Riziko a postup při zašifrování celého HDD v notebooku s Ubuntu přes VeraCrypt

Na linuxu mas mit minimalne 3 oddily: "/", "/home" a swap.

Zasifrujes jen "/home".

podle okolnosti jeste muze byt potreba poresit /tmp /var/log a pripadne i dalsi pod /var/

Tak teď mám z toho trochu zamotanou hlavu...
Tohle mi ukazují disky https://ctrlv.cz/mKjX
Také mě napadlo, prostě jenom tu hlavní složku moje se vším přesunout do jediné velkého zašifrovaného souboru 1TB. https://ctrlv.cz/ucfP
Ale vůbec nevím, co to může udělat...

Mas tam jenom jeden oddil. Efi/Boot nepocitej, to je servisni oddil, abys ten linux vubec spustil.

Zamotane to mas a zacit odmotavat to muzes tak, ze si nejprve o tom, jak funguje linux neco zjistis. Pak ti bude i vic zrejme, proc staci na linuxu zasifrovat jen uzivatelsky oddil (slozku) na /home.

Mozna si zkus zodpovedet i otazku, proc chces sifrovat a jestli ti to nejaky smysl vubec dava: zpomaleni pocitace kvuli sifrovani po pouziti a rozsifrovani pred pouzitim, nutna zaloha sifrovanych dat a otazka, zda je mit zalohovane take sifrovane nebo bez sifrovani, atd.

1. Proč chci šifrovat? https://www.cnews.cz/tip-sifrovani-uloziste-windows-home-veracrypt/ Otázku, zda šifrovat úložiště počítače, bychom teoreticky řešit neměli. Zkrátka by už šifrování mělo být standardem, což se např. stalo ve světě mobilů. Běžný počítač ale úložiště zašifrované nemá, což by vás mohlo trápit v případech, kdy vám stroj bude zcizen, případně ho jen ztratíte. Na úložišti by pak někdo mohl najít spoustu osobních až vysoce citlivých dat.

Našel jsem teď ještě zajímavý článek o tom, že jsou 3 možnosti šifrování, ale k rozhodování mi to moc nepomohlo https://www.systemonline.cz/clanky/neni-sifrovani-jako-sifrovani.htm

2. Co chci šifrovat? Důležité věci mám mimo pc na ext.hdd, ale v případě odcizení nebo opravy úc v servise nechci, aby někdo pročítal emaily v Thunderbirdu, oblíbené položky ve Firefoxu a záznamy v kalendáři. Nejde sice o nic vysoce citlivého, ale stejně vítám jakoukoliv možnost k ochraně pro uvedené případy krádeže apod. A nabyl jsem mylného dojmu, že se nejedná o nic složitého. Že místo zašifrovaného souboru (nebo flešky) prostě dám ve VeraCryptu možnost zašifrování celého disku. I když to může přinést menší komfort potom. A nutnost zálohy na CD.

3. Úplně přesně nevím, jak zašifrovat jen uživatelský oddíl (složku) na /home? Je to jak si myslím, že by se udělal normální zašifrovaný soubor o potřebné velikosti a tam by se jen ta složka přesunula?

Jinak zatím děkuji všem za snahu a rady.

Připadá mi to příliš paraniidní, ale to je tvoje věc a není předmětem dotazu.

Obávám se, že když bude jakýmkoliv nástrojem šifrována složka /home/ (celá!), tak k ní musí mít přístup systémové programy, samo GUI prostředí (Gnome, Plasma, Mate,...). V tom případ se do toho dostane i špionský program (i pod účtem uživatele - "neroota"). Je to jedině ochrana před čmajznutím celého stroje.

Určitě bych nepoužíval pro šifrování disku VeraCrypt ale nativní šifrování, které je v Linuxu přítomno přímo v jádře (nejlepší od jádra 2.6.24). Zašifrování provedeš příkazem cryptsetup, tímtéž příkazem i dešifrace a jen se moutne. Ale raději před tím zálohuj nebo si to vyzkoušej na jiném disku..

Hodně informací o šifrování oddílu (proč šifrovat nebo nešifrovat, problémy, jak zašifrovat oddíl...) pod Linuxem je tady: https://www.root.cz/clanky/proc-a-jak-na-sifrovani-disku-v-linuxu/ . Vřele doporučuji přečíst, je tam i jak vytvořit šifrovaný disk a lepšími nástroji,

Souhlasim. Sifrovani, tak jak si ho predstavuje tazatel je opravdu vyhodne predevsim kvuli moznosti fyzickeho odcizeni disku respektive celeho PC. Chranim se tedy bezpecnostnima dverma do bytu a verim, ze investice zlodeje do otevreni dveri se mu vzhledem k moznemu zisku nevyplati. Jina situace je u prenosnych mobilu a notebooku, tam je kradez mnohem pravdepodobnejsi a sifrovani vyznam urcite ma. Primarni zdroj dat je u prenosnych zarizeni jinde a proto ani pripadna ztrata dat neboli.

