Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2013-11-23 12:36:18

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Szyfrowanie katalogu domowego

Witam. Sporo czasu spędziłem na znalezieniu skutecznego sposobu zaszyfrowania prywatnych danych na laptopie. Dużo z nim podrużuję i ryzyko że go gdzieś zostawię lub ktoś mi go ukradnie jest na prawdę duże a mam tu dane które nie powinny wpaść w niepowołane ręce. Czytałem o trikach z truecrypt lub innymi programami szyfrującymi ale wymagają one klucza który jest zapisany na innej partycji (aby montować katalog przy starcie) lub na dysku zewnętrznym. Powiem że to mało bezpiecne z mojego punktu widzenia. Świetnym rozwiązaniem wydało mi się zaszyfrowaniie katalogu domowego komendą adduser --encrypt-home Tworzy ona katalog domowy zupełnie inaczej wyglądający niż inne i nieczytelny z poziomu innych użytkowników (nawet roota tak mi się wydaje) Jednak w związku z tym rodzigs się pytanie: jak mam przenieść swoje dane na tego uzytkownika? I nie chodzi mi tylko o dokumenty ale kompletny katalog domowy łacznie z ustawienia Gnome, katalogiem .wine, .ssh, .mc, .vnc itp. Z góry dziękuję za pomoc.

Offline

 

#2  2013-11-23 12:58:42

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: Szyfrowanie katalogu domowego

[quote=DeWu]Czytałem o trikach z truecrypt lub innymi programami szyfrującymi ale wymagają one klucza który jest zapisany na innej partycji (aby montować katalog przy starcie) lub na dysku zewnętrznym.[/quote]
To jest opcja. Można oczywiście używać po prostu hasła.


[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]

Offline

 

#3  2013-11-23 13:15:40

  megabajt - Użytkownik

megabajt
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2012-03-07

Re: Szyfrowanie katalogu domowego

http://stolowski.blogspot.com/2011/06/debian-60-encrypting-home-partition.html

Offline

 

#4  2013-11-23 13:20:13

  DeWu - Użytkownik

DeWu
Użytkownik
Zarejestrowany: 2013-03-26

Re: Szyfrowanie katalogu domowego

I to jest właśnie to! Zaraz się biorę za setup.
Dzięki.

Offline

 

#5  2013-11-23 14:07:49

  ArnVaker - Kapelusznik

ArnVaker
Kapelusznik
Skąd: Midgard
Zarejestrowany: 2009-05-06

Re: Szyfrowanie katalogu domowego

To jest co innego akurat. W pierwszym poście pisałeś o ecryptfs, to z linka to dm-crypt.


[img]http://svn.debianart.org/themes/generic/spinner/spinner48px-moreblue.png[/img]

Offline

 

#6  2013-11-23 14:20:23

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Szyfrowanie katalogu domowego

Tu masz trochę o szyfrowaniu:
http://dug.net.pl/tekst/239/#3

Offline

 

#7  2013-11-23 14:23:45

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Szyfrowanie katalogu domowego

A czemu po prostu nie zaszyfrować całego sprzętu i wszelkich danych na nim?

Offline

 

#8  2013-11-23 16:03:37

  megabajt - Użytkownik

megabajt
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2012-03-07

Re: Szyfrowanie katalogu domowego

1) Szyfrując tylko /home możemy łatwo zalogować się na zrestartowanego hosta i wpisać przez ssh hasło. Jak zaszyfrujemy całego / to trzeba kombinować z busybox-em i dropbear-em.

2) Majć niezaszyfrowanego / wydajność jest wyższa (wiem - przy współczesnych platformach nikt nie zobaczy różnicy...)

