Witaj na Forum Linuxiarzy
Zanim zalogujesz się, by pisać na naszym forum, zapoznaj się z kilkoma zasadami savoir-vivre'u w dziale Administracja.
Wiadomości z problemami zamieszczone w wątku "Przywitaj się" oraz wszelkie reklamy na naszym forum będą usuwane.

Szyfrowanie dysku, VeraCrypt

Zaczęty przez mark, Grudzień 16, 2018, 06:39:46 PM

Poprzedni wątek - Następny wątek

TataPingu

#30
Na pewno coś zaradzimy.
Istotna jest jedna informacja od której praktycznie zależy rodzaj proponowanego rozwiązania (a zarazem konstelacja sprzętu), to jest sposób łączenia się z siecią...
- czy będzie to stałe łącze, jakim sposobem i ew. jakim sprzętem (modem DSL, czy coś innego) ?

A może masz stałe IP ?

mark

Router DSL, stałe łącze szerokopasmowe. IP mam chyba stałe.

TataPingu

Potrzebne trochę bliższe informacje, t.j. usługodawca (dostawca internetu i jakie usługi dostarcza), typ sprzętu (nazwa, symbol itp), czy to "goły" modem, czy od razu roter, ew. czy ma możliwości podłączenia USB, czy może również serwować itd...
- zainteresuj się specyfikacją urządzenia i umową z dostawcą bo może się okazać, że wystarczy tylko prawidłowo skonfigurować dostarczony sprzęt, podłączyć jakiś USB-HDD i możesz mieć "własnego" clouda.
Tym bardzie, jeśli miałbyś stałe IP

mark

Cytat: TataPingu w Grudzień 19, 2018, 08:57:00 PM
- zainteresuj się specyfikacją urządzenia i umową z dostawcą bo może się okazać, że wystarczy tylko prawidłowo skonfigurować dostarczony sprzęt, podłączyć jakiś USB-HDD i możesz mieć "własnego" clouda.
Tym bardzie, jeśli miałbyś stałe IP

O i to by było wspaniałe rozwiązanie gdyby się tak udało!  ;D

Okej, o co konkretnie zapytać? Co bym musiał mieć/ustalić z dostawcą internetu, żeby zrobić tak jak piszesz czyli podłączyć HDD na USB i mieć clouda? Bo z tym stałym IP i żeby był widoczny na zewnątrz to problemów nie powinno być. Usługodawca jest lokalny, znamy się więc pewnie pójdzie mi w miarę na rękę. Ale chciałbym się przygotować do rozmowy i wiedzieć o co pytać.

Gadałem ze znajomym, polecał żeby od razu skonfigurować sobie VPN bo to teraz standard.

hobbysta

@mark:  @TataPingu bierze Cie za reke i wprowadza w gesty las. Jak dlugo bedzie Cie trzymal za ta reke - tak dlugo bedzie dobrze. @TataPingu ma szczere checi - i zapewne pomoglby Ci postawic twoj wlasny serwer. Tylko co potem? Tak z pol roku bedziesz musial poswiecic na nauke administracji sieciowym serwerem. Sek w tym, a w seku dziura, ze to co chcesz w zasadzie nie rozni sie od postawienia lokalnej sieci w malej firmie. To nieistotne, ze tylko ty bedziesz korzystal - rownie dobrze moglyby korzystac i inne osoby razem z toba - i nie wymagaloby to praktycznie zadnych zmian.  Takze zastanow sie, czy zamierzaz zdobyc dodatkowe kwalifikacje administratora Linuxa. Rozwiazanie praktyczne - to zwrocic sie do kogos aby ten serwer Ci postawil i nim administrowal. Ale wtedy bedziesz musial ponosic comiesieczne oplaty. Za administracje usluga - brzmi groznie ale administrator serwera ma na ogol ograniczone uprawnienia i twoje dane beda zupelnie bezpieczne - tak to mozna zorganizowac aby osoba administrujaca nie miala dostepu do tych danych. Administartor na ogol laczy cie przez siec z gospodarzem uslugi i wykonuje swoja prace - przeglada logi, statystyki - patrzy czy nie ma czegos 'dziwnego'  - co na przyklad mogloby byc sygnalem proby wlamania - gospodarz-system zawsze tworzy ogromna ilosc informacji diagnostycznych - po to aby ktos z tego korzystal. To o czym teraz z @TataPingu piszecie to wlasnie dla nomen-omen hobbystow Linuxa. 

mark

Myślę, że rozumiem o czym piszesz @hobbysta.

