| 1.2, 1 (??), 10:23, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
>Для атаки требуется физический доступ к системе
Ну как обычно
| | |
| |
| 2.8, rshadow (ok), 10:52, 15/11/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Опять новость о прикольной беге. Все как в старых виндах: нажал эскейп в окне входа - залогинился код админом :)
По факту конечно кто шифрует диски, тот знает что у него все хорошо, даже если физический доступ и рут шелл
| | |
| |
| 3.9, Чаёвник (?), 11:06, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
Я не знаю, что у меня всё хорошо. Более того меня волнуют следующие моменты
1) Как сменить пароль на зашифрованный диск?
2) Как забутать удалённо машину, если она ребутнулась (например свет пропадал на ночь) не топая ножками и при этом сохранив секурность?
3) Если зашифрован раздел с данными пользователя (encryptfs) - как сменить ему пароль? В /etc/passwd пароль то меняется штатными средствами, но профиль пользователя перестаёт монтироваться.
| | |
| |
| 4.17, dry (ok), 11:35, 15/11/2016 [^] [^^] [^^^] [ответить]
| +7 +/– |
 1. Читать мануал, luksAddKey/luksRemoveKey/luksChangeKey
2. Если есть уверенность, что не скомпрометирован физический доступ, то черех iLO/IPMI/iDRAC
3. Не пользуюсь, но совет тут общий - читай маны. Не хочешь маны - читай гугл. Не хочешь гугл - бери метлу, иди работать.
| | |
| |
| |
| 6.62, Аноним (-), 16:51, 15/11/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
ecryptfs-add-passphrase подойдёт? Ещё можно через смену домашнего каталога с новым паролем.
| | |
|
|
| 4.18, mine (ok), 11:40, 15/11/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
 1) По методу Симпсона. Пункт один - подойти, пункт два - сменить. Это конечно, если ты адекват и использовал LUKS. Там мастер-ключ от раздела хранится на нём же зашифрованный паролем пользователя. Смена пароля = расшифровать мастер-ключ старым паролем + зашифровать новым. Это же позволяет иметь много паролей от одного раздела.
2) Если физически машина под твоим контролем, то Dropbear SSH в загрузочном образе. Если нет, то у тебя нет и не будет секурности. Вообще.
3) ХЗ, я этим не пользуюсь.
| | |
| 4.22, yummy (?), 11:45, 15/11/2016 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Как забутать удалённо машину, если она ребутнулась (например свет пропадал на ночь) не топая ножками и при этом сохранив секурность?
Если нужна реальная секурность, то никак.
| | |
| |
| 5.68, Фкук (?), 20:17, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– | |
>> Если нужна реальная секурность, то никак.
iLo чем не устраивает?
| | |
| |
| 6.75, Michael Shigorin (ok), 13:33, 16/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
 >>> Если нужна [B]реальная секурность[/B], то никак.
> iLo чем не устраивает?
Прошивку покажите. И да, у меня знакомые разработчики IPMI firmware по крайней мере есть.
| | |
| 6.95, Аноним (-), 10:01, 17/11/2016 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> iLo чем не устраивает?
Да вот понимаешь, жила была фирма супермикро. И запалилась на инженерном логине в таких вещах. Ну конечно же они случайно забыли, вы ничего не подумайте.
| | |
|
|
| 4.65, Меломан1 (?), 19:02, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
> 2) Как забутать удалённо машину, если она ребутнулась (например свет пропадал на
> ночь) не топая ножками и при этом сохранив секурность?
Юзай deo encrypt. Серверы будут бутаться по ssl ключам.
| | |
| |
| 5.85, Аноним (-), 02:43, 17/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
Это еще какая-то проприетарная куйня, по типу http-ss и прочих ie-ee?
| | |
|
| 4.70, Аноним (-), 22:28, 15/11/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> 1) Как сменить пароль на зашифрованный диск?
Штатными средствами.
> 2) Как забутать удалённо машину, если она ребутнулась (например свет пропадал на ночь) не топая ножками и при этом сохранив секурность?
UPS (Uninterruptible Power Supply) и/или SecureBoot.
> 3) Если зашифрован раздел с данными пользователя (encryptfs) - как сменить ему пароль? В /etc/passwd пароль то меняется штатными средствами, но профиль пользователя перестаёт монтироваться.
Не использовать encryptfs.
