Windows, Linux и шифрованные диски

Я очень долго использовал устройства Apple в качестве основных рабочих систем и дома и на работе, лет 10, наверное. В целом, это удобно, так как доступны как все приложения которые нужны как для хобби (Capture One & Photoshop), так и рабочие инструменты. Ко времени очередного обновления железа я успел не только заинтересоваться машинным обучением и внимательно посмотреть на современный рынок железа, но и упереться в то, что Apple и GPGPU не совместимы в принципе. После всех метаний и попыток запустить то что мне хочется на устройствах от Apple у меня состоялся большой исход к их конкурентам, ведь зачем платить больше и не иметь доступа к GPGPU, если можно его получить за меньшие деньги?

Перебравшись на Windows дома я довольно долго пытался убедить себя в том, что к всему этому ужасу можно привыкнуть и я просто забыл как классно работать в Windows разработчику… но все же нет. Привыкнуть к PowerShell и его окружению вместо Bash и стандартного набора команд POSIX, а так же отсутствию не глючного терминала просто не возможно. И WSL тут никак не спасает, так как подсистема не только ощутимо тормозит на любом I/O, но и довольно глючная, а кривые терминалы еще сильнее сужают возможности её использования в разработке.

В итоге я не выдержал и принялся устанавливать Ubuntu в качестве второй ОС на свой ноутбук… По итогам этого упражнения могу сказать, что делать резервные копии крайне важно и об этом никогда не нужно забывать. И, да, я их делаю

Итак. Всё прекрасно и легко до тех пор, пока вы не хотите зашифровать все разделы. Как только такое желание возникает – начинаются приключения (если вам “нечего скрывать и нахрена всё это”, то, пожалуйста, прочитайте следующую небольшую заметку). На практике выяснилось что Ubuntu не капризна и после установки по-умолчанию все “просто работает”, при этом, если возникло желание установить Ubuntu в параллель Windows, то создавать зашифрованные LUKS разделы придется уже в ручную. В то же время Windows не имеет ни малейшего понятия о LUKS, и BitLocker является наиболее прямым и разумным решением для шифрования загрузочного диска. Ну и, само собой, Linux не умеет работать с BitLocker и если возникло желание иметь один общий раздел с какими-то данными, то нужно придумать что-то еще. В роли этого “что-то ещё” хорошо выступает приложение VeraCrypt поддерживающее и Windows и Linux, но не использующее TPM по соображениям безопасности.

Лучшее руководство по установке и настройке зашифрованной dual-boot системы с Windows и Linux можно найти тут. Предложенное решение хорошо адаптируется под любую желаемую конфигурацию и относительно легко реализуется. К сожалению это руководство обходит стороной тот факт, что Windows загруженный GRUB, а не своим собственным загрузчиком, будет считать окружение небезопасным и просить ключ восстановления для расшифровки диска (жалкие 40-50 цифр) на каждом запуске. Что бы этого избежать необходимо при каждом запуске компьютера вызывать список доступных загрузчиков и выбирать GRUB только для запуска Ubuntu, а если возникло желание поработать с Windows, то пользоваться стандартным загрузчиком Windows.

Рабочая конфигурация вышла не идеальная, но в целом удобная: Ubuntu на зашифрованном LUKS-диске, раздел с Windows зашифрованный BitLocker и раздел VeraCrypt с данными, которые могут пригодится в обоих операционных системах. Из минусов можно отметить двукратное падение времени работы от батареи (с 3-х, до 1.5 часов), еще более горячий ноутбук, а так же необходимость каждый раз вводить пароль при подключении диска VeraCrypt. Вопросов почему VeraCrypt каждый раз запрашивает пароль у меня нет, и так же я понимаю что сложно ожидать хорошей автономии от ноутбука с 32Gb памяти, двумя m.2 дисками и RTX 2070, но Windows же как-то держится 3 часа… В итоге, время автономной работы – это моя единственная претензия к новому окружению на данный момент.

UPD. Время автономной работы можно немного увеличить (до чуть большое 2-х часов в режиме браузер/набор текста), если сначала установить проприетарные драйвера от NVidia, а потом выбрать встроенную карту в качестве основной при помощи Nvidia X Server Settings. В качестве дополнительно бонуса такой маневр даст понижение температуры процессора на приблизительно 5 градусов.

6 Comments Windows, Linux и шифрованные диски

  1. mich

    В статье про “нечего скрывать” кроме домашней порнухи не увидел аргументов. Корпоративные компы и детские телефоны это уже из другой оперы.

    Reply
    1. Alexander Stavonin

      Главный посыл этой статьи в том, что человек не знает есть ли ему что скрывать до тех пор, пока не становится очевидно что было что скрывать. Посему проще исходить из предпосылки что скрывать есть что, но я об этом пока не знаю (и, в идеале, никогда не узнаю) и шифровать всё, что шифруется.

      Reply
  2. Eugene

    Машинку собирали для целей машинного обучения?

    Мощности CPU/GPU для pet projects хватает по сравнению с настольной машинкой?

    Reply
    1. Alexander Stavonin

      Да для всего разом, включая иногда в Total War погонять. По параметрам посчитать/поиграть на GPU заметно хуже десктопа (там 1080ti была), но то что можно положить в рюкзак всё перекрывает

      Reply
  3. ivan

    Человек конечно не знает, есть ли что ему скрывать или нет. Ну и что? Это еще не достаточный аргумент, чтобы шифровать диски.

    Ты ведь не знаешь, например, сколько человек умирает от того, что кокосы им на голову падают? Или от простуды? От ДТП? Это на порядки больше. Знал бы, ходил в каске или вообще сидел дома целыми днями.

    А тот, у которого на компе а) есть порнуха б) подруге меньше 18ти лет в) ему не повезло, что ее нашла полиция — это один из 100 тысяч. Какая верояность?

    Reply
    1. Alexander Stavonin

      На любом компьютере всегда есть та или иная чувствительная информация, у кого-то финансовая, у кого-то переписка, у кого-то исходники рабочего проекта, так как он из дома работает… да мало ли что ещё, примеры в статье просто гипербола. Если есть возможность усложнить к такой доступ, то глупо этим не пользоваться.

      Reply

Leave a Reply to Alexander Stavonin Cancel reply