-
Fototrend
Linux kezdőknek - érdemes beleolvasni, mielőtt kérdezel
Új hozzászólás Aktív témák
-
Dißnäëß
nagyúr
válasz
Normi™
#106144
üzenetére
Szóval több dolog, eredeti kérdésedre válaszolva (kicsit vissza a gyökerekhez):
1. UEFI-ben jelszó az SSD-nek, a büdös életbe fel nem nyomják. Hegyekben állnak az elfelejtett jelszavas SSD-k a világ legkülönbözőbb elektronikaihulladék temetőiben és szervizeiben, mind kifogástalanul működik, csak elfelejtették a jelszavukat - kuka.
2. Laptopon (de akár desktopon is) egyébként SSD-n ha UEFI-ből aktiválod annak a saját titkosítását, az a legjobb, mert trim-el is kompatibilis marad minden műveleted, míg LUKS esetén a TRIM parancsok használata default off (biztonsági leak miatt), így kicsit jobban nyúzódik az SSD (a maiaknál már nem aggódnék emiatt sem amúgy), hisz a szabad helyed alatt is titkosított random adat van, amiről NEM TUDJA az SSD kontroller, hogy az szabad hely és játszhat vele, ergo olyan, mintha nem lenne szabad helyed egyáltalán, hogy wear leveling-ezhessen, míg ha luks titkosított diszket discard opcióval használunk, átengedi a fölötte lévő tényleges fájlrendszeren lévő üres helyeket (trim) az alatta lévő luks réteg a kontroller fele, hogy az tudja, az ott üres hely és használhatja wear leveling-re.
Ennek annyi biztonsági kockázata van, hogy az adataid továbbra sem látszanak, annak mintázata viszont igen, hogy mely helyeken van tényleges adat egy háttértáron és mely helyeken nincs. Ezzel az infóval önmagában sokra nem lehet menni, de van, aki erre is háklis (egyfajta metaadat) és inkább discard nélkül brutálba titkosítja a teljes SSD-t. Hát ez olyan, mintha teleírnád csurig, nulla provisioning, ergo LUKS esetén (discard nélkül) jó, ha az SSD 20%-át szabadon hagyod és csak mondjuk a 80%-át foglalod be partíciókkal és titkosítod azokat be, így a kontrollernek marad némi mozgástere TÉNYLEGES üres helyet érzékelni és arra át-mappelni blokkokat (titkosítástul mindenestül), ergo valamiféle belső wear-levelinget tud csinálni TRIM hiányában is, míg Te boldogan használod a luks réteg felett a helyet amire akarod és idegen gépbe betéve a megfelelő program/jelszó ismerete nélkül semmit nem fognak tudni felnyitni belőle földi halandók. (Ez nem olyan, mint a filmekben, hogy nekiesünk, miközben pisztoly a fejünknek nyomva és 40 mp alatt Tomkrúz feltörte).
3. A Mint default install-al ha a titkosítást pipálod, lesz kívülről látva egy EFI partíciód, egy /boot-nak használt ext4-ed (nyitva, olvashatóan) és egy hatalmas nagy titkosított partíciód, amiről látni fogja minden Linux, hogy LUKS titkosított, mert a fejléccel kezdődik. Ergo, bármilyen másik gépbe betéve duplakatt rá fájlkezelőben és felnyitja Neked a jelszó ismeretében. Mivel a teljes rendszered titkosítva ezáltal, mint partició, a /home-ot már felesleges még extrán is titkosítani, csak bonyolítod..
Szóval még mindig maradnék a jó öreg bevált uefi jelszónál, az bekapcsolja az SSD-d saját titkosítását (ami azelőtt is ment, csak jelszó nélkül átengedett Téged ezen a rétegen, mintha nem lenne titkosítva). Ugyanez SED típusú, jellemzően enterprise HDD-k esetén is amúgy.. már jó régóta a szerver világban. Trim használva lesz UEFI-s jelszó esetén és a wear leveling, minden egyéb gyönyörűen teszi a dolgát.
Ha öreg SSD, LUKS-oznék discard-al. Ha viszonylag újabb, azon erősebb algo lehet, simán UEFI módszer, kényelem, öröm, bódottág.
btrfs: én fázom tőle (és erről vitába se megyek senkivel, ez csak saját véleményem, de nem vagyok egyedül), engem a zfs elvitt. De az meg csak NAS-ra, úgyhogy desktop-on, laptopon ext4-eznék, atime=off paraméterrel, az picit könnyít a dolgokon.
Fun fact: akkor is érdemes titkosítani, főleg sokterás HDD-t, ha nincs kitől és mit féltened, vagy nincs annyira érzékeny adat rajta, mint mondjuk egy faukettes műszaki leírása. Ugyanis ha eladod a meghajtót, elég csak törölnöd a titkosítást róla, vagy beleformázni az elejébe pár száz megányit egy DD-vel és viszlát, lecsatolod, zacsi, mehet eladásra.
Nagyvállalatoknál is régen voltak ezek a merevlemez-sanitizer meg mindenféle progik a diszkek nullával teleírására, ma már úgy megy, hogy reset-eli a lemez tartalmát a kontroller vagy alaplapi UEFI-ben, a háttérben ez annyit csinál, hogy a meglévő titkosítási kulcsokat eldobja és újakat ad neki, ergo szűz lemez üresen láttatja magát innentől, nem férnek hozzá semmihez. Ennek ellenére is - egyesek - még ezen felül is luks-oznak.
Új hozzászólás Aktív témák
CPT.PirkA topik célja: Segítségnyújtás a Linux disztribúciókkal még csak ismerkedők számára. A szerveres kérdések nem ebbe a topicba tartoznak.
Kérdés előtt olvasd el a topik összefoglalóját!
Haladó Linuxos kérdések topikja.
Linux felhasználók OFF topikja
Milyen program ami... [link]
Shell script kérdésekkel látogassatok el a topikjába
- Teszt Már csak két hónap van hátra a Windows 10 nyugdíjazásáig, ideje előrelépni
- Teszt [Linux] Vanilla OS, egy Debian alapú immutable operációs rendszer
- Teszt [Linux] Aeon Desktop, egy immutable operációs rendszer az OpenSUSE-tól
- Teszt [Linux] A Flatpak
- Bejegyzés MS Office365 Linuxon
- Bejegyzés [Linux] Futtassunk bármely disztrót a terminálunkban
- Bejegyzés Alpine Linux telepítés mindenféle low-end dologra
- Hír Zöld utat adott a nyílt forráskódú Linux meghajtóknak az NVIDIA
- ÁRGARANCIA!Épített KomPhone Ryzen 7 7800X3D 32/64GB RAM RTX 5080 16GB GAMER PC termékbeszámítással
- BESZÁMÍTÁS! ASUS H510M i5 10400F 16GB DDR4 512GB SSD RTX 3060Ti 8GB Zalman S2 TG CHIEFTEC 700W
- GYÖNYÖRŰ iPhone 13 Pro Max 128GB Graphite -1 ÉV GARANCIA - Kártyafüggetlen, MS3540
- Honor Magic 7 Pro 512 Gb - AI Pro kamera, 6,8 120 Hz LTPO OLED, Snapdragon 8 Elite,3 hó gari!
- GYÖNYÖRŰ iPhone 13 Pro 256GB Sierra Blue -1 ÉV GARANCIA - Kártyafüggetlen, MS3361
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest