Portál AbcLinuxu, 2. května 2025 12:21

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Vložit další komentář
Jendа avatar 15.1.2012 05:09 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Odpovědět | Sbalit | Link | Blokovat | Admin
Jakmile jste vevnitř, upravte soubor '/etc/initramfs-tools/modules' přidáním následujících řádek, aby měl initrd k dispozici patřičné moduly pro připojení šifrovaného oddílu: 
aes-i586
xts
dm-crypt
dm-mod
sha256
Poslední rok tohle minimálně v Debianu a Ubuntu dělá update-initramfs automaticky.
Bystroushaak avatar 15.1.2012 13:26 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Hm, to mě nenapadlo, protože jsem to až na konci. Díky za info.
blog.rfox.eu
Bystroushaak avatar 15.1.2012 13:26 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
*dělal až na konci
blog.rfox.eu
Jendа avatar 15.1.2012 13:56 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Jo hele, on to psal Bystroushaak! :) Tenhle text je tady sice OT, ale přišel mi zajímavý.
Bystroushaak avatar 15.1.2012 14:37 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Tenhle text je tady sice OT, ale přišel mi zajímavý.
Díky za link, na to jsem kupodivu při "průzkumu trhu" před psaním svého článku nenarazil.
blog.rfox.eu
Jendа avatar 15.1.2012 15:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Mohlo by to souviset s datem jeho vydání…
Bystroushaak avatar 15.1.2012 17:05 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Nj, nikde jsem ho tam neviděl. Jinak výborný článek, ještě jednou díky za odkaz.
blog.rfox.eu
15.1.2012 10:18 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Odpovědět | Sbalit | Link | Blokovat | Admin
Teoreticky by šlo použít i gparted, ale netuším jak v něm nastavit typ oddílu na LLVM.
Strýček Google mi na otázku "parted type lvm" vyhodil hned na prvním místě tenhle odkaz, kde je následující příklad: 
For example:

(parted) mkpart primary ext2 0 4000
(parted) set 1 lvm on
Co jsem koukal na výstup partedu na mém notebooku, opravdu tam není lvm zadané jako typ filesystemu, nýbrž jako flag (mimochodem, stejně tomu je třeba i u RAIDu): 
Číslo  Začátek  Konec   Velikost  Typ       Systém souborů  Přepínače
 1     32,3kB   37,7GB  37,7GB    primary                   lvm
 3     37,7GB   500GB   462GB     extended
 5     37,7GB   37,9GB  148MB     logical   ext3
 6     37,9GB   500GB   462GB     logical                   lvm
Bystroushaak avatar 15.1.2012 13:25 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Aha, vida.
blog.rfox.eu
Bystroushaak avatar 15.1.2012 14:29 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Odpovědět | Sbalit | Link | Blokovat | Admin
Ok, přidal jsem pár bodů do sekce dojmy, týkající se opravy špatných signatur u zdrojů balíčků.
blog.rfox.eu
16.1.2012 11:42 pedro
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Odpovědět | Sbalit | Link | Blokovat | Admin
Tak jsem to prolítnul, protože mě zajímalo, jak se šifrování root partitiony provádí. Popravdě, jsem docela zklamaný - samostatný boot oddíl, nuda.

To už mi připadá, že je lepší a efektivnějši šifrovat jenom /home... Teda má to nějaké nevýhody, teoreticky by něco mohlo leaknout přes /tmp a /etc; ale o hodně lepší výkon. Plus bych řekl, že šifrování má pozitivní dopad především na bezpečnost uživatelských dat.. Proč šifrovat root?
Bystroushaak avatar 16.1.2012 15:32 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Popravdě, jsem docela zklamaný - samostatný boot oddíl, nuda.
Praví paranoici můžou mít /boot samozřejmě na flashdisku, který nespouští z očí, stačí ho jen překopírovat a smazat ten původní.
To už mi připadá, že je lepší a efektivnějši šifrovat jenom /home..
Efektivnější z hlediska rychlosti jistě ano, ale jak už jsi psal - leaky probíhají přes /tmp a hlavně swap. Ne teoreticky, ale zcela prakticky. Navíc díky tomu že reálné umístění souborů není vždy stejné a smazané soubory se tak dají obnovovat, i když jsou přepsány, je možné z disku vyhrabat lecos.

Jinak ten rychlostní propad není tak strašný, naopak prakticky nepostřehnutelný. Co může víc vadit je zatížení procesoru, který při větších diskových operacích jede na plný koule, protože má plné ruce práce s (de)šifrováním. Pokud máš dvě a více jader, tak to však není problém.

