Witaj na Forum Linuxiarzy
Zanim zalogujesz się, by pisać na naszym forum, zapoznaj się z kilkoma zasadami savoir-vivre'u w dziale Administracja.
Wiadomości z problemami zamieszczone w wątku "Przywitaj się" oraz wszelkie reklamy na naszym forum będą usuwane.

Szyfrowanie dysku, VeraCrypt

Zaczęty przez mark, Grudzień 16, 2018, 06:39:46 PM

Poprzedni wątek - Następny wątek

mark

#15
Cytat: pavbaranov w Grudzień 17, 2018, 08:26:27 PM
Jeśli się decydujesz na takie rozwiązanie to masz:
1. jeden HDD (powiedzmy /dev/sda),
2. partycję systemową (powiedzmy /dev/sda1),
3. partycję domową (powiedzmy /dev/sda2).
Twoje dane są przechowywane na /dev/sda2. Różne inne rzeczy, w tym m.in. programy, logi systemowe itd. na /dev/sda1.

Nie wiem czy dobrze zrozumiałem - wtedy powstają de facto 3 partycje?
/dev/sda
/dev/sda1
/dev/sda2

Ale szyfruję tylko sda1 i sda2 czyli systemową i tą na pliki? Co wtedy jest na tej /dev/sda ?

ps. właśnie na wypadek jakiejś kaszany/ utraty hasła/ fizycznego uszkodzenia dysku w laptopie/kradzieży laptopa robię co jakiś czas kopię zapasową wszystkich istotnych plików na zewnętrznym HDD podłączanym przez USB. Mam tam kontener zaszyfrowany VeraCryptem.

pavbaranov

Źle zrozumiałeś - /dev/sda to urządzenie (dysk), pozostałe (sda1, sda2) to partycje. Partycja to nie dysk.

hobbysta

@pavbaranov: Twoje ostatnie zdanie to jakby podsumowanie tego watku "kupa pieniedzy za dostep do zaszyfrowanej partycji". Mozna miec tylko nadzieje, ze potencjalny zlodziej nie bedzie mial az tylu pieniedzy. Ale to zdanie moze w koncu uswiadomi OP iluzorycznosc tak rozumianego zabezpieczenia danych przed niepowolanym dostepem.

pavbaranov

@hobbysta - Moje prywatne zdanie jest następujące: wiele hałasu o nic. Osobiście nie szyfruję niczego. Jednocześnie nie trzymam na komputerze danych wrażliwych. Jeśli takowe mam - przechowuję je tam, gdzie nikt się ich nie spodziewa znaleźć i podłączam wyłącznie wówczas, gdy chcę z nich korzystać. Jakiekolwiek szyfrowanie tego typu na urządzeniach przenośnych/przewoźnych jest wg mnie kompletnie pozbawione sensu i to nie z tej przyczyny, że można taki szyfr złamać, ale przede wszystkim z tej przyczyny, że wrażliwe dane nie mają się prawa znaleźć tam, gdzie w ogóle ktokolwiek niepowołany, w dowolny sposób, może mieć do nich dostęp.

Zresztą już wietrzę niezłą zabawę, gdy @mark zaszyfruje wszystko na maksa, a następnie coś mu się podzieje z instalacją linuksa (wszak z innego wątku, a poniekąd i tego, wynika, że dopiero ma zamiar przesiąść się na tę platformę). Już widzę, jak ktokolwiek, przy tak nadmiernie skomplikowanej instalce będzie mu w stanie podnieść taki system, który najzwyczajniej mu padnie.

TataPingu

#19
Cytat: pavbaranov w Grudzień 17, 2018, 08:52:22 PM
Już widzę, jak ktokolwiek, przy tak nadmiernie skomplikowanej instalce będzie mu w stanie podnieść taki system, który najzwyczajniej mu padnie.

Dlatego, w którymś miejscu wspominałem mu o możliwości zabezpieczenia hasłem tylko pojedyńczego pliku-archiwu w którym można umieścić chronione dane...
- z takim plikiem można robić co się komu rzewnie podoba...
I to niezależnie od funkcjonującego systemu, czy w ogóle platformy...

