Πρόσφατα η ομάδα μου συνειδητοποίησε το ρίσκο των μη κρυπτογραφημένων δίσκων στα “εταιρικά” λάπτοπ -τα οποία πηγαινο-έρχονται σε ΜΜΜ- κουβαλώντας σχεδόν πάντα confidential stuff. Τα μηχανήματα (12 συνολικά) είναι όλα καινούριες συσκευές, αλλά δεν είναι όλα ίδια, τα κοινά σημεία είναι πως κανένα μηχάνημα δεν έχει κάνει full disk encryption κατά την εγκατάσταση του λειτουργικού, δεν υπάρχει κάπου dual boot και πως όλα έχουν ένα και μοναδικό nvme δίσκο - χωρίς partitions.
Τα λίγα windows laptops καλύπτονται πλήρως από (post installation) full disk encryption με VeraCrypt, αλλά στα υπόλοιπα (Mint, Ubuntu, Debian - κάποια με lvm, κάποια χωρίς) ο μόνος σίγουρος τρόπος που μου κόβει ως τώρα είναι encryption μόνο του /home και swap πχ. με την προϋπόθεση πως κάθε μέλος της ομάδας θα φροντίζει να μεταφέρει πάντα εκεί οτιδήποτε δεν πρέπει να πέσει σε λάθος χέρια σε περίπτωση κλοπής/απώλειας της συσκευής. Η συγκεκριμένη λύση μας καλύπτει εφόσον οτιδήποτε εμπιστευτικό βρίσκεται εντός /home, αλλά πάντα θα παίζει ο παράγοντας ανθρώπινο λάθος σε περίπτωση που κάποιος ξεχάσει να μεταφέρει κάποιο αρχείο στο /home.
Δεν με ενδιαφέρουν τρίτες λύσεις τύπου εξωτερικό storage, git, κλπ. αλλά καθαρά encryption του local storage - και το challenge της υπόθεσης είναι το πως και αν μπορεί να γίνει κάτι καλύτερο του προαναφερθέντος σεναρίου (πχ. /home encryption) χωρίς όμως να χρειαστεί νέα εγκατάσταση του εκάστοτε λειτουργικού για να περαστεί από την αρχή σωστά lvm+full disk encryption. Επίσης σημειώνω πως το συγκεκριμένο θέμα το θέτω ως προσωπικό προβληματισμό/project και όχι ως αναζήτηση λύσης για την εταιρία που εργάζομαι.
Δεκτές όλες οι ιδέες για σχετικά workarounds βάσει του προβλήματος που περιγράφω, καθώς επίσης και οι σχετικές ειρωνίες και κατηγορίες τύπου “όποιος δεν έχει μυαλό, έχει πόδια” (ή χρόνο για backup/reinstall os στην προκειμένη )
Από εδώ θα ξεκίνούσα με βασική προϋπόθεση τη δημιουργία χώρου στην αρχή του δίσκου για LUKS header.
Δεν είναι κάτι δύσκολο, κάποια στιγμή το είχα δοκιμάσει σαν personal project, αργότερα το εγκατέλειψα.
Σίγουρα image backup πριν ξεκινήσει το τελετουργικό.
To systemd-homed είναι μια καλή εναλλακτική λύση. Είναι ιδιαίτερα κατάλληλο για επαγγελματικά περιβάλλοντα καθώς έχει φορητότητα υποστηριξή για FIDO keys κλπ.
Και κάτι ακόμα, διαβάζοντας προσεκτικότερα το post σου.
Swap file ή partition γιατί; Εγγραφές σε nvme χωρίς λόγο.
Κατάργησέ τα και σπρώξτα σε zram-swap που είναι πλέον και multi-threaded.
Με zstd compression 1gb είναι super αρκετό και με σωστή ρύθμιση του swappiness(και όχι μόνον) είναι αμφίβολο αν θα χρησιμοποιηθεί. Ούτως ή αλλιώς δουλεύει as needed - on demand.
Νομίζω αν δεις την ανάρτηση του @Maras θα βγάλεις άκρη γρήγορα. Αν δεν είναι “πολλά” τα ευαισθητα δεδομένα, ας πουμε ότι είναι ένα directory , π.χ. encrypted_dir, τότε θα μπορούσες να χρησιμοποιήσεις και το gpg. Πολύ εύκολα όταν κάνεις shutdown φτιάξε ένα σκριπτακι να κάνει δύο πράγματα tar το encrypted_dir και κατόπιν κρυπτογραφηση με gpg (με ενα συμμετρικο κλειδί χωρίς public-secret key και memorable safe password). Επίσης στο login, να κανεις decrypt to encrypted_dir και κατόπιν untar. Όποτε όταν ο υπολογιστης είναι κλειστός, αν κλαπεί, είναι αδύνατο (με καλό password) κάποιος να αποκτήσει πρόσβαση στον ευαίσθητο φάκελο.
)
