← All posts tagged fde

praut

Что мне нужно от full disk encryption-а? Простота, простота и ещё раз простота. Никаких нахуй паролей. Адын ключ на флехе. Люкс 1-2-3 сразу летит в помойку, даже думать не хочу. Остаётся plain режим dm-crypt-a. Очь просто и без лишних заморочек. Никаких таблиц разделов на винте. Никаких, боже упаси от этого говна, LVM-ов.

plain на /dev/sda. И прям на него xfs-ку. Ну или что-то ещё, по вкусу.

Никаких разбиений на разделы с ФС-ами. Винт на 256 гиг, что тут можно и зачем разбивать.

Что мы имеем на сегодня при данных условиях. Начнём с загрузчика. Grub понимает только luks1. Но, один очь охрененный товарищ, уже давно пропатчил его и заставил понимать plain и luks2 c выносом заголовков.

Поэтому такой вот груб просто необходим. А где он есть, правильно, нигде его нету. Кроме.. арча.

Моя любимая федора (29 на данный момент) поддерживает всё тот же luks1 при установке. В следующем релизе обещают завезти luks2. И это при том, что ядро будет вынесено на отдельный незашифрованный раздел.

Поэтому, прощай федора, здравствуй арч, что уже давно нужно было сделать. И сделать это нужно было хотя бы потому, что самый адекватный источник с документацией по Линуксу сейчас, это ArchWiki. То говно, которое из себя представляет вики Федоры даже упоминать не хочется.

Короче, в ауре есть патченный граб, который без проблем ставится при установке. И, внимание, позволяет грузиться с полностью зашифрованного диска. Без необходимости выносить /boot с ядрами на флешку.

На флешке останется только сам загрузчик и ключ. А значит её можно перманентно держать в ro режиме. До кучи записав туда какой-нибудь sysresccd, для удобства на всяк пож.

Дёшево, надёжно и практично. А в случае чего (кто-то страшный в маске зачем-то пилит железную дверь болгаркой), флешку ну или микросд карточку можно оперативно извлечь, засунуть в задницу, съесть, поджарить в микроволновке или просто смыть в унитаз — по вкусу.

Шифрование, напомню, в данном случае нужно только для того, что бы оперативно выкинуть диск в помойку не тратя время на wipe.