Пляски с бубнами вокруг FDE на Asus X200CA
16 Jan 2014 | Автор: dd |Долго ли, коротко ли, потратил несколько дней на поиски ноутбука для поездок. Основной задачей было не сильно вылезти за бюджет в 10к рублей и при этом поиметь нормальную машину.
Прошуршав инеты, в конечном итоге остановился на 11.6″ ноуте Asus X200CA, как наиболее интересном предложении: Celeron 1007U(1.5Ghz)/ 4Gb/ 320Gb/ GMA HD за 10300 руб. Можно было докинуть еще 6к и поиметь Intel Pentium Dual Core 1.8 Ghz)/ 4Gb/ 500Gb/ Intel HD Graphics, 32+1632 Mb, но откровенно говоря не видел необходимости, так как играть я на нем не планирую.
За одни и те же деньги предлагался ноут с DOS или Linux на борту, так что я взял c Ubuntu. Зайдя на всякий случай на офф.сайт Asus, был несколько разочарован, ибо дрова предлагались только для 64 битных версий Windows 7, 8, 8.1, что отметало вариант с установкой 32 битной семерки. Ну я так думал, по крайней мере.
Так как 4Gb оперативной памяти для 64 битной системы не так уж и много, то решил остаться на Ubuntu. Но поскольку я планировал этот ноутбук для путешествий, то мне была важна сохранность данных, так что я стал измышлять относительно того, как защитить данные.
Первой мыслью было просто организовать крипт контейнер, в который ныкались бы файлы и монтировать его как диск, если бы вдруг понадобился доступ к ним. Но тут возникал момент, что тогда данные почты и сохраненные пароли в бродилках, все равно могли бы попасть, в случае кражи, в руки злоумышленников.
Тогда встал вопрос на счет так называемого FDE (Full Disk Encryption), то есть полного шифрования системы, когда доступ к диску и рутовой партиции системы осуществляется только после ввода пароля или ключа на начальной стадии загрузки. Но тут возникло два непредвиденных момента: TrueCrypt которым я планировал шифровать диск, под Linux не поддерживает FDE, так что полюбас пришлось бы ставить первоначально Windows; и тот момент что встроенное FDE от Ubuntu прикручивается только на стадии установки системы.
Третьим вариантом были: установка виртуальной машины, чей имидж хранился бы на шифрованном томе или же так называемый hidden volume от TrueCrypt на который была бы установлена винда. Но последний вариант был бы более корявым, так как все равно требовались бы дрова для 32битки, если бы я решил ставить 7ку, тогда как в первом варианте возникали лишние телодвижения для простейшей проверки почты. К тому же hidden volume требовал свободного дискового пространства, которого при дефолтной заводской установке не было, так что все равно надо было что то переставлять.
Так что пришлось играться с установкой родного FDE от Ubuntu. Тут надо заметить, что для установки приходится использовать не оригинальный имидж системы, а альтернативный загрузчик, поддерживающий управление логическими томами LVM (Logical Volume Manager) который можно взять с офф.сайта Ubuntu (64-bit PC (AMD64) alternate install CD).
А вот тут и крылся основной подвох, так как Ubuntu не захотела ставиться, а предлагала воспользоваться factory recovery, так что перед установкой пришлось первоначально почистить диск от следов заводской установки, хотя бы с помощью виндового инсталлятора или какого нить Live CD. Следующим неприятным моментом был тот факт, что измененное ядро под FDE не имело дров на wi-fi адаптер Ralink и требовало дрова от него в виде файла rt3290.bin, который всюду предлагалось собрать через git, тогда как оф.сайте Ralink он отсутствовал. Так что пришлось потратить какое то время, прежде чем я смог найти рабочий драйвер (в архиве сам драйвер rt3290.bin и несколько how-to по сборке его из сырцов для Ubuntu и Linux систем), который и подсунул системе. Ubuntu встала, хотя и со скрипом, но поковырявшись в ней, понял что мне не очень нравится, да и с qip’ом остались те же проблемы.
Поэтому уже имея в запасе один рабочий вариант, решил поиграться таки в виндами. Надо заметить, что для создания загрузочных флех я пользова две программы: родную тулзятину от мелкомягких Windows7-USB-DVD-tool и юниксовую форматилку Universal-USB-Installer, которые упаковал одним архивом.
Windows 7 x86 встала без проблем, и тут я решил на дурачка попробовать накатить дрова для 64 бит. И о чудо, оказалось что все драйвера, кроме видео карты, нормально ставятся на 32 битную систему. Драйвера видео (Intel HD Graphics 2500 or Intel HD Graphics), в свою очередь, без проблем берутся с офф.сайта Intel, а полный пакет Windows 7 x86 драйверов для Asus X200CA на можно взять здесь.
Но тут образовалась незадача, так как старый патчер ядра для Windows 7 x86, разлочивавший использование оперативной памяти в 32хбитной системе до 128 Gb, не хотел никак дружить ни с апдейтами безопасности, ни с SP1, так что система грузилась, но уходила в темный экран. Попытка вычленить проблемный апдейт не увенчалась успехом, так что пришлось поковыряться и найти новую версию патчера, но в процессе его тестирования, стало понятно, что патченное ядро не дружит с драйверами Intel HD Graphics в любом их проявлении, так что попытка установить пару бродилок и скайп приводила к падению софта, гаснущему экрану или BSOD с ошибками STOP 0X0000007F.
Стало понятно, что если и пользовать Windows то только в режиме обычной x86, похоронив мечты об использовании 4Gb вместе с недостающими 400Mb оперативной памяти.
Все остальное было уже делом техники. Единственно что могу посоветовать, шифровать диск уже после того как установите все сервис патчи, дрова и апдейты, чтобы не мучиться вводом декрипт-пароля на каждой перезагрузке. После того как все установили, ставим TrueCrypt и говорим в нем: System -> Encrypt System Partition/Drive и далее следуем указаниям менюшки. При этом можно выбрать вариант загрузчика- с одной OS или несколькими, так что в дальнейшем можно будет поставить тот же самый Ubuntu или какую либо другую систему.
На моем ноуте полное первичное шифрование диска на 350 Gb заняло порядка 8 часов. Также необходимо сохранить TrueCrypt Rescue Disk, созданный при переходе на FDE, на внешнем диске или флешке, чтобы в случае каких либо проблем, иметь возможность расшифровать данные.
При использовании в поездке, важно выключать компьютер, а не отправлять его в спящий режим, так как только при выключении системы, происходит шифрация системы. Поэтому желательно к полной шифрации системы FDE использовать также и крипт-контейнеры, для хранения важных и критичных к потере данных.
Резюмируя все вышесказанное, по итогам практически недельных плясок с бубнами, в течении которых я раза 3-4 переставил Ubuntu, раза 2-3 OpenSuSe и более 10 раз Windows 7, наиболее оптимальным вариантом для инкриптизации системы Asus X200CA является либо организация скрытого тома под Ubuntu и установка туда Windows 7/8 (это уже на любителя), либо же установка Windows 7/8 и организация шифрования диска средствами TrueCrypt.
Пара хинтов для установки: в BIOS заходим по F12, если возникла проблема с тем что ноут криво видит или не видит установочные флешки, то в BIOS надо пройти Boot -> Hard Drive DDS Priorities -> Boot Option #1 выбрать именно USB стик. Ибо по непонятной причине, когда он стоит вторым, то может не появляться в основном Boot меню, или не правильно отображаться и, как следствие, не загружаться.
Пляски с бубнами вокруг FDE на Asus X200CA,Теги: IT безопасность, windows 7