Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2013-11-23 12:36:18
DeWu - 
Użytkownik
- DeWu
- Użytkownik
- Zarejestrowany: 2013-03-26
Szyfrowanie katalogu domowego
Witam. Sporo czasu spędziłem na znalezieniu skutecznego sposobu zaszyfrowania prywatnych danych na laptopie. Dużo z nim podrużuję i ryzyko że go gdzieś zostawię lub ktoś mi go ukradnie jest na prawdę duże a mam tu dane które nie powinny wpaść w niepowołane ręce. Czytałem o trikach z truecrypt lub innymi programami szyfrującymi ale wymagają one klucza który jest zapisany na innej partycji (aby montować katalog przy starcie) lub na dysku zewnętrznym. Powiem że to mało bezpiecne z mojego punktu widzenia. Świetnym rozwiązaniem wydało mi się zaszyfrowaniie katalogu domowego komendą adduser --encrypt-home Tworzy ona katalog domowy zupełnie inaczej wyglądający niż inne i nieczytelny z poziomu innych użytkowników (nawet roota tak mi się wydaje) Jednak w związku z tym rodzigs się pytanie: jak mam przenieść swoje dane na tego uzytkownika? I nie chodzi mi tylko o dokumenty ale kompletny katalog domowy łacznie z ustawienia Gnome, katalogiem .wine, .ssh, .mc, .vnc itp. Z góry dziękuję za pomoc.
Offline
#2 2013-11-23 12:58:42
ArnVaker - Kapelusznik
- ArnVaker
- Kapelusznik
- Skąd: Midgard
- Zarejestrowany: 2009-05-06
Re: Szyfrowanie katalogu domowego
[quote=DeWu]Czytałem o trikach z truecrypt lub innymi programami szyfrującymi ale wymagają one klucza który jest zapisany na innej partycji (aby montować katalog przy starcie) lub na dysku zewnętrznym.[/quote]
To jest opcja. Można oczywiście używać po prostu hasła.
[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]
Offline
#3 2013-11-23 13:15:40
megabajt - Użytkownik
- megabajt
- Użytkownik
- Skąd: Wrocław
- Zarejestrowany: 2012-03-07
Re: Szyfrowanie katalogu domowego
http://stolowski.blogspot.com/2011/06/debian-60-encrypting-home-partition.html
Offline
#4 2013-11-23 13:20:13
DeWu - Użytkownik
- DeWu
- Użytkownik
- Zarejestrowany: 2013-03-26
Re: Szyfrowanie katalogu domowego
I to jest właśnie to! Zaraz się biorę za setup.
Dzięki.
Offline
#5 2013-11-23 14:07:49
ArnVaker - Kapelusznik
- ArnVaker
- Kapelusznik
- Skąd: Midgard
- Zarejestrowany: 2009-05-06
Re: Szyfrowanie katalogu domowego
To jest co innego akurat. W pierwszym poście pisałeś o ecryptfs, to z linka to dm-crypt.
[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]
Offline
#6 2013-11-23 14:20:23
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: Szyfrowanie katalogu domowego
Tu masz trochę o szyfrowaniu:
http://dug.net.pl/tekst/239/#3
Offline
#7 2013-11-23 14:23:45
morfik - Cenzor wirtualnego świata
#8 2013-11-23 16:03:37
megabajt - Użytkownik
- megabajt
- Użytkownik
- Skąd: Wrocław
- Zarejestrowany: 2012-03-07
Re: Szyfrowanie katalogu domowego
1) Szyfrując tylko /home możemy łatwo zalogować się na zrestartowanego hosta i wpisać przez ssh hasło. Jak zaszyfrujemy całego / to trzeba kombinować z busybox-em i dropbear-em.
2) Majć niezaszyfrowanego / wydajność jest wyższa (wiem - przy współczesnych platformach nikt nie zobaczy różnicy...)