Časem bych rád přidal můj script, který mě upozorňuje na změny v /boot, takže i kdyby ho někdo napadl v offline režimu, měl bych se o tom dozvědět. Zatím však není moc vytuněný a tak ho prezentovat nebudu.
blog.rfox.eu
Jendа avatar 16.1.2012 17:02 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Praví paranoici můžou mít /boot samozřejmě na flashdisku, který nespouští z očí, stačí ho jen překopírovat a smazat ten původní.
To už je snazší ti tam narvat HW keylogger, než se štvát s patchováním initramdisku. Nebo použít legendární pilník (na tebe) :).
leaky probíhají přes /tmp a hlavně swap
Upřímně já bych nerad ještě /var/log/ (pohyb notebooku za posledních pár měsíců - podle SSID) a do /root/ taky občas něco uložím.
Bystroushaak avatar 16.1.2012 17:24 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
To už je snazší ti tam narvat HW keylogger, než se štvát s patchováním initramdisku.
Spoléhám na to, že HW keyloggeru bych si u notebookové klávesnice všiml, to by muselo být něco fakt hodně speciálního a drahého, aby se to tam vešlo (navíc je tam podstatně víc datových vodičů, protože na té klávesnici imho není řadič) a zas tak velká ryba nejsem.

Jinak tohle může čistě teoreticky řešit identifikační karta s čipem. Všiml jsem si, že na pracáku jí má ta pracovnice vždy zasunutou do klávesnice ze strany, vcelku by mě zajímaly podrobnosti.
Nebo použít legendární pilník (na tebe) :).
Jo, to by zabralo. Jediné řešení co mě napadlo jsou nějaké autodestrukční mechanismy (stačí umazat prvních pár KB kde jsou zašifrované klíče) po dvou špatných heslech, nebo tak něco.

Jinak primárně mi jde spíš o ukradení notebooku, v případě že by to heslo někdo fakt hodně chtěl by ho samozřejmě dostal, protože zas takovej drsňák abych kvůli svému systému nechal zabít svojí rodinu, popřípadě se mučit fakt nejsem.

Teď mě ještě napadá že by šlo použít cosi jako DM-steg.
blog.rfox.eu
Jendа avatar 16.1.2012 18:41 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Jediné řešení co mě napadlo jsou nějaké autodestrukční mechanismy (stačí umazat prvních pár KB kde jsou zašifrované klíče) po dvou špatných heslech, nebo tak něco.
K tomu potřebuješ HW podporu.
Teď mě ještě napadá že by šlo použít cosi jako DM-steg.
Vždycky to nastav tak, abys mohl dokázat, že „teď jsem už opravdu rozšifroval všechno“. Třeba vyplň volné místo nulama nebo tak něco (pravda, co s těmi 10 GB, co jsem navzorkoval nekvalitním AD převodníkem, a tak je v tom hromada bílého šumu?). Ušetříš si tím zbytečné zalévání, kdy už jsi jim stejně všechno řekl, ale oni si myslí, že tam ještě něco je.
16.1.2012 17:11 pedro
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
No swap už docela dlouho nepoužívám. Ale jasně máš pravdu, že šifrovat pokud možno všechno je nejbezpečnější cesta. Je to všechno otázka míry paranoidity.
Jendа avatar 16.1.2012 17:03 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Pokud nějakého policejního génia napadne vyvozovat něco z toho, že máš v /usr/sbin aircrack…

A co ~root/.bash_history?
3.1.2013 19:58 Visgean Skeloru
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Sám používám encryptfs na home ale řekl bych, že je opravdu jednoduché překopírovat ti tam upravené soubory do /bin a /usr/bin a tím způsobem získat úplně všechno (hesla)
6.2.2012 19:16 marek
Rozbalit Rozbalit vše Re: Mint 12 na šifrovaném disku (návod) + pár dojmů
Odpovědět | Sbalit | Link | Blokovat | Admin
Předem díky za návod. Dělal jsem dle něj Linux Mint 12 KDE, ale 64bit verzi. Takže bylo potřeba pár změn, např. do /etc/initramfs-tools/modules místo aes-i586 dát aes-x86_64 a sha256 nahradit sha256_generic. Také jsem nevytvářel LVM, takže jsem vynechal související kroky. Každopádně návod funguje. Díky za něj. :)

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.