Remélem nem feleslegesen írok, és legalább születik 1 db. értelmes válasz. [legalább thuglife v. valaki! :\ ]
A világ legbiztonságosabbnak mondott oprendszere, és az alap telepítője nem támogatja a vinyó teljes titkosítását [/home+full rendszer stb.] [fixme].
Viszont 2011-ben még Linux alatt se 1 perc megoldani a teljes titkosítást: http://xercestech.com/full-system-encryption-for-linux.geek
De....:
Lehetőségek a hdd titkosítására OBSD alatt:
1) titkosított image létrehozása [vnconfigal, Blowfish], pl.: “/home”-ot + érzékeny filéket bele [aztán az érzékeny filék mappáinak eredeti helyére linket rakni utalva a /home-belire] - rc.local-ba be lehet állítani, h. boot közben mountolja fel jelszókérés után az image-t
2) http://16s.us/OpenBSD/softraid.txt - “there is a small 128MB clear-text partition on the disk. This is where / is mounted and where the kernel and other basic software resides.” [azaz ami nem titkosított, az a: /bin /dev /etc /mnt /root /sbin /stand ] - többi rész titkosítva [XTS-AES]
3) ? van még lehetőség/mód? [fizetős termékek kivételével]
fixme kéne + további témához illő dolgok érdekelnének [pl.: létezik még más? a cél a teljes vinyó titkosítása, biztosítva ezzel a sérthetetlenséget+bizalmasságot, stb.]
elsősorban szimmetrikus kulcsú titkosítást használó megoldást keresek!
+ a nem titkosított részeket az ember sha512sum-al ellenőrizni szokta, h. módosultak-e két bekapcs közt. v. futás közben [ha módosult, akkor miért?] -> /dev/*-ban levő dolgokat eléggé poénos lehetne checksum-olni nem? van ami mindig változik, és nem upgrade, v. trójai/rootkit telepítése miatt
Hozzászólások
Én úgy emlékszem, van olyan eszköz, amit a winyó és az alaplap SATA vezérlője közé lehet bedugni, és egy pendrive-ról olvassa be induláskor a titkosító kulcsot.
bump
--
https://www.youtube.com/watch?v=K_lg7w8gAXQ&feature=player_detailpage#t…
softraid crypto
szóval a 2)-ra: http://16s.us/OpenBSD/softraid.txt +1, ok, köszi
--
https://www.youtube.com/watch?v=K_lg7w8gAXQ&feature=player_detailpage#t…
Lehet már bootolni róla? Nem követem az eseményeket.
2010 februárjában úgy látszik még nem lehetett:
http://www.daemonforums.org/showpost.php?p=30394&postcount=2
tekintve az obsd feature add-olási idejét, szerintem még 2011-ben sincs megoldva
de inkább legyen auditált, óvatos kód, mint h. "jajdejó új feature" -> viszont hoz magával 5000 sec. bugot
ha egyszer ez az os van kikiáltva a legbiztonságosabbnak, akkor ne is törekedjen nagyon másra
/naiv vélemény off/
--
https://www.youtube.com/watch?v=K_lg7w8gAXQ&feature=player_detailpage#t…
OFF
Valaki felvilágosítana, hogy a gyakorlatban mi a bánat értelme van az egész rendszert titkosított fájlrendszerre rakni?
A /home /var /tmp és a swap titkosítást még megértem.
https://secure.wikimedia.org/wikipedia/en/wiki/Confidentiality
"ensuring that information is accessible only to those authorized to have access"
https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html
"Step 1: Attacker gains access to your shut-down computer and boots it from a separate volume. The attacker writes a hacked bootloader onto your system, then shuts it down.
Step 2: You boot your computer using the attacker's hacked bootloader, entering your encryption key. Once the disk is unlocked, the hacked bootloader does its mischief. It might install malware to capture the key and send it over the Internet somewhere, or store it in some location on the disk to be retrieved later, or whatever."
--
https://www.youtube.com/watch?v=K_lg7w8gAXQ&feature=player_detailpage#t…
"Valaki felvilágosítana, hogy a gyakorlatban mi a bánat értelme van az egész rendszert titkosított fájlrendszerre rakni?"
Orvos szokta felírni üldözési mánia tüneti kezeléseként. :)
szerintem pedig ne nagyon próbálja informatikusnak hívni magát egy ember, h. ha úgy vonszolja magával a laptopját, h. az baromira nincs titkosítva, viccen kívül. nem egy tökéletes világban élünk, h. ha ellopnak/elveszt vmit bárki, akkor azt visszakapja :D ilyet feltételezni :D ebből sok minden kiderül:
- ha valaki elröhögi magát, a teljes hdd titkosítás hiányán, nem mindegy a két oldal, h. miért teszi azt:
- > azért, mert nem érti, h. miért kell [szegény:P]
- > azért, mert nem érti, h. miért nem használja mindenki
a két külön véglet, tippelj, h. melyiknek kellene jellemzőnek lennie egy előre gondolkodó, bajokat megelőző informatikusra.. :) [nem pedig utólag rinyál, h. "bezzeg"..]
hint: :) (smiley)
Egyként jó ideig nekem is volt bitlockeres notebookom, nem kell meggyőznöd.
Egy egyszerű tolvaj nem az adatokért lop notebookot, hanem a vasért, úgyhogy bőven jó, ha csak az érzékeny adatok vannak megfelelően titkosítva.