A sama jakość zabezpieczenia ?
- no cóż, sami Koledzy wiecie, jaka ona jest...

mark

Dlatego Panowie jak wspomniałem powyżej, co jakiś czas robię kopię zapasową wszystkiego na osobny dysk ze zwykłym zaszyfrowanym kontenerem. A w padnięcie dwóch niezależnych dysków w jednym czasie nie wierzę. Jak mi z kolei padnie Linuks albo cały laptop szlag trafi (ktoś go ukradnie, zaleję go wodą, ulegnie zniszczeniu w wypadku samochodowym) to płakać nie będę. Dalej będę mieć kopię zapasową na innym nośniku. A to czy mi system padnie bo nieumiejętnie skonfiguruję Linuksa czy też ktoś fizycznie ukradnie dysk nie ma znaczenia bo efekt ten sam - brak dostępu do plików.

Utraty samego dostępu się nie boję. Bardziej boję się wykorzystania tych danych przez kogoś innego. Nie chodzi mi o zabezpieczenie dysku na poziomie nie wiadomo jakim, bo myślę że FBI czy inne NASA się mną nie interesuje. Chodzi o zabezpieczenie takie, że domorosły złodziej-informatyk który wejdzie w posiadanie mojego laptopa stwierdzi, że prościej go sprzedać na części niż próbować rozszyfrować moje pliki lub hasła dostępu do poczty itp.

Cytat: TataPingu w Grudzień 17, 2018, 09:00:56 PM
Cytat: pavbaranov w Grudzień 17, 2018, 08:52:22 PM
Już widzę, jak ktokolwiek, przy tak nadmiernie skomplikowanej instalce będzie mu w stanie podnieść taki system, który najzwyczajniej mu padnie.

Dlatego, w ktąrymś miejscu wspominałem mu o możliwości zabezpieczenia hasłem tylko pojedyńczego pliku-archiwu w którym można umieścić chronione dane...
- z takim plikiem można robić co się komu rzewnie podoba...
I to niezależnie od funkcjonującego systemu, czy w ogóle platformy...


Czyli rozumiem, że chodzi tutaj o stworzenie zaszyfrowanego kontenera do którego wrzucam wszystkie wrażliwe pliki. Coś takiego mam obecnie na zewnętrznym HDD.

Pytanie z innej beczki - jakie jest Wasze zdanie na temat trzymania wszystkiego w chmurze? Co gdybym olał szyfrowanie dysków i wykupił kilkanaście GB dostępu i wszystko trzymał tam?

pavbaranov

Załóż konto na mega.nz. Darmowo 50GB. Możesz powiększyć. Dostęp szyfrowany. Oczywiście musisz się logować, podając login i hasło. "Firma", która to udostępnia nie przechowuje haseł dostępu, nie skanuje tego w żaden sposób (przynajmniej wg zapewnień).
Możesz też skorzystać z innych komercyjnych rozwiązań oferujących mniej lub bardziej zaawansowany system logowania itp.
Przy odpowiednich środkach, możesz sobie postawić nawet własny serwer, na którym trzymał będziesz swoje pliki.
Przy odpowiednio dobranej chmurze (a w zasadzie to chodzi o dostęp z komputera do odległych plików), to jedyne rozwiązanie, które jeśli dodatkowo w komputerze nie istnieją żadne ułatwienia w uzyskaniu do niej dostępu - w miarę gwarantuje, że utrata w dowolny sposób komputera lub dysku nie da niepowołanej osobie dostępu do danych, które chcesz chronić.

Podobnie można rozwiązać też "problem" np. z dostępem do kont pocztowych, zakładając je w którejś z firm oferujących zdecydowanie większe bezpieczeństwo dostępu niż najpopularniejsze rozwiązania.

Ogólna zasada bezpieczeństwa przechowywania danych: nie mają one prawa znajdować się na tym samym urządzeniu, które służyć może do ich odczytu. Dopiero potem możemy się zastanawiać co dalej oraz które z dostępnych rozwiązań dla fazy pierwszej wybrać.

mark

Na tym portalu co podesłałeś za 5 euro miesięcznie można mieć 200GB przestrzeni... 20zł na miesiąc za cenę większego bezpieczeństwa? Może warto się w to pobawić. Plus dostęp do plików z każdego miejsca na świecie.

Uwaga laik pyta: a co z wyciekami danych z chmury? Czytało się o takich przypadkach przecież.

