Захист фізичного доступу до ноутбуку

Перший рівень захисту для ноутбуку який дуже легко може взяти у вкрасти потенційний зловмисник. Сама техніка коштує менше ніж інформація на ній. Тому треба максимально ускладнити доступ саме до інформації на жорстких дисках.

Налаштування BIOS

В налаштуваннях BIOS необхидно заборонити завантаження з будь яких носіїв крім жорсткого диску. Це убезпечить від завантаження з флешки для отримання доступу до жорсткого диску. Крім того можна заборонити завантаження і перезавантаження, але це не дуже зручно. Пароль на BIOS звичайно можна скинути, але не завжди і це не дуже просто та це все одно не захищає від фізичного вилучення жорсткого диску.

Блокування екрану

Будь яке шифрування жорсткого диску не захищає коли комп’ютер ввімкнений і розблокований. Хоча тайлові віконні менеджери накшталт i3wm, dwm можуть бути деяким захистом від звичайних людей, краще привчати себе завжди блокувати робочий стіл вручну. Тут у нагоді стануть кілька варіантів мінімалістичних і простих блокувальників:

• slock - блокувальник без графіки для будь чого;
• i3lock - стандартний блокувальник для i3wm.

Програмний захист ноутбуку

Шифрування диску

Усі дистрибутиви Linux дозволяють налаштувати шифрування диску при встановленні системи. Це захищає диск при його фізичному вилученні, але викликає падіння швидкодії системи. Можна шифрувати лише /home, а решту розділів залишити нешифрованими. Але кращім варіантом є використання систем EncFS або CryFS, що використовують механізм FUSE щоб створити шифровану віртуальну файлову систему понад основної. Таким чином можна шифрувати окремі каталоги без необхідності заздалегіть виділяти окремі контейнери сталого розміру. Ці ж шифровані каталоги потім можна синхронізувати з хмарними сховищами.

Обидві файлові системи використовують алгоритм AES-256 у режимі GCM, але відрізняються реалізацією:

• EncFS - шифрує кожен файл окремо і тому приховує тільки вміст файлів та їх назву, але показує структуру каталогу та розмір файлів, що потенційно дозволяє довести які саме файли знаходяться у каталозі;
• CryFS - приховує структуру каталогу, назву файлів, їх розмір. Але CryFS на відміну від EncFS не піддавалась незалежному аудиту;
• VeraCrypt - створює шифрований контейнер сталого розміру, який можна синхронізувати тільки повністю.

Двофакторна автентифікація

Для двофакторної автентифікації можна використовувати YubiKey, звичайну флешку або алгоритм TOTP. Автентифікація апаратним ключем не дуже зручна бо треба цей самий ключ не загубити і не забувати діставати з ноутбуку. Деякі моделі ThinkPad’ів мають сканер відбитків пальців що більш зручно, але завжди треба залишати альтернативний варіант входу за допомогою паролю.