Windows, Linux и шифрованные диски

Я очень долго использовал устройства Apple в качестве основных рабочих систем и дома и на работе, лет 10, наверное. В целом, это удобно, так как доступны как все приложения которые нужны как для хобби (Capture One & Photoshop), так и рабочие инструменты. Ко времени очередного обновления железа я успел не только заинтересоваться машинным обучением и внимательно посмотреть на современный рынок железа, но и упереться в то, что Apple и GPGPU не совместимы в принципе. После всех метаний и попыток запустить то что мне хочется на устройствах от Apple у меня состоялся большой исход к их конкурентам, ведь зачем платить больше и не иметь доступа к GPGPU, если можно его получить за меньшие деньги?

Перебравшись на Windows дома я довольно долго пытался убедить себя в том, что к всему этому ужасу можно привыкнуть и я просто забыл как классно работать в Windows разработчику… но все же нет. Привыкнуть к PowerShell и его окружению вместо Bash и стандартного набора команд POSIX, а так же отсутствию не глючного терминала просто не возможно. И WSL тут никак не спасает, так как подсистема не только ощутимо тормозит на любом I/O, но и довольно глючная, а кривые терминалы еще сильнее сужают возможности её использования в разработке.

В итоге я не выдержал и принялся устанавливать Ubuntu в качестве второй ОС на свой ноутбук… По итогам этого упражнения могу сказать, что делать резервные копии крайне важно и об этом никогда не нужно забывать. И, да, я их делаю

Итак. Всё прекрасно и легко до тех пор, пока вы не хотите зашифровать все разделы. Как только такое желание возникает – начинаются приключения (если вам “нечего скрывать и нахрена всё это”, то, пожалуйста, прочитайте следующую небольшую заметку). На практике выяснилось что Ubuntu не капризна и после установки по-умолчанию все “просто работает”, при этом, если возникло желание установить Ubuntu в параллель Windows, то создавать зашифрованные LUKS разделы придется уже в ручную. В то же время Windows не имеет ни малейшего понятия о LUKS, и BitLocker является наиболее прямым и разумным решением для шифрования загрузочного диска. Ну и, само собой, Linux не умеет работать с BitLocker и если возникло желание иметь один общий раздел с какими-то данными, то нужно придумать что-то еще. В роли этого “что-то ещё” хорошо выступает приложение VeraCrypt поддерживающее и Windows и Linux, но не использующее TPM по соображениям безопасности.

Лучшее руководство по установке и настройке зашифрованной dual-boot системы с Windows и Linux можно найти тут. Предложенное решение хорошо адаптируется под любую желаемую конфигурацию и относительно легко реализуется. К сожалению это руководство обходит стороной тот факт, что Windows загруженный GRUB, а не своим собственным загрузчиком, будет считать окружение небезопасным и просить ключ восстановления для расшифровки диска (жалкие 40-50 цифр) на каждом запуске. Что бы этого избежать необходимо при каждом запуске компьютера вызывать список доступных загрузчиков и выбирать GRUB только для запуска Ubuntu, а если возникло желание поработать с Windows, то пользоваться стандартным загрузчиком Windows.

Рабочая конфигурация вышла не идеальная, но в целом удобная: Ubuntu на зашифрованном LUKS-диске, раздел с Windows зашифрованный BitLocker и раздел VeraCrypt с данными, которые могут пригодится в обоих операционных системах. Из минусов можно отметить двукратное падение времени работы от батареи (с 3-х, до 1.5 часов), еще более горячий ноутбук, а так же необходимость каждый раз вводить пароль при подключении диска VeraCrypt. Вопросов почему VeraCrypt каждый раз запрашивает пароль у меня нет, и так же я понимаю что сложно ожидать хорошей автономии от ноутбука с 32Gb памяти, двумя m.2 дисками и RTX 2070, но Windows же как-то держится 3 часа… В итоге, время автономной работы – это моя единственная претензия к новому окружению на данный момент.

UPD. Время автономной работы можно немного увеличить (до чуть большое 2-х часов в режиме браузер/набор текста), если сначала установить проприетарные драйвера от NVidia, а потом выбрать встроенную карту в качестве основной при помощи Nvidia X Server Settings. В качестве дополнительно бонуса такой маневр даст понижение температуры процессора на приблизительно 5 градусов.

2 Comments Windows, Linux и шифрованные диски

  1. mich

    В статье про “нечего скрывать” кроме домашней порнухи не увидел аргументов. Корпоративные компы и детские телефоны это уже из другой оперы.

    Reply
    1. Alexander Stavonin

      Главный посыл этой статьи в том, что человек не знает есть ли ему что скрывать до тех пор, пока не становится очевидно что было что скрывать. Посему проще исходить из предпосылки что скрывать есть что, но я об этом пока не знаю (и, в идеале, никогда не узнаю) и шифровать всё, что шифруется.

      Reply

Leave a Reply