Też już się nad tym zastanawiałem, że to nie są takie proste sprawy na jakie wyglądają i pewnie i tak musiałbym zatrudnić kogoś ogarniętego z zewnątrz, bo moja wiedza jest w temacie zbyt nikła a czasu na ogarnięcie wszystkiego dogłębnie brak. Zdaję sobie sprawę z ceny takiej usługi i czasu wymaganego na ogarnięcie tego. Powiem tak - na razie badam temat, chcę sam "mniej więcej" zrozumieć na czym to polega i znaleźć po prostu optymalne rozwiązanie dla siebie. Nieprzesadnie skomplikowane, bezpieczne, i w miarę niedrogie bo jednak budżet firmy jest ograniczony i trochę ryzykowne jest pakowanie się w kosztowne rozwiązania, których mocy nie wykorzystam, a po pół roku zwinę interes.

Swoją drogą zrobiłem research wśród znajomych przedsiębiorców z mojej branży. Co człowiek to opinia.

Jeden nie stosuje żadnych zabezpieczeń (bo założenie jedynie hasła logowania do Windowsa to nie jest imho poważnym zabezpieczeniem). Jemu wystarcza.

Drugi trzyma wszystko w chmurze, ale zdaje sobie sprawę że nie powinien tego robić...

Trzeci po prostu szyfruje dyski tak jak ja obecnie i mówi, że to w zupełności wystarczy bo nie ma co popadać w paranoję a nie stać go na stawianie serwera itp.

Czwarty trzyma wszystko na firmowym serwerze, ale on akurat współpracuje z większą firmą w branży i za ułamek kosztów wydzielili mu miejsce na swoim serwerze (stojącym w firmie, VPN i te sprawy). No i właśnie w tej firmie wszystko ogarnia im informatyk bo nikt z firmy nie ma zielonego pojęcia jak to funkcjonuje.

TataPingu

#36
Cytat: hobbysta w Grudzień 19, 2018, 10:29:23 PM
@TataPingu bierze Cie za reke i wprowadza w gesty las. Jak dlugo bedzie Cie trzymal za ta reke - tak dlugo bedzie dobrze. @TataPingu ma szczere checi - i zapewne pomoglby Ci postawic twoj wlasny serwer. Tylko co potem? Tak z pol roku bedziesz musial poswiecic na nauke administracji sieciowym serwerem.

Niekoniecznie...

Sam byłem zaskoczony ostatnimi wydaniami tego sprzętu, ale, jak widzę, świat techniki IT zmienia się w takim tempie, że chyba zaczynamy powoli nie nadążać za rozwojem.
W pełni się z Tobą zgadzam Kolego, dla firmowego, profesjonalnego serwera na pewno potrzebne są warunki o których piszesz.
W przypadku Kolegi "Marka" i jego potrzeb, nie potrzeba jednak tak rozbudowanego serwera. To, co on potrzebuje można załatwić za pomocą jednego urządzenia!
- urządzenie jest modemem DSL, routerem (z firewallem), NASem, serwerem (także "multimedia-streaming" np. w domu) i cloudem w jednym!

W obsłudze tak proste, że praktycznie obsłuży je przysłowiowy "Kowalski".
Poza tym, co również istotne, jest ENERGOOSZCZęDNE...

Jako przykład może posłużyć poniższy link:

https://avm.de/produkte/fritzbox/fritzbox-3490/details/

Przepraszam, że naprowadzam na jęz. niemiecki, ale myślę, że w sieci można znaleźć również angielskie, czy nawet polskie specyfikacje.
Acha, i jest to jeden z najprostszych modeli (relatywnie tani), ale w razie potrzeby można dostać bardziej rozbudowany.

hobbysta

Tak czy inaczej ktos tym serwerem musi zarzadzac.

TataPingu

Cytat: hobbysta w Grudzień 20, 2018, 11:30:23 AM
Tak czy inaczej ktos tym serwerem musi zarzadzac.

Właśnie zaletą tego sprzętu jest to, że użytkownik może być sobie "administratorem".
Softwarowo urządzenie jest tak przygotowane (bazuje na linuksie), że użytkownik z jednej strony uaktywnia typ usługi dostawcy internetu (login i rodzaj np. DSL), a z drugiej, podłącza tylko jakiś nośnik USB, ustala, które funkcje mają być aktywne (np. sieć lokalna, multimedia, dostęp do danych itp - protokoły SMB, FTP, UPnP AV), ustala użytkowników, ustala hasła i pozwala na ew. dostęp z "zewnątrz" (poprzez VPN).
Reszta leci już sama. Oprócz "zwieszek" internetu i ew. zabotowania sprzętu nie trzeba nic więcej administrować (analogicznie do NASów).

