encrypted SSD

 ( sztomi | 2018. december 7., péntek - 9:46 )

Sziasztok, a következőt szeretném megvalósítani:

Adott egy céges notebook, amin win10 fut. Lehetőségem van beletenni +1 SSD-t, amire saját privát Linuxot szeretnék telepíteni majd a notebook bootjánál kiválasztani, melyik SSD-ről bootoljon (magyarán így használnám privát gépként IS). Vagy bootolhatok pl. egy kisméretú USB pendrive-ról is.

Az elvárásom az, hogy az adott SSD szoftveresen titkosított legyen, szóval ha cég domain adminje hozzáfér is a SSD-hez, ne tudja "elolvasni" (dekódolni) a tartalmát.

Ehhez szeretnék tanácsot kérni: hogyan szokás az ilyesmit megoldani? Magyarán: merre induljak el?

Köszi!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

azt hiszem, ebbe belemerülök a hétvégén, köszi

Ubuntu és társai esetén a telepítőben a partícionálásnál kiválaszthatod, hogy titkosítsa a teljes cuccot.
A /boot-ba csatolt partíció az egyetlen, amit nem tudsz titkosítani, a többit igen.

Cserében a xenial installerben / systemd-ben valamit nagyon benéztek, mert a shutdown rossz sorrendben történik:
cryptfs/lvm hamarabb lezárul, mint egy másik service, ami emiatt systemd 90sec-es timeoutig szöszmöszöl. Még nem volt időm levadászni, mit csesztek el.

Én leragadtam a TrueCrypt / VeraCryptnél, annak idején nekem bevált. Nagyon egyszerű használni

Ha van egy már létező Linux telepítésem (ext4 foglalja a teljes disket, nincs LVM és nincs külön /boot partíció csak a /) akkor egy veracrypttel mennyire szívás helyben titkosítani? Vagy felejtsem el és rakhatom újra.

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

En a boot-ot usb stick-re raknam, az ssd-t meg teljes disk titkositas. Igy hiaba fer hozza barmihez, nem tud vele mit kezdeni.
Ha az ssd-rol akarnal bootolni, akkor a /boot kulon, nem titkositott particion kellene tartanod, igy is, de mivel nem hagyod beugva ezert nem gond.

Az összes normális SSD képes hw AES titkosításra ... ez miért nem jó?

Nem igazán vagyok tisztában vele, hogy ez a HW titkosítás hogyan működik + hogy megfelel-e annak a követelménynek, amit vázoltam: hogy a gép tulaja (a cég, ahol dolgozom) ne tudja dekódolni az SSD tartalmát.

Off, de mi lenne ha dolgoznal azon a gépen és akár bedobnal a táskába valami vékony notebookot? Chromebook és társai
Ps én még a céges wifire sem megyek saját eszközzel.

esetleg private linux VM, az még kevesebb helyet foglal.

Haha. Vm-hez a host-on futó vedelmi cuccok eléggé hozzáférnek.

Mert az full disk encryption. Itt pedig partíció szintű titkosításra van szükség.

Céges gépen nem tárolhatsz privát adatot, innen indul a dolog - ha nem így van nálatok, az baj. Egyébként meg pölö. egy CentOS telepítés next-next-finish módon tud neked titkosított /home kötetet csinálni, oszt' jónapot :-P

+1 es vagy az onnantol nem a te privat adatod.

Nem tudom elolvastad-e de elmagyarázom neked én is: a kollega szeretne egy plusz diszket betenni a gépbe, amire ő telepít oprendszert és azt szeretné titkosítani. Innentől kezdve az nem a céges gépen, hanem a kollega privát diszkjén levő adat, még akkor is ha kaszni céges.

Az hogy illik-e ilyet csinálni, ütközik-e a munkaszerződésbe vagy egyéb agreementekbe az már egy másik kérdés. :)

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

Lehet mindent csavarni, vegsosoron ezt a helyi policy donti el. Azt is lehetne mondani hogy ceges gepet csak ceges ugyekre lehet hasznalni.

mar off de engem pl kurvara zavarna hogy a ceges levelezest vagy specialis programot nem figyeli, kezeli az alkalmazott es helyette megy rajta a doom3. Akkor inkabb hozza be a sajat eszkozet arra az idore amikor faszveres van.:)

Ha megengedik neki, akkor ott k.nagy baj van. Adatvédelmi, és egyéb okokból is. Ugyanis ezzel megengedik neki, hogy tetszőleges adatokat kivigyen a cégtől, hiszen a munkáltató nem képes a diszk tartalmát ellenőrizni, miközben azt a dolgozó joggal akarja hazacipelni.

> Innentől kezdve az nem a céges gépen, hanem a kollega privát diszkjén levő adat, még akkor is ha kaszni céges.

false