Ha valaki olyan adatokkal dolgozik, ami miatt megnő a veszélye, hogy célzottan az adatok miatt utaznak rá, kb. kötelező a teljes hdd titkosítás. Extrém esetben ez egyébként nem sokat ér, mert még mindíg egyszerűbb egy sötét kapualjban megvárni az illetőt, és "elkérni" a hozzáférési adatokat, mint rengeteg időt eltölteni a cucc feltörésével (ha egyáltalán lehetséges emberi időn belül).
Továbbra sem értem az egész hdd titkosítást.
Egyszer ellopja a tolvaj a gépet, módosítja a boot loadert majd visszaadja a gépet. Ebből hirtelen két verzió jut eszembe:
-Lementette az egész HDD-t majd miután én bejelentkeztem, a jelszavamat elküldi neki mailba.
-Miután bejelentkeztem, a jelszavamat lementi valahova, és újra ellopja a gépet. :)
az evil maid [korábban linkelt] azért kapta a nevét, mert van, aki nagyon nem figyel a fizikai biztonságra, így hiába használ full disc titkosítást, a bejövő "takarító" 5-10 perc alatt módosítja a nem titkosított részt, ami manapság még sajnos a /boot, persze vannak már módszerek a /boot titkosítására is, a topicot így indítottam [xercestech link]
továbbá, ha nem lenne titkosítva a shadow file, akkor reflexből lehetne bruteforceolni, sudo binárisát módosítani, sha512sum binárisát módosítani, bla-bla
+ a nem titkosított részeket az ember sha512sum-al ellenőrizni szokta, h. módosultak-e két bekapcs közt.
hehe, ha ez ilyen egyszerű lenne
jelenleg Linux alatt a /boot-ra nézve "múködik" :) :D
--
https://www.youtube.com/watch?v=K_lg7w8gAXQ&feature=player_detailpage#t…
Persze, kicserélem a kernelt egy rootkites verzióra, amelyik az eredeti kernelt mutatja a /boot alatt, aztán csak azt hiszed, hogy működik... ;)
sz*pás :) -> pendrive-ra a /boot-al :\ [amit meg fizikailag mindig magánál hord az ember..]
--
https://www.youtube.com/watch?v=K_lg7w8gAXQ&feature=player_detailpage#t…
Igen, ez az egyik módszer (szegény ember FDE-je), a profibb módszer meg az ahogy a Microsoft csinálja a Bitlockerrel és TPM chippel. Ahhoz nem kell külön pendrive a zsebben.
pgpdesktop nincs Linux/BSD alá, csak Mac/Windows, esetleg még az lenne jó
https://secure.wikimedia.org/wikipedia/en/wiki/Trusted_Platform_Module#…
a bitlocker-hez fél lövésem sincs :O full disc-et lehet encryptálni? csak azon csodálkozom, h. egyáltalán létezik-e a szó szoros értelmében vett titkosítás.. [minden bit a hdd-t crypted] -> ha létezik ilyen, akkor mégis mi a jó fene juttat el odáig, h. kérje valami a pl.: jelszót a feldoldáshoz? biztos megoldották már, csak az én pofámba nem jött még ilyen link/howto
--
https://www.youtube.com/watch?v=K_lg7w8gAXQ&feature=player_detailpage#t…
linux alá is a fent említett linkben [ http://xercestech.com/full-system-encryption-for-linux.geek ] a cikk írója aszondja:
"In the future it should be possible for Ubuntu to integrate all of this, such that the install CD could have a check box to encrypt everything and install a custom copy of the core image to the drive. In that case, the only thing left unencrypted would be the first 512 bytes of the drive, and perhaps a 20-40kb bootloader."
de még akkor is kimarad az a 20-40 KB + 512 Byte :P
--
https://www.youtube.com/watch?v=K_lg7w8gAXQ&feature=player_detailpage#t…
minden bit a hdd-t crypted
nyilván nem, hisz akkor nem tud bebootolni a kernel és a bitlocker driver se... :)
a trükk az, hogy a bitlocker driver menet közben hasheket képez több menetben a memóriaterületekről (BIOS, Option ROM kód, MBR kód, partíciós tábla, boot szektor, kernel memóriaterületéről és a bitlocker saját magáról, stb.) és ezeket a hasheket adja meg a TPM chipnek. A TPM chip pedig csak akkor adja ki magából a titkosításhoz használt kulcsot, ha ezek a hashek megegyeznek az eredetileg megadott értékekkel. Ergo manipuláció (majdnem teljesesen) kizárva.
Bár az adott témához teljesen OFF, de te milyen védelmi megoldást (vírusírtó, spyware, tűzfal) használsz illetve ajánlasz?
Továbbá szeretnék gratulálni, hogy szakmailag milyen magas szintre jutottál el az elmúlt évhez képest... ;)
Ahah, nem használok ilyesmit (najó tűzfalat igen, de csak megszokásból ;)
A vírusirtók viszont olyanok, mint a homeopátiás szerek. Semmi értelmük, mert nem hatásosak, mégis fontosnak tartják az emberek, mert hisznek benne, hogy működnek... :P
OK, most vagy én nem értem az iróniát, vagy nem vágom, hogy mi a csavar a dologban, de akkor hogyan veszed észre, ha - akár böngészés közben - valami kártevő került a gépedre, vagy valaki épp a nyitott portjaidra kíváncsi?
Nem tudom elképzelni, hogy egy default Win7 install lenne az összes biztonsági intézkedésed.
Ubuntut használok, az mindentől megvéd ;)
Látod milyen vagy! Mindenféle vicc nélkül feltettem egy szakmai kérdést, te meg adod itt alájuk a lovat! :D
~aránylag friss leírás
Encrypting the root filesystem with softraid
http://undeadly.org/cgi?action=article&sid=20110530221728