Безопасность всегда подразумевает какой-то компромисс с удобством, и этот случай не исключение.
| | |
| |
| 5.76, Michael Shigorin (ok), 14:15, 16/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
>> 2) Как забутать [B]удалённо[/B] машину, если она ребутнулась (например свет пропадал [B]на ночь[/B])
>> не топая ножками и при этом сохранив секурность?
> UPS (Uninterruptible Power Supply) и/или SecureBoot.
?!
| | |
| |
| 6.78, Аноним (-), 16:14, 16/11/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
UPS как раз и нужен, чтобы электричество не пропадало. А SecureBoot (при соблюдении некоторого списка условий и допущений) может гарантировать загрузку доверенного ядра.
| | |
| |
| 7.79, Michael Shigorin (ok), 16:55, 16/11/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> UPS как раз и нужен, чтобы электричество не пропадало.
Для этого при "на ночь" в условиях [I]обычно[/I] нужен уже дизель-генератор -- хотя для одной машинки, конечно, может хватить и горки батареек.
> А SecureBoot (при соблюдении некоторого списка условий и допущений)
> может гарантировать загрузку доверенного ядра.
По крайней мере без весьма неприятных условий или глупых допущений -- максимум загрузчика. Ну, насколько я в теме: http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO
| | |
| |
| 8.82, Аноним (-), 21:01, 16/11/2016 [^] [^^] [^^^] [ответить] | –1 +/– | Безопасность 8212 это всегда компромисс с удобством Тем, кому действительно ... текст свёрнут, показать | | |
| |
| |
| 10.96, Аноним (-), 22:16, 17/11/2016 [^] [^^] [^^^] [ответить] | –1 +/– | Зачем пробовать На двух серверах поднял, хоть и не без бубна, и оно уже год раб... текст свёрнут, показать | | |
|
|
| 8.86, Аноним (-), 02:54, 17/11/2016 [^] [^^] [^^^] [ответить] | +1 +/– | Olimex тут как-то писали что их сервер даунлоадов остался last man W server stan... текст свёрнут, показать | | |
|
|
|
|
|
| 3.16, Аноним (-), 11:32, 15/11/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
Если есть физический доступ, то ты не можешь быть уверен, что все хорошо.
1. Подменяем Cryptsetup.
2. Ждем пока кто-нибудь введет пароль в подмененный Cryptsetup.
3. ???
4. PROFIT!
| | |
| 3.72, Андрей (??), 00:45, 16/11/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Опять новость о прикольной беге. Все как в старых виндах: нажал эскейп в окне входа - залогинился код админом :)
Да, удобно было. Пользователям. А под линуксами аналогично, только нужно быть усердней: 28 раз нажать "забой", и всё - grub сдался и пропустил. Было тут ровно 11 месяцев назад: https://www.opennet.ru/opennews/art.shtml?num=43536
| | |
|
|
| 1.3, Анонимко (?), 10:25, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
это полный привет... Любой ребенок может взять мой ноутбук и "взломать" его
| | |
| |
| 2.7, anonymous (??), 10:51, 15/11/2016 [^] [^^] [^^^] [ответить]
| +4 +/– | |
если ребёнок может взять твой ноут, то он в любом случае может получить рута, просто прописав в грубе init=/bin/bash или, если корень тоже зашифрован, свичнуться в инитрамфс или какое-нибудь грубово рескью. ну или просто вытащить твой винт
эта ошибка не расшифровывает раздел, она просто спихивает тебя в шелл
| | |
| |
| 3.26, Анонимко (?), 11:58, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
Согласен с вами. Данные это не скомпрометирует. А если злоумышленник имеет в распоряжении бук и 70+ секунд на эксплуатацию этой уязвимости, он уже имеет полный доступ к винту. Хотябы методом его тыринга. Так что да. Не так уж и страшно.
| | |
| |
| 4.28, Аноним (-), 12:05, 15/11/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Если все носители зашифрованы ключом с количеством символов 40+,
то пусть тырят. Только для этого 70 секунд маловато будет.
Или просто выдрать носители и бежать.
| | |
| |
| 5.57, Аноним84701 (?), 14:45, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Если все носители зашифрованы ключом с количеством символов 40+,
А чем не угодили 10-12 символов? PBKDF2/bcrypt вкупе с банальной комбинаторикой подсказывают, что если "не хватит" 12-и символов, то и 40+ не сильно помогут.
> . Только для этого 70 секунд маловато будет.