Zmiana tematu. W starej firmie z którą współpracowałem wszystkie wrażliwe pliki trzymali na serwerze, który był w piwnicy pod kluczem (w tym samym budynku). Pracownicy mieli dostęp do serwera za pośrednictwem stacjonarnych PC stojących piętro wyżej, do których logowało się tylko przy wykorzystaniu hasła wpisywanego przy logowaniu do Windowsa. Nic więcej. Później bez podawania jakichkolwiek dodatkowych haseł mieli dostęp do całego serwera bo był utworzony skrót na pulpicie. Dla mnie i innych zwykłych szaraków nieobeznanych z tematem to była jakaś abstrakcja. Przecież wystarczyłoby zwykłe włamanie do siedziby i bez problemu można było mieć dostęp do całego serwera i w 15min skopiować wszystkie dane. Albo w jakiś sposób przejąć "zdalnie" maszynę przez internet (wszystkie kompy były na stałe podpięte do internetu) i wszystko miało się jak na tacy. Oczywiście, był jakiś firewall i antywirus, ale nic szczególnego, bardzo podstawowe programiki.

Kiedyś była akcja, że sekretarka otworzyła jakiś syf z maila i momentalnie zaczęło jej szyfrować pliki na dysku komputera. Domyślam się, że gdyby nie to że dane były na serwerze, to pewnie zaszyfrowałoby jej zdalnie cały dysk. A później pewnie uprzejma prośba o wpłatę na konto, aby uzyskać hasło.

hobbysta

Widze jedno ale: czy klienci zgodza sie aby dane ich dotyczace byly umieszczane na serwerach jakiejs firmy hostingowej. Wydaje mi sie, ze a) powinni wiedziec o takim pomysle b) wyrazic zgode c) miec dostep do warunkow udostepniania uslugi.

pavbaranov

@hobbysta - To zależy. Jeśli w myśl umowy dane takie mogłyby np. być skanowane (ot, choćby cudne Google), to wydaje mi się, że tak. Jeśli nie - to nie zaryzykowałbym twierdzenia, że klient musi o tym wiedzieć i przede wszystkim wyrazić zgodę.
@mark - Co z wyciekiem? A co z kradzieżą Twojego komputera? Jak na razie przez kilka lat funkcjonowania Megi nie słyszałem o żadnych informacji o wyciekach danych z niej.
Pomysł - serwer + komputer w charakterze klienta do niego jest bardzo dobry. Kwestią otwartą pozostają koszty (ale to Ty tu jesteś inwestorem) oraz czy będziesz potrafił sobie to prawidłowo skonfigurować, by ustrzec się m.in. takiej sytuacji, jaką opisałeś lub w przypadku braku wiedzy - pozostaje znów kwestia ceny usługi za taką konfigurację.

mark

#25
Cytat: hobbysta w Grudzień 17, 2018, 10:12:50 PM
Widze jedno ale: czy klienci zgodza sie aby dane ich dotyczace byly umieszczane na serwerach jakiejs firmy hostingowej. Wydaje mi sie, ze a) powinni wiedziec o takim pomysle b) wyrazic zgode c) miec dostep do warunkow udostepniania uslugi.

Temat do przemyślenia. Na wszelki wypadek dobrze byłoby mieć taki zapis w klauzuli dot. RODO. Trzeba by też sprawdzić lokalizację serwera. Jeśli jego lokalizacja będzie w Polsce wtedy trochę mniejszy problem.

Cytat: pavbaranov w Grudzień 18, 2018, 12:20:40 AM

Pomysł - serwer + komputer w charakterze klienta do niego jest bardzo dobry. Kwestią otwartą pozostają koszty (ale to Ty tu jesteś inwestorem) oraz czy będziesz potrafił sobie to prawidłowo skonfigurować, by ustrzec się m.in. takiej sytuacji, jaką opisałeś lub w przypadku braku wiedzy - pozostaje znów kwestia ceny usługi za taką konfigurację.

Połączenie serwer w piwnicy + komputer byłoby może fajne, ale gdybym cały czas pracował w jednym miejscu. A u mnie jest problem taki, że de facto pracuję zarówno w domu, jak i w siedzibie swojej firmy, a do tego w 2-3 innych miejscach gdzie wykonuję zlecenia, cały czas jestem w trasie itp. Dlatego najwygodniej dla mnie mieć wszystko co mi potrzebne zawsze przy sobie. Ale kwestia bezpieczeństwa tego rozwiązania jak widzę jest mocno ograniczona. W teorii lepsza byłaby chmura no ale tutaj też pojawiają się mankamenty.

