Linux HDD teljes titkosítása + OpenVPN kulcs védelem?

Atlag biztonsagi problemas esetben (gep elveszett/elloptak ( nem kell tulkomplikalni a dolgokat keves Turing szintu ember kallodik a vilagban aki a te gepedet akarja feltorni )
Ha valamit rejtegetsz es hivatalbol erdeklodnek majd te magad fogod megadni a jelszot hidd el jobb lesz az neked. Nalunk (uk) ha nem kozremukodsz egy adat titkositasos ugy kapcsan megfeleloen siman sittrevagnak mert radhuzzak hogy terrorista vagy.

Diszk titkositas teren kb 3 szintet lehet megkulonboztetni:
- fizikailag diszkbe van epitve a hw-es titkositas, lasd emlitett Thinkpad, gep indulasakor bios betolteskor bekeri a kodot, oprendszer szempontjabol transzparens, teljesitmenyen nem valtoztat, 1 jelszot kezel, ha azt elfelejted akkor dobhatod ki a lemezt. Nemelyik gyartonal warm reboot eseten nem keri be ujra a jelszot, ezt mindenki dontse el maga, hogy bug vagy feature.

- Oprendszerrel titkositasz de block szinten (kozel teljes diszket) pl luks, kernel betolteskor bekeri a kodot, es utana lesz hozzaferheto kikodolt formaban is a tarhely, ezert erdemes tenni egy /boot particiot, maradekot letitkositani es pl lvm-et tenni ra hogy tovabb lehessen darabolni. tud jelszot vagy kulcsot is kezelni, tobbet is (talan 16-ot), kulcs szinte barmi lehet, teszem azt egy csaladi fenykep, bar kulcs betoltesre kesz automata megoldasok oprendszer indulaskor nem tudom mennyire vannak.

- filerendszeren belul csak adott mappat vagy file-okat titkositasz.

Ezeket akar mindegyiket is alkalmazhatod egyszerre, elso ketto eleg transzparans ahhoz hogy gep inditaskor megadod a jelszot es utana nem kell vele foglalkozni, harmadikat inkabb csak a tenyleg kritikus adatokra erdemes amit ritkan is hasznalsz hogy olyankor elerhetove teszed.

Openvpn kulcs vedelmere mire gondolsz, kliens oldalon vagy szerveren, illetve csak a kulcs vagy maga a vpn kapcsolat?
vpn kulcsra tehetsz egyebkent jelszot is, mint egy ssh kulcs eseten.

Maga a linux teljes vedelme mar eleg mas teszta, mert az hogy tarhelyed titkositva van meg az emberi tenyezoktol nem ved, ha valaki megnyitja a gyanus csatolmanyt vagy weboldalt.
Tuzfalat mindenkepp erdemes tenni, mellette apparmor, selinux jellegu megoldast is nehany rendszer defaultbol szallit. Amugy userek hozzaferesei legyenek lekorlatozva, ne legyen fenn felesleges program, ami fenn van legyen frissen tartva. Esetleg kulon chroot/zona/kontener/virtualis gep stb.-be zarni a usereket.
Csak kerdes mennyire van ennek valos szukseglete es mennyi nehezseget fog jelenteni a usereknek inkabb. Lehet egyszerubb azt mondani, hogy nem azt a gepet veded amit kozesen kell hasznalnod masokkal hanem a kritikus adataidat elkulonitve tarolod valami biztonsagos csatornan keresztul, amit csak a te usered er el amikor kell.

cryptsetup - Linux disztribúciók támogatják, többük telepítéskor fel is ajánlja.
A /boot partíciód kivételével mindened titkosított.

laptop vagy desktop?

HDD titkosításra LUKS vált be a legjobban eddig, a családi fényképet is simán behúzza pendriveról vagy bármi ilyesmiről (sőt akár szerverről tftpvel, ha jól emlékszem).

Külön hw titkosítással (is) menni fog.

Minden disztró támogatja az általad leírt követelményeket, legalábbis minden nagyobb, lehet openELEC-re nehéz lenne felhegeszteni mindent:D

A VPN kulcsot (miután az egész HDD titkosítva van) már nem igazán kell hova védeni. Azt tudom elképzelni még, hogy ahelyett, hogy a gépen tartod, mondjuk egy Yubikey 2. slotjába töltöd fel.

Ezekkel, meg SELinux/tripwire/stb. gyakorlatilag támadhatatlanná teheted a gépet, de nem is itt van az igazi probléma. A nagy baj ott jön, amikor erre GUI-t szeretnél tenni. Jelenleg Xorg-on kívül nem nagyon lehet mást használni Linuxon GUI-nak, az pedig (még ha esetleg rootless-re is állítod be) sajnos gyakorlatilag össszes ilyen irányú védelmedet kompromittálja. Erről többet a cubesOS.org-on tudhatsz meg leegyszerűbben.

FathoM