Обычно достаточно открутить один винт крепления крышки на дне/c боку ноута и выдернуть хард. Частенько таким же образом можно добавить оперативку.
А вот "взять две отвертки, открутить 10 винтов, снять крышку, открутить еще 4, вынуть хард" -- такую "дружественность" к пользователю любят в яблоках делать :)
| | |
| |
| 6.60, Аноним (-), 16:06, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
У пароля есть такая характеристика как стойкость/качество.
Так вот, если вы берете 40 символов, состоящих только
из строчных букв и цифр, то его стойкость чуть выше 200 bit
Ежели вы выберети все символы (строчные и прописные, цифры,
минус, пробел, подчеркивание, спец символы), то это
где выше 256 bit
Выдернуть диск это самое простое, но кто высказался
о копировании инфы, и тут нужен значительный временной задел.
| | |
|
|
|
|
|
| |
| 2.11, Леха (?), 11:11, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Пароль Grub легко удалить, если есть любой livecd. Примонтировал /boot, удалил из grub.cfg нужные строки, перезагрузился и все готово, но это если Grub находится на не зашифрованном разделе, иначе труба....
| | |
| 2.32, J.L. (?), 12:24, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > Интересно сработает если /boot тоже зашифрован, когда grub запрашивает пароль?
*если /boot тоже зашифрован*
а как вы с этим живёте ? кто его расшифровывает ?
пароль груба не относится к шифрованию бута
| | |
|
| |
| 2.19, EuPhobos (ok), 11:41, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Граб2 умеет работать c LUKS, дебиан прям с инсталлятора шифрует без проблем /boot и ставит grub2.
| | |
| |
| 3.23, Аноним (-), 11:46, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
Хм.. На вирт машине прям сегодня посмотрю. Хотя остаюсь при совем мнении, что boot нужно убирать на внешний носитель.
| | |
| |
| 4.33, J.L. (?), 12:27, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Хм.. На вирт машине прям сегодня посмотрю. Хотя остаюсь при совем мнении,
> что boot нужно убирать на внешний носитель.
и ещё надо как-то убеждаться что биос машины первый в цепочке загрузчик читает именно с вашего нужного внешнего носителя (я пока не знаю как бы это делать нормально кроме как каждый раз вызывать меню выбора "откуда грузимся")
| | |
| |
| 5.37, Аноним (-), 12:38, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
>> Хм.. На вирт машине прям сегодня посмотрю. Хотя остаюсь при совем мнении,
>> что boot нужно убирать на внешний носитель.
> и ещё надо как-то убеждаться что биос машины первый в цепочке загрузчик
> читает именно с вашего нужного внешнего носителя (я пока не знаю
> как бы это делать нормально кроме как каждый раз вызывать меню
> выбора "откуда грузимся")
В БИОСе можно явно указать - грузится с внешнего носителя. Указать с какого именно в большенстве случаев не получится, но в некоторых есть профили загрузки.
| | |
| |
| 6.88, Аноним (-), 06:07, 17/11/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> В БИОСе можно явно указать - грузится с внешнего носителя.
В результате атакующему остается лишь без палива сунуть мелкую флешку показывающую логин-промпт похожий на ваш - и для вас дело полная шляпа.
| | |
|
| 5.89, Аноним (-), 06:11, 17/11/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
> и ещё надо как-то убеждаться что биос машины первый в цепочке загрузчик
> читает именно с вашего нужного внешнего носителя (я пока не знаю
> как бы это делать нормально кроме как каждый раз вызывать меню
> выбора "откуда грузимся")
Интел уже убедился. Что первым неизбежно запускается ME (management engine) и проверяет что BIOS правильный. Чтобы вы случайно не соскочили с их услуг по причинению пользы и нанесению добра.
Поэтому если вы пользуетесь писюком свежее 2010 года на чипсетах от интел - вы можете ожидать вполне конкретный уровень безопасноти... интела. От вас и ваших систем. Ну а то что ME может все перепатчить, поменять настройки BIOS и даже операционку переставить при том что это доступно по сети и даже невозможно зафайрволить - дичайший баян.
| | |
|
|
| 3.34, J.L. (?), 12:31, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Граб2 умеет работать c LUKS, дебиан прям с инсталлятора шифрует без проблем
> /boot и ставит grub2.