Każde rozwiązanie ma swoje plusy i minusy.

Może w końcu zdecyduję się na rozwiązanie polegające na postawieniu zaszyfrowanego systemu na laptopie, a wrażliwe dane będę trzymać tylko na zaszyfrowanym pendrive przypiętym do kluczy i każdorazowo sobie podpinać i montować nośnik... Jeśli dobrze rozumiem to jest to rozwiązanie odrobinę bezpieczniejsze niż trzymanie wszystkiego na osobnej zaszyfrowanej partycji na dysku?
W przypadku kradzieży samego laptopa złodziej nie ma dostępu do danych. A w przypadku kradzieży pendrive złodziej ma tylko zaszyfrowany kontener z plikami. Prawdopodobieństwo kradzieży obu rzeczy naraz jest jednak mniejsze (chyba że spotkam typa w ciemnej uliczce i będzie "dawaj co masz" ).

Dwa inne pytania z ciekawości:
1. Jakie macie zdanie na temat BitLockera od Microsoftu? Może w moim przypadku powinienem się zastanowić nad zainwestowaniem w Win10 Pro i nie bawić się w jakieś skomplikowane rozwiązania tylko od razu wszystko przepuścić przez BitLockera?
(wiem, zadaję drażliwe pytanie na forum linuxiarzy  :P )

2. Wróćmy do sytuacji opisanej przeze mnie w poprzednim poście.
Cytat: mark w Grudzień 17, 2018, 10:06:59 PM
W starej firmie z którą współpracowałem wszystkie wrażliwe pliki trzymali na serwerze, który był w piwnicy pod kluczem (w tym samym budynku). Pracownicy mieli dostęp do serwera za pośrednictwem stacjonarnych PC stojących piętro wyżej, do których logowało się tylko przy wykorzystaniu hasła wpisywanego przy logowaniu do Windowsa. Nic więcej. Później bez podawania jakichkolwiek dodatkowych haseł mieli dostęp do całego serwera bo był utworzony skrót na pulpicie.
Takie zabezpieczenie naprawdę jest wystarczające? Tzn. samo hasło logowania do Windowsa? Pytam z czystej ciekawości.

Wybaczcie, że tak skaczę po tematach i co chwila pytam o coś nowego, ale po prostu ostro się nad tym wszystkim zastanawiam i nie wykluczam niczego. Dlatego zadaję pytania, chcąc poznać plusy i minusy różnych rozwiązań.

TataPingu

#26
Moim zdaniem, najbezpieczniejszym i najpewniejszym rozwiązaniem byłoby:

- własny serwer plus własna chmurka (owncloud)

Serwer wygodnie jest wstawić w bezpiecznym miejscu (np piwnica), kopie można robić bezproblemowo i regularnie na nośniku, który ulokowany może być w innym miejscu (np inny budynek). Dwie różne sieci łączone przez VPN.
Dostęp do serwera umożliwia odpowiednio skonfigurowany router, który z zewnątrz "dopuszcza" tylko sobie "znane" sprzęty i najlepiej poprzez VPN.
Serwer nie musi chodzić ciągle, jest "budzony" na sygnał z "zewnątrz".
Jedyny warunek to stałe łącze (nawet nie trzeba posiadać oficjalnego IP)

Tak ogólnie, jeśli chcecie mieć pewność, że Wasze dane nie dostaną się w niepowołane ręce to zapomnijcie o wszystkich "komercyjnych" chmurkach....
- patrz przepisy o "Przestępczości w sieci" i ew. obowiązek "udostępnienia danych"....

mark

Cenna myśl @TataPingu.

Znowu troszkę poczytałem i teraz na tapecie mam temat NASa. W sumie jak patrzę na ceny takiego sprzętu, to może dałoby radę zamknąć się w 1000-2000zł, a to nie jest niesamowicie wygórowana cena. Do osiągnięcia.

Nie potrzeba mi szmerów bajerów i nie wiadomo jakich prędkości przesyłu danych, wystarczyłoby mi realnie ok. 500 GB wolnego miejsca na dysku sieciowym i wszystko ustawione w systemie RAID 1 bo mi by zależało na lustrzanej kopii tego co zapisuję (jeśli dobrze zrozumiałem to co czytałem). Pliki które będę przesyłać to głównie dokumenty tekstowe itp. ewentualnie zdjęcia.

