Haseł nie chciałbym przechowywać w plikach.
Oczywiście możesz chcieć. Problem jednak leży w tym, że dowolny (czy to linux, czy to MacOS, czy Windows - nie ma znaczenia) system zdecydowanie nie liczy się z Twoim zdaniem. Gdzieś, w jakimś pliku jakiś program musi owe hasło przechowywać, bowiem inaczej nie ma on jak sprawdzić, czy podawane przez Ciebie hasło jest zgodne z zapamiętanym. Jeśli zależy Ci na maksymalnym zabezpieczeniu komputera, to takie hasło nie może być po prostu zapisane tzw. plain text.
Okej załóżmy, że przykładowo:
1. Ustawiam hasło w BIOSie,
2. Przy instalacji Ubuntu wybieram opcję szyfrowania,
3. Następnie osobno już z poziomu zainstalowanego systemu szyfruję osobno partycję na której trzymam wrażliwe dane jakimś osobnym programem typu VeraCrypt (BTW, czy to się nie wyklucza wzajemnie z pkt. 2 ? )
4. Nie stosuję automatycznego logowania i za każdym razem wpisuję hasło,
5. O tym co to jest "brak sudoers" to zaraz doczytam
ale domyślam się, że chodzi o coś żebym tylko ja miał uprawnienia administratora.
Czegoś nie rozumiem, tj. pkt 3 jest zbędny po zastosowaniu pkt. 2. Jeśli chodziło Ci w tym momencie o nawiązanie do tego, co ja napisałem w pkt. 4 w poprzednim wpisie, to plasma-vault (to jedynie przykład takiego narzędzia) pozwala na stworzenie w Twoim katalogu dodatkowych katalogów, do których dostęp jest szyfrowany dodatkowym jeszcze hasłem, a to, co tam jest pozostaje nieczytelne (i bez dostępu) dla osób, które sforsowały już wcześniejsze zabezpieczenia (czyli mają fizyczny dostęp do komputera/dysku i nadto jeszcze udało im się go uruchomić i otworzyć partycję /home).
Pkt 5 - W linux można stworzyć grupę, która uzyskuje dostęp do "wyższego" poziomu uprawnień bez znajomości haseł wymaganych dla takiego dostępu.
Co w takim przypadku z danymi logowania do kont pocztowych na Thunderbirdzie itp? Historią przeglądania Firefoxa itp? Czy te dane są w jakikolwiek sposób do odzyskania?
Używasz obecnie Windows z szyfrowaniem. Zatem odpowiedź na powyższe brzmi: w obu przypadkach wygląda to tak samo dla każdej platformy, na której uruchamiane są te programy.
Oczywiście możesz te dane w bardzo sporym stopniu ograniczyć.
Czy ustawienie hasła na BIOSie lub zaszyfrowanie dysku przy instalacji Ubuntu jest wystarczającym zabezpieczeniem?
Wcześniej już Ci napisałem: nie istnieje żadne zabezpieczenie, którego nie można sforsować. Istnieje tylko koszt owego sforsowania.
Jeśli przewożone przez Ciebie dane są tak istotne, to najłatwiejszym sposobem pozyskania źródeł haseł dostępu do nich jest... użytkownik, czyli Ty. Przy użyciu mniej lub bardziej łagodnej perswazji zwykle hasła poda.
Jeśli dane te są nieistotne z punktu widzenia złodzieja (czyli kradnie komputer, a nie dane), to czy te dane są, czy nie są szyfrowane jest zwykle bez znaczenia, bo i tak dysk ulegnie skasowaniu.
Być może jednak dane są na tyle istotne, by... w ogóle nie były umieszczane fizycznie na żadnym nośniku, który może być przenoszony. Wówczas po prostu owe pliki, o których wspominasz trzymaj na jakimś serwerze, a komputer traktuj wyłącznie jako możliwość dostępu do tych danych.