Jedyne czynności, które trzeba robić, t,o od czasu do czasu wgrać aktualizację firmware producenta sprzętu.
Ale i to można "zautomatyzować...
- tzn. "zezwolić", żeby to było przeprowadzone zdalnie...

mark

No ciekawa opcja, znalazłem nawet polski sklep który to oferuje ale opis działania jest dosyć skromny.

Niemniej jednak zostawmy na chwilę NASy, serwery itp i wróćmy proszę do meritum tematu, czyli szyfrowania dysku w laptopie i Vera Crypta.

Moja obecna sytuacja: laptop z jednym fizycznym dyskiem. Chciałbym na nim trzymać Windowsa a na drugim postawić eksperymentalnie Linuksa, więc marzyłoby mi się wydzielenie 3 partycji, aby można je zapełnić następująco:
partycja 1) czysty Windows + programy,
partycja 2) czyste np. Ubuntu + programy,
partycja 3) wszystkie dane i pliki.

Oczywiście chciałbym mieć wszystkie partycje zaszyfrowane. A dane trzymać na osobnej partycji niezależnej od obydwu systemów, żeby mieć do nich dostęp zarówno z pozycji Windowsa jak i Linuksa.

Pytania:
1. W jakiej kolejności zainstalować systemy operacyjne? Zwłaszcza w kontekście wybrania opcji szyfrowania przy instalacji Ubuntu.
2. Czy dobrze myślę, że mógłbym Ubuntu zaszyfrować przy jego instalacji, a Windowsa z poziomu systemu Vera Cryptem?
3. Czym zaszyfrować partycję nr 3? Rozumiem, że jak ją potraktuję LUKSem to Windows i Vera sobie z nim nie poradzą, więc w grę wchodzi jedynie szyfrowanie VeraCryptem i każdorazowo montowanie woluminu przez VeraCrypt (obojętnie czy to pod Windowsem czy Linuxem).
4. W którym momencie stworzyć te partycje? Najpierw postawić Windowsa i przy instalacji wszystko wydzielić?
5. Czy to o czym piszę (3 partycje i szyfrowanie każdej na swój sposób) jest w ogóle fizycznie wykonalne? Czy ryzyko że coś się poplącze i ostatecznie w ogóle nie odpalę kompa jest zbyt duże?

mark

Pytanie:
Czy korzystanie z zaszyfrowanych i odmontowanych partycji lub kontenerów (stworzonych np. VeraCryptem) chroni w jakiś sposób przed atakami ransomware?

Nie znalazłem jasnej odpowiedzi w internetach.

Chodzi o sytuację teoretyczną, kiedy to stworzyłbym sobie na dysku np. 2 partycje - jedną z systemem która byłaby używana non stop, a oprócz tego byłaby druga zaszyfrowana partycja lub kontener, które byłyby podłączane i odszyfrowywane tylko w zależności od potrzeb na kilka minut.

Czy w przypadku ataku ransomware w momencie kiedy ta partycja/kontener jest odmontowana i zaszyfrowana w jakikolwiek sposób ją chroni? Czy złośliwe oprogramowanie szyfrujące jest na tyle głupie że nie jest w stanie takiego nośnika ruszyć, czy też nie ma to dla niego znaczenia?

TataPingu

Cytat: mark w Styczeń 09, 2019, 03:08:50 PM
Czy w przypadku ataku ransomware w momencie kiedy ta partycja/kontener jest odmontowana i zaszyfrowana w jakikolwiek sposób ją chroni? Czy złośliwe oprogramowanie szyfrujące jest na tyle głupie że nie jest w stanie takiego nośnika ruszyć, czy też nie ma to dla niego znaczenia?

Oprogramowanie jest na tyle głupie" (lub "mądre", jak kto woli), na ile głupi/mądry jest jego twórca...
- te oprogramowania stają się coraz perfidniejsze...

Weź pod uwagę, że głównym "celem" tych programów, jak na razie są systemy z FATem NTFSem (windy), więc pracując na EXT4 jesteś stosunkowo bezpieczny...

A co do szyfrowanej ekstra partycji, to właściwie ile to roboty przygotować sobie taką na USB-HDD ?
- ani to koszty, ani kłopot, po prostu, bierzesz w rękę, podłączasz do usb, kopiujesz co potrzebujesz i odkładasz w miejsce, gdzie nie dotrze żaden robak...

mark

Cytat: TataPingu w Styczeń 09, 2019, 04:07:49 PM

Weź pod uwagę, że głównym "celem" tych programów, jak na razie są systemy z FATem NTFSem (windy), więc pracując na EXT4 jesteś stosunkowo bezpieczny...