Teraz tylko tak - musiałbym mieć do tego serwera dostęp z każdego miejsca w którym pracuję. Domyślnie fajnie byłoby też wydzielić sobie na nim powiedzmy 100GB, zrobić sobie prywatny hosting i tam przenieść całego służbowego maila zamiast korzystać z usług zewnętrznych.

A może nie bawić się w stawianie NASa tylko zwykły dysk zewnętrzny na jakąś przystawkę USB żeby go łączyła z siecią?

Z kolei jeśli się już bawić w NASa to od razu z obsługą VPN.

Ok, czytam dalej. Tyle pytań, a tak mało odpowiedzi xD

TataPingu

#28
Cytat: mark w Grudzień 19, 2018, 01:11:01 PM
Teraz tylko tak - musiałbym mieć do tego serwera dostęp z każdego miejsca w którym pracuję. Domyślnie fajnie byłoby też wydzielić sobie na nim powiedzmy 100GB, zrobić sobie prywatny hosting i tam przenieść całego służbowego maila zamiast korzystać z usług zewnętrznych.

Wszystkie te zamierzenia osiągniesz jakimś małym serwerem. NASy, szczególnie te tanie "gotowce", pomimo, że bazują na linuksie, nie są przeznaczone do tak wszechstronnych celów. Teoretycznie nie byłoby problemu coś takiego z nich zrobić, jednak "rozszerzenie" oprogramowania jest świadomie blokowane przez producentów. O ile dobrze pamiętam, to chyba tylko "Synology" w niektórych swoich modelach dopuszcza instalację dodatkowych pluginów.

Ale zrobienie prostego serwera do takich celów to ani wielki wydatek, ani wielki kłopot...
- w najgorszym przypadku możesz wykorzystać jakiś stary komputer (np. starego laptopa, czy PCta).
Taki serwer, już po skonfigurowaniu, nie potrzebuje ani monitora, ani nawet klawiatury.
Jedno, co jest istotne, to powinien mieć kartę sieciową z funkcją "WakeOnLAN" (gdy chcesz, by się automatycznie wyłączał i był załączany na sygnał z zewnątrz)
To może być również jakiś słaby sprzęcik bazujący na ARMach, bo na taki sprzęt nie potrzebujesz poweru.
Na pewno wszystkie aktualne sprzęty posiadają USB, do nich podłączasz USB-HDD.
I nie kosztują żadnego majątku.
Jedynie, co odradzam do tych celów, to "malinki" (raspy). To bardziej zabawki i ich trwałość jest bardzo problematyczna.

Dobrym rozwiązaniem mógłby również być sam sprzęt dostawcy internetu. Niektóre z dostarczanych sprzętów posiadają już takie możliwości "fabrycznie" (działają jako modem DSL, pracują jako router, ale równocześnie mogą serwować lokalną, jak i zewnętrzną sieć)
Takim sprzętem są na pewno FritzBoxy, ale moja teściowa jest bodajże w Orange i dostała również jakiegoś "boxa", którym można coś podobnego osiągnąć

Na tym etapie nie da się nic więcej doradzić.

mark

To jakie konkretnie rozwiązanie byś w moim przypadku polecał? Nie pytam oczywiście o konkretne urządzenia i modele, a raczej o ogólną zasadę i koncepcję, żebym wiedział mniej więcej czego szukać.

Założenia:
- niski koszt początkowy,
- niewielka pojemność dyskowa i prędkość wymiany danych,
- bez zbędnych bajerów,
- dostęp do serwera z każdego miejsca na świecie,
- duże bezpieczeństwo (w granicach rozsądku) przed kradzieżą danych,
- względnie duże bezpieczeństwo w zakresie tworzenia kopii zapasowych,
- odpada stary komputer bo po prostu takiego nie mam,
- fajnie jakby było WakeOnLAN ale nie jest to konieczne, jakoś przeżyję jak niewielki serwer będzie sobie cicho huczeć w piwnicy i jak będę musiał kilka złotych na prąd dorzucić,
- możliwość takiego skonfigurowania, żeby trzymać tam nie tylko pliki ale żeby też był to mój serwer pocztowy,
- na chwilę obecną jedyny komputer z dostępem do serwera to będzie mój laptop z Linuksem na pokładzie.

Będę wdzięczny za wszelkie wskazówki - czego się trzymać, czego unikać, na co zwrócić uwagę itp.

Zobacz najnowsze wiadomości na forum