3) Krytyczne dane są (powinny być) w /home, nie ma potrzeby szyfrowania całości (w większośći przypadków)

Offline

 

#9  2013-11-23 17:04:51

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Szyfrowanie katalogu domowego

Nie zgodzę się co do punktu 3. W przypadku posiadania zaszyfrowanych danych na jakiejś maszynie, wszystkie pliki pozostałe są krytyczną potencjalną dziurą, która może przyczynić się do łatwego odszyfrowania tych supertajnych danych -- nie ma pewności co do zachowana integralność danych, bo ktoś może ci podmienić firefoxa na firefoxa+keyloger, co powoduje, że ty sobie odpalasz firefoxa, montujesz zaszyfrowany zasób i tyle z twojego szyfrowania, tylko takty procka się marnują. xD A w jaki sposób dojdziesz, który plik w systemie został świadomie zmieniony podczas twojej nieobecności? Sumny kontrolne 200k plików systemowych, które leżą w postaci odszyfrowanej i sprawdzanie ich za każdym razem gdy się chce zamontować zaszyfrowany zasób?

Offline

 

#10  2013-11-23 18:51:02

  megabajt - Użytkownik

megabajt
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2012-03-07

Re: Szyfrowanie katalogu domowego

Tylko, że ja szyfruje głównie po to, żeby w przypadku kradzieży nie wyciekły hasła, certyfikaty itp. Prawdopodobieństwo, że złodziej odda laptopa jest minimalne a że podmieni binarki i odda laptopa jeszcze mniejsze :D Chyba, że do rzeczonego komputera mają fizyczny dostęp, lub potencjalny dostęp osoby niepowołane lub potencjalnie niepowołane. Tylko, że jak jest uruchomiony to i ramu można odczytać informacje. Paranoja na punkcie bezpieczeństwa może postępować bardzo głęboko :)

Offline

 

#11  2013-11-23 19:18:32

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Szyfrowanie katalogu domowego

Naturalnie, że z ramu można, pytanie czy to takie proste. Pamiętam np. wpis na niebezpieczniku, poniżej focia:

[img]http://niebezpiecznik.pl/wp-content/uploads/2009/12/Center-for-Information-Technology-Policy-Videos-and-Images.jpg[/img]

To są dane w schłodzonym ramie po odpowiednio: po 30 sekundach, 60 sekundach i 5 minutach:

Tylko to jest obrazek, załózmy teraz, że masz klucz szyfrujący w ramie, a on maja postać 01010101010101010101001011010110111101010.... tak jak ten obrazek, zmień teraz choć 1 bit, i już sobie możesz odzyskiwać dane tym kluczem. xD Na obrazkach to może i faktycznie fajnie wygląda ale gdy w grę wchodzi dokładność co do bita, to już tak fajnie nie jest.

Oczywiście to są dane w ramie wyciągnięte po schłodzeniu z działającej maszyny, inaczej sprawa się ma jak sobie zahibernujesz kompa i ci zrzuci ten klucz i hasło na dysk, wtedy masz wierną kopię. Poza tym, te dane z ramu się sczytuje przez porty usb lub inne dziury w kompie dokładnie na takiej samej zasadzie jak system robi zrzut pamięci przy przechodzeniu w hibernację, tylko nie opróżnia ramu i zamiast do swap zrzuca do zewnętrznego pliku, o ile ci się ten pen po wsadzeniu zamontuje... Inaczej szansa na odzyskanie czegokolwiek z pamięci w formie nadającej się do użycia graniczy z cudem.

Paranoja swoją drogą, zabezpieczenia swoją. Albo zabezpieczać się jak trza albo lepiej sobie odpuścić inaczej rozbudzamy w sobie tylko fałszywe poczucie bezpieczeństwa, które jest o wiele bardziej niebezpieczne niż najgorsze zabezpieczenia :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.009 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00009 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00118 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.117.168.71' WHERE u.id=1
0.00080 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.117.168.71', 1732309273)
0.00039 SELECT * FROM punbb_online WHERE logged<1732308973
0.00069 DELETE FROM punbb_online WHERE ident='18.188.140.232'
0.00044 SELECT topic_id FROM punbb_posts WHERE id=246549
0.00005 SELECT id FROM punbb_posts WHERE topic_id=24674 ORDER BY posted
0.00076 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24674 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00145 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24674 ORDER BY p.id LIMIT 0,25
0.00084 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24674
Total query time: 0.00679 s