проблема в том что загрузочный сектор винчестера доступен для подмены при возможности загрузится с ливсидюка
но в принципе для умеренного уровня паранои наверно достаточно будет настроить биос на загрузку с определённого винта и пароль на биос
надо посмотреть как там груб умеет с LUKS, пропустил эту возможность
| | |
| |
| |
| 5.44, J.L. (?), 12:53, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
> И что вы получите на выходе при подмене?
> Невозможность открыть?
кейлогер вписанный в функциональность стандартного загрузочного сектора
(но наверно скрытая камера или микрофон+анализ звука клавиш будут удобнее для заинтересованных лиц)
| | |
| |
| 6.49, Аноним (-), 13:11, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
Уже тут договорились, что /бут
на внешнем носителе.
Камеры конечно бывают маленькими,
но чем меньше, тем меньше разрешение.
Вопрос питания и коммуникаций.
Все это скрыть.. ну надо быть сильно невнимательным.
| | |
|
|
|
| 3.84, Аноним (-), 01:08, 17/11/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
А как этот grub запустится, если он сам зашифрован будет? Или шифруется не веcь /boot, а только ядро и initrd?
| | |
| |
| 4.98, JL2001 (ok), 15:14, 19/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
> А как этот grub запустится, если он сам зашифрован будет? Или шифруется
> не веcь /boot, а только ядро и initrd?
груб запускается с мбр и ко, дальше предположительно он умеет спросить пароль и открыть зашифрованный раздел (зашифрована не вся поверхность, там ещё технические структуры типо таблицы разделов и прочего, в этом объёме пускатель груба и лежит)
| | |
|
|
|
| 1.13, Аноним (-), 11:19, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> с правами пользователя root.
Как они получаются? Ну в шелл сбрасывает - может быть, но как под рутом? Нихрена не понятно ((
| | |
| |
| 2.36, J.L. (?), 12:37, 15/11/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> с правами пользователя root.
> Как они получаются? Ну в шелл сбрасывает - может быть, но как
> под рутом? Нихрена не понятно ((
аналогично этому
init=/bin/bash
и получаешь инитрдешный шел под рутом + зашифрованные винчестеры
| | |
| |
| 3.90, Аноним (-), 06:15, 17/11/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Это валидно при условии что бутлоадер согласен тебя пустить в продвинутости. Тот же grub умеет пароль просить при этом. Не то чтобы это сильная защита, но если атакующий ограничен во времени - это немного стопорнет атакующего. Хотя если он сможет загрузиться с другого носителя - эта линия защиты будет расплющена.
Чтобы менять настройки BIOS было нельзя - бывает пароль на BIOS. А на него бывает AWARD_SW, после ввода которого менять их становится таки можно. И прочие management engine.
| | |
|
|
| 1.14, Аноним (-), 11:21, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> получить доступ в командную оболочку начального загрузочного окружения
Это в принципе не уязвимость как таковая. Зашифрованные данные остаются зашифрованными. А доступ к остальным разделам при наличии доступа к железу - дело времени.
| | |
| |
| 2.91, Аноним (-), 06:17, 17/11/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Это в принципе не уязвимость как таковая. Зашифрованные данные остаются зашифрованными.
Тем не менее, атакующий может подпихнуть приблуду которая ему сольет твой пароль при этом. И если у атакуюшего выдастся минутка когда ты отошел посцать - можно зажать энтер, подпихнуть приблуду, отвалить в туман и сделать вид что так и было. А вот дальше атакующий уже знает как все это расшифровывать, извини.
| | |
|
| 1.30, J.L. (?), 12:19, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> обычно без шифрования оставляется раздел /boot
до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?
| | |
| |
| 2.39, J.L. (?), 12:41, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
>> обычно без шифрования оставляется раздел /boot
> до кого-то ещё не дошло что /boot должен быть на флешке (в
> формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен
> и настроен на загрузку с определённой флешки а все винчестеры целиком
> и полностью зашифрованы ?
ладно, ладно
для умеренного уровня паранои наверно достаточно будет настроить биос на загрузку с определённого винта и пароль на биос + цельношифрованный диск + шифрованный бут + груб2 с умением стартануть с LUKS
и опечатанный корпус компа чтоб не сняли винт/не ребутнулись в ливсидюк и не заменили загрузочный сектор винта
| | |
| |
| 3.43, Аноним (-), 12:49, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
Опечатанный корпус предотвращает бесконтрольный доступ, а не сам доступ.
