие ноутбуки также позволяют установить пароль на загрузку, перезагрузку и доступ к жесткому диску. Последний работает на уровне ATA-контроллера, он спасет, если кто-то все-таки сможет загрузить свою операционку, но будет бесполезен против физического извлечения жесткого диска.

 

Шифрование диска

Почти все популярные дистрибутивы позволяют зашифровать жесткий диск на этапе установки операционной системы. Такое шифрование делает извлечение данных с диска почти невозможной задачей (при достаточно длинном пароле), но имеет один существенный недостаток: падение производительности операций ввода-вывода, которое может достигать сотен и тысяч процентов.

Минимизировать проседание производительности можно, если зашифровать только раздел /home (на котором и находятся твои данные), а саму систему оставить незашифрованной. По факту многие дистрибутивы предлагают такой вариант по умолчанию, но он тоже не идеален: ноутбук будет жрать дополнительные ресурсы просто при просмотре сохраненного на диск фильма, а если ты занимаешься разработкой ПО или просто часто собираешь софт из исходников — готовься к существенному замедлению.

Но и из этой ситуации есть выход. Системы EncFS и CryFS используют механизм FUSE, чтобы создать зашифрованную виртуальную ФС поверх основной. С их помощью ты можешь зашифровать любой отдельно взятый каталог, без необходимости выделять специальный контейнер заранее определенного размера и с возможностью синхронизации каталога с Dropbox и другими подобными сервисами.

Обе файловые системы используют алгоритм AES-256 в режиме GCM, но отличаются в реализации. EncFS шифрует каждый файл по отдельности и поэтому скрывает лишь содержимое файлов и их названия, но никак не препятствует получению информации о структуре каталогов и размере файлов. Другими словами: если кому-то потребуется доказать, что ты хранишь архив детского порно, скачанный из даркнета, — он сможет это сделать.

CryFS защищает от подобных рисков. Зашифрованный с ее помощью каталог выглядит как плоское файловое дерево с кучей каталогов и файлов одинакового размера. Однако CryFS никогда не подвергалась независимому аудиту, который был произведен в отношении EncFS. Если тебя это останавливает — используй EncFS, если же ты не веришь ни тому, ни другому — можешь вооружиться VeraCrypt или другим «классическим» инструментом шифрования, использующим контейнер заранее заданного размера, который нельзя выложить в Dropbox без синхронизации всех зашифрованных данных при малейшем изменении.

Использовать EncFS и CryFS крайне просто. Достаточно установить пакет, а затем выполнить операцию монтирования:

$ cryfs ~/Dropbox/box ~/crypto

В данном случае мы подключаем зашифрованный каталог ~/Dropbox/box как ~/crypto. Все файлы, записанные в последний, появятся в первом в зашифрованном виде.

В этот каталог можно сложить все ценные данные: сканы паспорта, ключи GPG, рабочие каталоги криптокошельков, базы паролей и так далее. Подключать его придется вручную после каждой загрузки, а после использования лучше сразу отключать:

$ fusermount -u ~/crypto
Содержимое каталога, зашифрованного с помощью CryFS
Содержимое каталога, зашифрованного с помощью CryFS

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


8 комментариев

  1. Алексей Федоренко

    29.03.2018 at 12:42

  2. Redhadevil

    29.03.2018 at 14:23

    «но имеет один существенный недостаток: падение производительности операций ввода-вывода, которое может достигать сотен и тысяч процентов.»

    В данном построении фразы всё корректно, но тем не менее, чтобы падение было сотни и тысячи процентов нужно очень постараться и быть предельно неоптмальным в выборе средств и алгоритмов. Тем более на более или менее современных ноутбуках. Плюс большинство процессоров поддерживают шифрование аппаратно, что вовсе сводит на нет любые видимые фризы. Так что данный момент не столь критичен, как преподносит автор.

  3. moga9111

    29.03.2018 at 14:32

    последний вариант ответа на опросник вставлен срециально для сотрудников штаба Навального?

  4. furmand

    29.03.2018 at 22:33

    Отличная статья.

  5. Skybad

    01.04.2018 at 15:31

    То что надо. Спасибо.

  6. Читатель2017

    26.04.2018 at 18:26

    Кому нужен именно ноут ( в результате кражи), просто выбросить из него HDD или SSD и не станет заморачиваться.

    • Святослав Фирсов

      14.09.2018 at 13:34

      Ну, вытаскивать HDD вор будет не сам, а, скорее всего, попросит кулхацкера, который «шарит в компах». А вот этот уже может и заинтересоваться содержимым извлечённого диска.

  7. scarferok

    17.05.2018 at 21:38

    Прикольно! Все работает

Оставить мнение

Check Also

Линус Торвальдс извинился перед сообществом и временно отстранился от разработки

В рассылке Linux Kernel Mailing List Линус Торвальдс неожиданно объявил о том, что временн…