Liberte Linux (Hardened Gentoo)

Это которое "Шифровать домашний каталог"?

Нет. В убунту, чтобы форензики не остались без зарплаты, поддержки полнодискового шифрования в умолчальном инсталляционном CD нет, нет там и возможности выбора всяких опций, разве что язык, страну да время можно указать. Однако, есть продвинутый инсталляционный диск с убунтой, называется alternate cd. Вот там есть.

Это которое "Шифровать домашний каталог"?

Это не полнодисковое, а пофайловое шифрование(ecryptfs). Скрыть его невозможно – там шифрованные имена файлов в файловой системы видны. В остальном вроде бы нормальная штука, но со всеми "родовыми травмами".

где встроенные возможности полнодискового шифрования? truecrypt на Win – да,

truecrypt – это как бы сторонняя штука, которая есть и под win, и под Lin

опция в интерфейсе при установке Debian

что делать если система уже установлена? там же lvm как то настраивается.

можно взгляд специалиста? ))
Вот этот вариант нормальный?

truecrypt – это как бы сторонняя штука, которая есть и под win, и под Lin

им системный диск с Линуксом так просто не зашифруешь. SatVA писал что реализация через INITRD.

Встроенное полнодисковое шифрование действительно включается при установке Debian. Особенно рекомендуется его делать при установке системы на LVM.

После установки в системе будет /etc/crypttab (в дополнение к /etc/fstab), dmcrypt, утилита cryptsetup с поддержкой LUKS, модули ядра с поддержкой дискового шифрования, набор стартовых скриптов.

Также будет создан загрузочный рамдиск, в котором будет упакована другая часть необходимых скриптов и утилит. Он будет лежать на единственном незашифрованном /boot-разделе. /boot раздел можно вынести на внешний носитель (флэшку).

Рекомендуется поставить то, что предлагает инсталлятор по-умолчанию, затем уже можно заниматься (с возможностью катастрофических последствий) тонким тюнингом этого всего внутри установленной системы (пересобирать рамдиск, править crypttab, шифровать логические тома поверх физических и пр.).

Можно при установке на флэшку потренироваться, затем загрузиться и посмотреть, как это всё работает.

Нет. В убунту, чтобы форензики не остались без зарплаты, поддержки полнодискового шифрования в умолчальном инсталляционном CD нет, нет там и возможности выбора всяких опций, разве что язык, страну да время можно указать. Однако, есть продвинутый инсталляционный диск с убунтой, называется alternate cd. Вот там есть.

А это что?

Можно при установке на флэшку потренироваться, затем загрузиться и посмотреть, как это всё работает.

как бэ.. инструкция не помешала бы перед тем как тренироваться.
смотрел как устанавливается Qubes OS по умолчанию. попробовал воспроизвести разметку как у них. получилось, но без понимания.

unknown
что вы думаете насчет этого

можно взгляд специалиста? ))
wwwВот этот вариант нормальный?

нет мне кажется, что в Truecrypt для Win лучше реализовано шифрование системного раздела (диска). почему? представляю пользователя, которому нужно вставить флешку для загрузки Linux, потом она остается вставленной в течение раб дня, т.к. большинству по барабану вся эта секьюрность и они спокойно отбегают от компа (курить, есть, трындеть в коридор и т.д.), да и наконец еще забудут в порту после выключения.
в Win вводится пароль и, при засыпании, выход осуществляется через ввод пароля TC.

представляю пользователя, которому нужно вставить флешку для загрузки Linux, потом она остается вставленной в течение раб дня

Я не опытный пользователь, но по моему опыту – Линукс, в отличии от винды блокируется при бездействии и требует ввода пароля по умолчанию. Или я не верно Вас понял. Можно не вынимать флешку, а задать в TrueCrypt горячие клавиши на опцию "Размонтировать все тома и устройства" и все.

блокируется при бездействии и требует ввода пароля по умолчанию

у меня например ни Винда, ни Линукс не блокируется. все это устанавливается в настройках. речь немного о другом. Винду можно ввести в сон принудительно, а при выходе, если есть полнодисковое шифрование системы ТС, выход будет через загрузчик ТС с вводом пароля. в ТС для Линукса нет шифрования системного раздела/диска как опции, с вытекающими из этого обстоятельствами и невозможностью защиты как в Винде. вот о чем хотелось сказать.

PS

а задать в TrueCrypt горячие клавиши на опцию "Размонтировать все тома и устройства"

тут вы путаете понятия криптоконтейнер и шифрование разделов.

можно взгляд специалиста? ))
Вот этот вариант нормальный?

Комментировать статьи с хабра — за что pgpru такое наказание? Пусть элитный сайт комментирует сама тамошняя элита, её там предостаточно, в том числе в комментах.

А это что?

Не знаю, в 10.04 такого вроде ещё не было, за 3 года могло многое поменяться.

в Truecrypt для Win лучше реализовано шифрование системного раздела (диска)
в Win вводится пароль и, при засыпании, выход осуществляется через ввод пароля TC.

[troll mode]
Не написал бы ntldr об этом, ещё бы лет 10 TC-диски крякали бы и хомяки удивлялись б «С чего бы это? Вроде пароль длинный был». С LUKS такого не было!
[/troll mode]

в ТС для Линукса нет шифрования системного раздела/диска как опции, с вытекающими из этого обстоятельствами и невозможностью защиты как в Винде. вот о чем хотелось сказать.

Да, но добрый доктор unknown прописал рецепт для особо страждущих, пить с LUKS'ом и Linux'ом.

Комментировать статьи с хабра

ну скопипастил бы я статью на суд unknown, лучше бы было? или палиткорректнее? важна истина и проф взгляд на суть предложенного решения.
пароль и загрузчик на стороннем носителе сравнивается с позиции использования простым смертным пользователем, так сказать удобство и безопасность. любая супертеория разбивается об бытовое ее использование. (((