Что вам дает замена загрузочного сектора? Уже сказано, что boot вынесен на внешний носитель.
Где вы хотите его найти и заменить?
| | |
| |
| 4.46, J.L. (?), 13:01, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Что вам дает замена загрузочного сектора? Уже сказано, что boot вынесен на
> внешний носитель.
есть два варианта
1) бут на внешнем + загрузка явно с этого внешнего + необходимость во флешке + "защита машины/биоса от чужих лап" (а то перепрошьют биос на версию с кейлогером)
2) бут внутри полностью шифрованного винчестера + груб2 умеющий с LUKS + загрузка явно с этого винчестера + "защита машины/биоса от чужих лап" (а то перепрошьют биос на версию с кейлогером И/ИЛИ загрузочный сектор винчестера на версию с кейлогером)
получается что второй вариант не требует флешки при одинаковых уязвимостях к "физическому доступу"
как я понимаю достоинство первого варианта - возможность открывать винт по паролю+ключу, а не только по паролю
достоинство второго - отсутствие флешки
| | |
| |
| 5.48, Аноним (-), 13:06, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
В чем достоинство отсуствия флешки?
Вы на 100% контролируете защиту boot,
без всякого его шифрования.
Вариант 3:
Установка ОС на внешний носитель с полнодисковым шифрованием.
(USB3.0, размер носителя не проблема).
| | |
| |
| 6.53, J.L. (?), 13:44, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> В чем достоинство отсуствия флешки?
не потерять через дырку в кармане
> Вы на 100% контролируете защиту boot, без всякого его шифрования.
а чем вообще вариант груб2+luksboot на винчестере плох ?
> Вариант 3:
> Установка ОС на внешний носитель с полнодисковым шифрованием.
> (USB3.0, размер носителя не проблема).
мы так договоримся до убунтутелефона в кармане, а вместо компа у нас теперь будет юсб-хаб с винтом+клавомышкой и монитор по hdmi
| | |
| |
| 7.55, Аноним (-), 14:03, 15/11/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если за шифрованный диск +/- можно быть спокойным, то с /boot не все однозначно.
Вдруг потом выснится какая то уязвимость, которую противник знал, а вы нет?
Примеров таких полно.
Что касается ОС на внешнем носителе, так а что вы теряете?
В производительности? Не уверен. На ПК где приложением требуется
серьезные ресурсы, врядли содержится информация, которую нужно защищать.
Или вы что неправильно организовали в совем рабочем процессе/месте.
| | |
|
|
|
|
|
| 2.50, ryoken (ok), 13:26, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > до кого-то ещё не дошло что /boot должен быть на флешке (в
> формфакторе позволяющим её быстро съесть и ещё быстрее переварить)
Благородный дон происходит от крокодилов???
| | |
| |
| 3.92, Аноним (-), 06:20, 17/11/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Благородный дон происходит от крокодилов???
Вроде бы, переваривать пластик не умеют даже крокодилы. Многие пластики достаточно устойчивы к химии. И RoHS конечно RoHS'ом но применяемые в электронной промышленности материалы все-таки не сказать что полезны для здоровья.
| | |
|
|
| 1.38, Аноним (-), 12:38, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
>до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?
А ещё надо быстро подключится по удаленке при пропававшем инете и съесть флешку без запивки, по чесноку что-бы было. )))
А винчестеры заминировать и взорвать при первой опасности или появлении таракана разведчика. )))
| | |
| |
| 2.40, Аноним (-), 12:44, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
>>до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?
> А ещё надо быстро подключится по удаленке при пропававшем инете и съесть
> флешку без запивки, по чесноку что-бы было. )))
> А винчестеры заминировать и взорвать при первой опасности или появлении таракана разведчика.
> )))
Нечего хранить инфу на удаленной машине.
И да, заминировать. При отключении питания срабатывает механический взрыватель.
| | |
| |
| 3.42, J.L. (?), 12:49, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
>>>до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?
>> А ещё надо быстро подключится по удаленке при пропававшем инете и съесть
>> флешку без запивки, по чесноку что-бы было. )))
>> А винчестеры заминировать и взорвать при первой опасности или появлении таракана разведчика.
>> )))
> Нечего хранить инфу на удаленной машине.
> И да, заминировать. При отключении питания срабатывает механический взрыватель.