3) Krytyczne dane są (powinny być) w /home, nie ma potrzeby szyfrowania całości (w większośći przypadków)
Offline
#9 2013-11-23 17:04:51
morfik - Cenzor wirtualnego świata
Re: Szyfrowanie katalogu domowego
Nie zgodzę się co do punktu 3. W przypadku posiadania zaszyfrowanych danych na jakiejś maszynie, wszystkie pliki pozostałe są krytyczną potencjalną dziurą, która może przyczynić się do łatwego odszyfrowania tych supertajnych danych -- nie ma pewności co do zachowana integralność danych, bo ktoś może ci podmienić firefoxa na firefoxa+keyloger, co powoduje, że ty sobie odpalasz firefoxa, montujesz zaszyfrowany zasób i tyle z twojego szyfrowania, tylko takty procka się marnują. xD A w jaki sposób dojdziesz, który plik w systemie został świadomie zmieniony podczas twojej nieobecności? Sumny kontrolne 200k plików systemowych, które leżą w postaci odszyfrowanej i sprawdzanie ich za każdym razem gdy się chce zamontować zaszyfrowany zasób?
Offline
#10 2013-11-23 18:51:02
megabajt - Użytkownik
- megabajt
- Użytkownik
- Skąd: Wrocław
- Zarejestrowany: 2012-03-07
Re: Szyfrowanie katalogu domowego
Tylko, że ja szyfruje głównie po to, żeby w przypadku kradzieży nie wyciekły hasła, certyfikaty itp. Prawdopodobieństwo, że złodziej odda laptopa jest minimalne a że podmieni binarki i odda laptopa jeszcze mniejsze :D Chyba, że do rzeczonego komputera mają fizyczny dostęp, lub potencjalny dostęp osoby niepowołane lub potencjalnie niepowołane. Tylko, że jak jest uruchomiony to i ramu można odczytać informacje. Paranoja na punkcie bezpieczeństwa może postępować bardzo głęboko :)
Offline
#11 2013-11-23 19:18:32
morfik - Cenzor wirtualnego świata
Re: Szyfrowanie katalogu domowego
Naturalnie, że z ramu można, pytanie czy to takie proste. Pamiętam np. wpis na niebezpieczniku, poniżej focia:
[img]http://niebezpiecznik.pl/wp-content/uploads/2009/12/Center-for-Information-Technology-Policy-Videos-and-Images.jpg[/img]
To są dane w schłodzonym ramie po odpowiednio: po 30 sekundach, 60 sekundach i 5 minutach:
Tylko to jest obrazek, załózmy teraz, że masz klucz szyfrujący w ramie, a on maja postać 01010101010101010101001011010110111101010.... tak jak ten obrazek, zmień teraz choć 1 bit, i już sobie możesz odzyskiwać dane tym kluczem. xD Na obrazkach to może i faktycznie fajnie wygląda ale gdy w grę wchodzi dokładność co do bita, to już tak fajnie nie jest.
Oczywiście to są dane w ramie wyciągnięte po schłodzeniu z działającej maszyny, inaczej sprawa się ma jak sobie zahibernujesz kompa i ci zrzuci ten klucz i hasło na dysk, wtedy masz wierną kopię. Poza tym, te dane z ramu się sczytuje przez porty usb lub inne dziury w kompie dokładnie na takiej samej zasadzie jak system robi zrzut pamięci przy przechodzeniu w hibernację, tylko nie opróżnia ramu i zamiast do swap zrzuca do zewnętrznego pliku, o ile ci się ten pen po wsadzeniu zamontuje... Inaczej szansa na odzyskanie czegokolwiek z pamięci w formie nadającej się do użycia graniczy z cudem.
Paranoja swoją drogą, zabezpieczenia swoją. Albo zabezpieczać się jak trza albo lepiej sobie odpuścić inaczej rozbudzamy w sobie tylko fałszywe poczucie bezpieczeństwa, które jest o wiele bardziej niebezpieczne niż najgorsze zabezpieczenia :)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00011 | SET CHARSET latin2 |
| 0.00006 | SET NAMES latin2 |
| 0.00165 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.219.205.202' WHERE u.id=1 |
| 0.00115 | UPDATE punbb_online SET logged=1716224989 WHERE ident='18.219.205.202' |
| 0.00055 | SELECT * FROM punbb_online WHERE logged<1716224689 |
| 0.00041 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24674 AND t.moved_to IS NULL |
| 0.00033 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00147 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24674 ORDER BY p.id LIMIT 0,25 |
| 0.00143 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24674 |
| Total query time: 0.00716 s | |