Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam. Sporo czasu spędziłem na znalezieniu skutecznego sposobu zaszyfrowania prywatnych danych na laptopie. Dużo z nim podrużuję i ryzyko że go gdzieś zostawię lub ktoś mi go ukradnie jest na prawdę duże a mam tu dane które nie powinny wpaść w niepowołane ręce. Czytałem o trikach z truecrypt lub innymi programami szyfrującymi ale wymagają one klucza który jest zapisany na innej partycji (aby montować katalog przy starcie) lub na dysku zewnętrznym. Powiem że to mało bezpiecne z mojego punktu widzenia. Świetnym rozwiązaniem wydało mi się zaszyfrowaniie katalogu domowego komendą adduser --encrypt-home Tworzy ona katalog domowy zupełnie inaczej wyglądający niż inne i nieczytelny z poziomu innych użytkowników (nawet roota tak mi się wydaje) Jednak w związku z tym rodzigs się pytanie: jak mam przenieść swoje dane na tego uzytkownika? I nie chodzi mi tylko o dokumenty ale kompletny katalog domowy łacznie z ustawienia Gnome, katalogiem .wine, .ssh, .mc, .vnc itp. Z góry dziękuję za pomoc.
Offline
[quote=DeWu]Czytałem o trikach z truecrypt lub innymi programami szyfrującymi ale wymagają one klucza który jest zapisany na innej partycji (aby montować katalog przy starcie) lub na dysku zewnętrznym.[/quote]
To jest opcja. Można oczywiście używać po prostu hasła.
Offline
http://stolowski.blogspot.com/2011/06/debian-60-encrypting-home-partition.html
Offline
I to jest właśnie to! Zaraz się biorę za setup.
Dzięki.
Offline
To jest co innego akurat. W pierwszym poście pisałeś o ecryptfs, to z linka to dm-crypt.
Offline
Tu masz trochę o szyfrowaniu:
http://dug.net.pl/tekst/239/#3
Offline
1) Szyfrując tylko /home możemy łatwo zalogować się na zrestartowanego hosta i wpisać przez ssh hasło. Jak zaszyfrujemy całego / to trzeba kombinować z busybox-em i dropbear-em.
2) Majć niezaszyfrowanego / wydajność jest wyższa (wiem - przy współczesnych platformach nikt nie zobaczy różnicy...)
3) Krytyczne dane są (powinny być) w /home, nie ma potrzeby szyfrowania całości (w większośći przypadków)
Offline
Nie zgodzę się co do punktu 3. W przypadku posiadania zaszyfrowanych danych na jakiejś maszynie, wszystkie pliki pozostałe są krytyczną potencjalną dziurą, która może przyczynić się do łatwego odszyfrowania tych supertajnych danych -- nie ma pewności co do zachowana integralność danych, bo ktoś może ci podmienić firefoxa na firefoxa+keyloger, co powoduje, że ty sobie odpalasz firefoxa, montujesz zaszyfrowany zasób i tyle z twojego szyfrowania, tylko takty procka się marnują. xD A w jaki sposób dojdziesz, który plik w systemie został świadomie zmieniony podczas twojej nieobecności? Sumny kontrolne 200k plików systemowych, które leżą w postaci odszyfrowanej i sprawdzanie ich za każdym razem gdy się chce zamontować zaszyfrowany zasób?
Offline
Tylko, że ja szyfruje głównie po to, żeby w przypadku kradzieży nie wyciekły hasła, certyfikaty itp. Prawdopodobieństwo, że złodziej odda laptopa jest minimalne a że podmieni binarki i odda laptopa jeszcze mniejsze :D Chyba, że do rzeczonego komputera mają fizyczny dostęp, lub potencjalny dostęp osoby niepowołane lub potencjalnie niepowołane. Tylko, że jak jest uruchomiony to i ramu można odczytać informacje. Paranoja na punkcie bezpieczeństwa może postępować bardzo głęboko :)
Offline
Naturalnie, że z ramu można, pytanie czy to takie proste. Pamiętam np. wpis na niebezpieczniku, poniżej focia:
[img]http://niebezpiecznik.pl/wp-content/uploads/2009/12/Center-for-Information-Technology-Policy-Videos-and-Images.jpg[/img]
To są dane w schłodzonym ramie po odpowiednio: po 30 sekundach, 60 sekundach i 5 minutach:
Tylko to jest obrazek, załózmy teraz, że masz klucz szyfrujący w ramie, a on maja postać 01010101010101010101001011010110111101010.... tak jak ten obrazek, zmień teraz choć 1 bit, i już sobie możesz odzyskiwać dane tym kluczem. xD Na obrazkach to może i faktycznie fajnie wygląda ale gdy w grę wchodzi dokładność co do bita, to już tak fajnie nie jest.
Oczywiście to są dane w ramie wyciągnięte po schłodzeniu z działającej maszyny, inaczej sprawa się ma jak sobie zahibernujesz kompa i ci zrzuci ten klucz i hasło na dysk, wtedy masz wierną kopię. Poza tym, te dane z ramu się sczytuje przez porty usb lub inne dziury w kompie dokładnie na takiej samej zasadzie jak system robi zrzut pamięci przy przechodzeniu w hibernację, tylko nie opróżnia ramu i zamiast do swap zrzuca do zewnętrznego pliku, o ile ci się ten pen po wsadzeniu zamontuje... Inaczej szansa na odzyskanie czegokolwiek z pamięci w formie nadającej się do użycia graniczy z cudem.
Paranoja swoją drogą, zabezpieczenia swoją. Albo zabezpieczać się jak trza albo lepiej sobie odpuścić inaczej rozbudzamy w sobie tylko fałszywe poczucie bezpieczeństwa, które jest o wiele bardziej niebezpieczne niż najgorsze zabezpieczenia :)
Offline
Time (s) | Query |
---|---|
0.00008 | SET CHARSET latin2 |
0.00003 | SET NAMES latin2 |
0.00128 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.118.119.77' WHERE u.id=1 |
0.00075 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.118.119.77', 1732287913) |
0.00023 | SELECT * FROM punbb_online WHERE logged<1732287613 |
0.00087 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24674 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00204 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24674 ORDER BY p.id LIMIT 0,25 |
0.00076 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24674 |
Total query time: 0.00609 s |