O proszę, tego to się nie spodziewałem. Myślałem, że jak już robak leci i szyfruje np. wszystko z końcówką .doc to nie robi mu różnicy czy to jest wszystko w FAT czy EXT4. Dobrze wiedzieć.

A samo pytanie zadałem bo zastanawiam się, czy jest jakikolwiek sens np. zaszyfrować system a później osobno jeszcze mieć kontener/partycję z danymi, które VeraCryptem podpinam tylko na czas faktycznego wykorzystania, czy też gra nie warta świeczki bo np. oczywistym jest że przy ataku ransomware pewnym jest, że zainfekuje wszystkie fizycznie podpięte dyski, a nie tylko te używane (zamontowane i odszyfrowane).

Tak jak piszesz - najbezpieczniej zewnętrzny dysk i podpinać tylko na chwilę. Bez połączenia żaden robak nie przeskoczy dalej do dysku, który leży w szufladzie.

TataPingu

#43
Cytat: mark w Styczeń 09, 2019, 06:26:00 PM
O proszę, tego to się nie spodziewałem. Myślałem, że jak już robak leci i szyfruje np. wszystko z końcówką .doc to nie robi mu różnicy czy to jest wszystko w FAT czy EXT4. Dobrze wiedzieć.

Oczywiście, są różne typy wirusów, jedne szyfrują tylko wybiórczo pojedyńcze pliki, inne całe partycje.
Tak, czy owak, by program-wirus w ogóle był w stanie "działać", w pierwszym rzędzie musi być uruchomiony...
- żaden program pisany pod środowisko windows (EXE) nie uruchomi się pod uniksem (linuksem)...

Możliwe jest to tylko w emulatorze (np. Wine), ale z tego poziomu nie ma dostępu do dysku, czy danych i by to osiągnąć musiałby mieć jednocześnie do dyspozycji dodatkowe oprogramowanie umożliwiające odczyt danych z formatu EXT4.
Coś takiego istnieje dla windy, ale jest to już dużo większe i bardziej skomplikowane oprogramowanie z wieloma bibliotekami (umożliwia odczyt partycji formatowanych pod linuksa)...

mark

Jestem już w posiadaniu nowego dysku, który planuję zaszyfrować.

Ostatecznie po przeczytaniu multum poradników i przemyśleniu sprawy na 90% zdecyduję się na następujące rozwiązanie:

1. Szyfrowanie całego dysku w czasie instalacji jakiejś dystrybucji z rodziny Ubuntu, prawdopodobnie stanie na Kubuntu (niestety wszystkie ubuntupodobne wersje 18.04 i wyższe nie oferują już szyfrowania folderu home). Powyższe spowoduje, że de facto na dysku będę mieć partycję EFI (nieszyfrowaną) i drugą partycję z Linuxem która będzie fizycznym woluminem np. Ubuntu podzielonym na wolumeny logiczne a) root (zawierający w sobie home) i b) swap. Nie będę ręcznie partycjonować, pozwolę żeby instalator zrobił to za mnie. Bawiłem się z tym przez wiele godzin, próbowałem stosować różne poradniki i tutoriale, niestety z marnym skutkiem najczęściej. Zawsze napotykałem na jakąś ścianę (być może spowodowaną brakiem umiejętności, choć naprawdę starałem się wszystko robić dokładnie i wszystko się działo jak w tutorialu), a z drugiej strony napotykałem na bugi, takie jak np. brak możliwości fizycznego ustawienia woluminu do szyfrowania podczas instalacji Kubuntu (bug opisany na forach). Mniejsza z tym.
2. Osobne hasło do logowania i brak autologowania.
3. Dodatkowe kontenery w Plasma, tzw. plasma vault o czym było już wspomniane w tym temacie.

(4. Zastanawiam się jeszcze nad ustawieniem w BIOSie hasła do bootowania).

Jedyna wątpliwość jaka mi się w tym momencie nasuwa, to pkt. 1. Mianowicie @pavbaranov wspomniał kiedyś o tym, że w teorii możliwe jest obejście takiej zaszyfrowanej partycji poprzez odpalenie jakiegoś systemu w sesji Live CD. Ale czy wtedy nie jest tak, że nawet w sesji Live dostęp do zaszyfrowanej partycji jest chroniony ustawionym przeze mnie hasłem?

Proszę bardziej doświadczonych Kolegów o wytknięcie błędów i ewentualne uwagi  :)

Zobacz najnowsze wiadomości na forum