Administrace komentářů

to je neco jineho, na odkazu resi to ze kdyz ma pristup k PC s jiz odemcenym LUKS, tak si ulozi ram a v te hleda luks heslo co se tam "schovava", kdyz by se nekdo dostal k tvoji flash tak tento postup samozrejme pouzit nelze, ale musel bys ji mit v NB, v nem nastartovane, odemcene a on by k tomu prisel...

poloteoreticky by mohl ulozit ram i kdyz bys vypnul/restartnul NB, odesel od nej a on velmi rychle prisel(v radu vterin az max minut) a vytahl co v ram jeste zustalo a v tom hledal klic...

to o cem sem psal ja je, ze kdyz bys mel oddelenej nesifrovanej boot, tak v nem mas jadro a initramfs, nekdo by kdykoliv mohl vzit nenastartovanou/neodemcenou flash, a nahradit ti initramfs (pokud bys jako ted neodemykal pres GRUB ale az pres vychozi initramfs(kterej ted mas prave na jiz automaticky(ale az po uspesnem odemceni tebou pres GRUB))) tzn. ze script v initramfs kterej normalne nahodi "zadejte klic" a ten co zadas preda nastroji cryptsetup kterej odemkne, tak on by mohl tento script upravit ze ten klic proste posle pres ssh/ftp/cokoliv jemu, pak se odemkne a ty bys to vubec nepoznal, od by pak kdyz by ziskal tvoji usb flash jednoduse napsat to luks heslo co by si nechal predtim poslat...

jinak tak jak to mas, mysli na to ze v /boot mas keyfile kterej se pouziva pro vkladani do initramfs pri aktualizaci systemu, script sem delal ze zamezi pristupu uzivatelum bez sudo opravneni do adresare /boot, pokud bys ale mel pustenej terminal a v nem neco pres sudo a odesel od pc, muze nekdo prijit a k tomu klici se dostat...