Co je u domaciho PC pravdepodobnejsi, je spise prunik zlodeje digitalnich dat do pocitace pres sit. A to zasifrovani disku nebo osobni slozky neresi. V dobe, kdy uzivatel na PC pracuje, ma tyto slozky stejne rozsifrovane, protoze tam potrebuje zapisovat. Ja proto sifruji jen na urovni souboru. Hesla mam pres keepass zasifrovana, citlive soubory mam zase zapakovane do 7zip a zaheslovane, zaroven je to zasifrovane pres AES, tudiz dostatecne chranene. Rozpakovavam to jen tehdy, kdyz s citlivymi udaji potrebuju pracovat a to neni porad. Rovnez je vyhoda, ze v tu chvili rozpakuji jen to, co potrebuji a neodhaluji to pripadnemu utocnikovi po siti vsechno.

Podle me je teda u domaciho PC, ktere necestuje, vyhodnejsi sifrovat pouze selektivne, to co opravdu potrebuju, jak to delam ja. Tim ale nerikam, ze to tazatel nemuze mit jinak a ze sifrovat nepotrebuje vsechno. Proto mu navrhuji, aby to opravdu poradne nastudoval, jen tak si zajisti, ze neudela chybu, ktere by v budoucnu mohl litovat.

Omlouvám se, nenapsal jsem, že se jedná o notebook.

Osobne bych to udelal tak, ze bych z notasu stahnul uzivatelska data a provedl novou instalaci Ubuntu vcetne vytvoreni oddilu tak, jak jsem psal. HOME oddil se nastavi jako sifrovany uz pri instalaci. Bude to nejednodussi. Pokud uz to reinstalovat nechces, tak si budes muset postupy dohledat pres google. Rce uz ti tu i nejake odkazy, odkud se odpichnout, daval a ma urcite pravdu i v tom, ze je jednodussi vyuzit uz to co linux poskytuje nativne, nepotrebujes VeraCrypt.

Nejsem vůbec odborník na Linux, takže mi trvalo více než měsíc, dokázat dostat do notebooku vůbec těch několik málo programů, které používám, protože nejsou v Ubuntu software. Znovu bych to tak dlouho dělat nechtěl a nejsem si jistý, jestli bych to teď zvládl rychleji. Jinak by mi nová instalace vůbec nevadila. A zvolit šifrování hned při instalaci bych rozhodně uvítal. Tak nevím. Musím to promyslet. Ohledně toho Firefoxu, Thunderbirdu a kalendáře. Někdo tady radil, že to jsou pouze soubory v nějaké složce a že by stačilo (proti krádeži nebo notebooku v servisu) mít zašifrovanou složku s těmito soubory. Ale to zašifrování hned při instalaci mě láká víc. Jen ta instalace programů znovu... No nic, musím to promyslet. Ještě jednou děkuji všem za návrhy a rady.

Ještě poslední dotaz. Když to tedy přeinstaluji a zašifruji. Proti odcizení notebooku je to OK. Ale pokud mi třeba nepůjde spustit vůbec notebook a budu ho muset dát případně do pc servisu.
Jak to bude potom? Budou potřebovat heslo k rozšifrování, aby notebook mohli opravit, nebo to budou schopni opravit i bez hesla?

Přes víkend budu mít čas, že bych se pustil do té přeinstalace. ale abych to nedělal zbytečně.

Servis si nahraje svůj OS

Zalezi, jak se dohodnes se servisem. Muzou si do toho notebooku dat vlastni disk a zkusit to na nem, muzes se s nima treba i dohodnout, ze jim disk nebudes davat vubec. Treba ale bezna reklamace a zarucni oprava se obvykle u notasu resi tak, ze servis jako prvni provede obnovu tovarniho nastaveni, to znamena odstrani z notebooku veskera data vcetne tech zasifrovanych.

Sifrovani tak jak si ho predstavujes, je vyhodne predevsim pro pripad kradeze, pokud s notebookem cestujes, smysl to ma, jinak je to silne na zvazeni.

Notebook už má po záruce. Takže to, že by si tam dali vlastní disk, to je dobrý nápad. I když jim ho v servise nechám ten disk, tak by se do něj (normálně) neměli bez hesla vůbec dostat, když je zašifrovaný, ne?
Smazání dat by mi nevadilo, mám vždy zálohy.
Je pravda, že s notebookem ale necestuji.

Jasne, na zasifrovany se bez hesla nedostanou.

Jak rikam, je to na tobe, ale pokud to neni ochrana proti kradezi, tak povazuju sifrovani za zbytecne a mnohdy i kontraproduktivni. Mnohem lepsi mi prijde zapakovat si citlive dokumenty 7-zipem a pouzit heslo. Tim se to zasifruje pres AES a mas to chranene neustale, dokud to nerozpakujes. Nicmene na linuxu je ochrana HOME slozky (oddilu) sifrovanim jednoducha a navic mit /home jako separatni oddil je i vyhodne. Pri potrebe reinstalu a zformatovani rootu ti /home zustava a tim i vetsina konfiguracnich souboru, maji to proste na linuxu vymyslene docela prakticky.