зачем ? вроде пока LUKS не ломали... достаточно винчестер открывать по ключу (с паролем) и ключик уничтожать - пусть отапливают вселенную ломая, людям же надо получать зарплату
а про то что в брянском болоте запрятан бекап ключика забывать под гипнозом заранее
или вы считаете что ваш пароль уже соснифили (скрытой камерой) и теперь пришли уже за винчестером ?
| | |
| |
| 4.45, Аноним (-), 12:56, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине?
Тот кто получил к ней доступ с запущенной ОС, получил доступ к инфе
в открытом виде.
| | |
| |
| 5.47, J.L. (?), 13:06, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине?
> Тот кто получил к ней доступ с запущенной ОС, получил доступ к
> инфе
> в открытом виде.
ну это если говорить о вариантах с чтением памяти через перестановку после жидкого азота или ещё какими техническими средствами (говорят Thunderbolt имеет прямой доступ к памяти, или какой взлом запущенных на машине сервисов)
тут уж никакие зашифрованные винчестеры не помогут, так что речь идёт только о варианте когда желающий не может получить доступ внуторь рабочей расшифрованной системы, а только как простой смертный через - ввод спертого пароля
| | |
| |
| 6.52, ryoken (ok), 13:27, 15/11/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине?
>> Тот кто получил к ней доступ с запущенной ОС, получил доступ к
>> инфе
>> в открытом виде.
> ну это если говорить о вариантах с чтением памяти через перестановку после
> жидкого азота или ещё какими техническими средствами (говорят Thunderbolt имеет прямой
> доступ к памяти, или какой взлом запущенных на машине сервисов)
Ещё вроде Ieee1394, которвй FireWire.
| | |
| |
| 7.93, Аноним (-), 06:29, 17/11/2016 [^] [^^] [^^^] [ответить] | +/– | А также PCI PCIe и прочие infiniband И таки да - есть девайсы которые сделав DM... большой текст свёрнут, показать | | |
|
|
|
|
| 3.51, ryoken (ok), 13:26, 15/11/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Нечего хранить инфу на удаленной машине.
Как можно УДАЛИТЬ машину..?
..а, тьфу :D
| | |
| |
| 4.58, тоже Аноним (ok), 14:46, 15/11/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Это же русифицированная терминология - бессмысленная и бессмысленная.
Любое нововведение должно быть названо так, чтобы звучало по возможности неочевидно и по-канцелярски.
В данном случае, например, вариант "отдаленный" не вызывал бы подобных казусов, но он чересчур литературен, чтобы им кто-то всерьез пользовался. Недостаточно суконно.
| | |
| |
| |
| 6.71, тоже Аноним (ok), 00:34, 16/11/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Да что писать об очевидном?
Любой человек, писавший курсовые и диплом, поневоле выучился этому странному диалекту русского языка, изобилующему деепричастиями и сложноподчиненными предложениями, скорее предназначенному не для донесения некоторой мысли до читающего, а для скрытия того факта, что никакой мысли в прочитанном тексте нет.
Принято у нас лить воду и оговаривать терминологию вместо того, чтобы сказать что-то простым бытовым языком. Понятным при беглом прочтении. Зато скорочтение процветает - вчитываться-то в тексты никакого смысла нет, главное - разглядеть те две строчки сути, которые размазаны на весь лист.
| | |
|
|
|
|
|
| 1.73, Аноним (-), 00:50, 16/11/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Тут писали что можно шифровать раздел /boot
Не поленился и решил зашифровать.
Установщик сходу заорал, что такое
делать нельзя.
"Это невозможно, так как системный загрузчик
не сможет загрузить ядро и initrd" (дословно)
Что делается не так?
| | |
| |
| 2.97, M (?), 14:36, 18/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
Инсталлятор 8.6 перестал давать такое делать. Надо 8.5. Предположу, что 8.5 не проверяет есть ли бут на незашифрованном разделе.
| | |
|
| 1.77, Аноним (-), 14:33, 16/11/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Но ведь это же уязвимость в инициализационных скриптах дебиана, а никак не в cryptsetup.
| | |
| 1.81, Аноним (-), 17:26, 16/11/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
16.11.2016 в ветке debian testing обновлены пакеты cryptsetup,cryptsetup-bin.
| | |
| 1.94, marios (ok), 09:13, 17/11/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Может ли система подписей UEFI-прошива -> загрузчик -> ядро обеспечить защиту от подмены ядра?
| | |
|
