Oprogramowanie > Bezpieczeństwo

Szyfrowanie dysku, VeraCrypt

<< < (2/13) > >>

TataPingu:

--- Cytat: pavbaranov w Grudzień 17, 2018, 09:56:46 am ---2. Szyfrowanie jedynie partycji z danymi (czyli zasadniczo /home)
--- Koniec cytatu ---

To raz, ew., zależnie od typu danych (baza, pojedyńcze pliki itd?), jeśli dane nie stanowią "całości" (np. SQL, MariaDB, itp) , a tylko zapisywane są w jakiejś części dysku, to można je lokować na zewnętrznym, szyfrowanym nośniku (USB), a po skończonej pracy, po prostu dobrze schować.


--- Cytat: pavbaranov w Grudzień 17, 2018, 09:56:46 am ---6. Przechowywanie haseł w szyfrowanych plikach.
--- Koniec cytatu ---

Ewentualnie, odpowiednim programem do tego (np. KeePassX)...
- co ważne, wszystkie hasła powinny być fizycznie wydrukowane (KeePassX umożliwia coś takiego) i głęboko schowane.
Miałem już przypadki, że komuś "zapomniało się" hasła...
- to wielki problem...

mark:
Haseł nie chciałbym przechowywać w plikach. Polegam na swojej pamięci plus dodatkowo "analogowo" mam zapisane hasła na kartce papieru, którą dobrze schowałem i myślę że nawet jak ktoś ją znajdzie to się i tak nie domyśli że to są jakieś moje hasła.

Dane które muszę chronić to w większości niewielkie pliki, dokumenty tekstowe, pdf, skany itp. Jest tego mnóstwo ale raczej nic większego niż kilka-kilkadziesiąt MB (jednorazowo). Trzymanie tego na USB odpada bo mnóstwo podróżuję i zależy mi żeby to wszystko mieć przy sobie na dysku laptopa. A szyfrowanie dysku jest mi głównie potrzebne na wypadek np. fizycznej kradzieży samochodu z laptopem w środku.

Okej załóżmy, że przykładowo:
1. Ustawiam hasło w BIOSie,
2. Przy instalacji Ubuntu wybieram opcję szyfrowania,
3. Następnie osobno już z poziomu zainstalowanego systemu szyfruję osobno partycję na której trzymam wrażliwe dane jakimś osobnym programem typu VeraCrypt (BTW, czy to się nie wyklucza wzajemnie z pkt. 2 ? )
4. Nie stosuję automatycznego logowania i za każdym razem wpisuję hasło,
5. O tym co to jest "brak sudoers" to zaraz doczytam  ;D ale domyślam się, że chodzi o coś żebym tylko ja miał uprawnienia administratora.

Co w takim przypadku z danymi logowania do kont pocztowych na Thunderbirdzie itp? Historią przeglądania Firefoxa itp? Czy te dane są w jakikolwiek sposób do odzyskania? Czy ustawienie hasła na BIOSie lub zaszyfrowanie dysku przy instalacji Ubuntu jest wystarczającym zabezpieczeniem?

Pomijam oczywiście kwestię odczytania danych z RAMu bo aż o taki poziom zabezpieczeń mi nie chodzi. Tak jak pisałem - zakładam jedynie, że ktoś kiedyś teoretycznie może mi fizycznie laptopa ukraść. Wolałbym uniknąć sytuacji "panie, mam twój laptop i dane logowania do poczty, płać okup albo zacznę upubliczniać dokumenty które miałeś na dysku i na serwerze poczty". Oczywiście hasło główne do Thunderbirda mam, wpisuję za każdym razem przy pierwszym odpaleniu.

TataPingu:

--- Cytat: mark w Grudzień 17, 2018, 10:50:50 am ---2. Przy instalacji Ubuntu wybieram opcję szyfrowania,
3. Następnie osobno już z poziomu zainstalowanego systemu szyfruję osobno partycję na której trzymam wrażliwe dane jakimś osobnym programem typu VeraCrypt (BTW, czy to się nie wyklucza wzajemnie z pkt. 2 ? )
--- Koniec cytatu ---

Nie nie wyklucza, tylko, że to zostało już "wybrane" w punkcie 2
- możesz natomiast stworzyć np. jakiś archiwalny plik z chronionymi danymi (np. ZIP, RAR itp), który dodatkowo również zabezpieczasz hasłem (nie otworzysz plika bez podania hasła)


--- Cytat: mark w Grudzień 17, 2018, 10:50:50 am ---Co w takim przypadku z danymi logowania do kont pocztowych na Thunderbirdzie itp? Historią przeglądania Firefoxa itp? Czy te dane są w jakikolwiek sposób do odzyskania?
--- Koniec cytatu ---

Te dane możesz bardzo wygodnie likwidować (przed wyłączeniem lapka) za pomocą jakiegoś programu, np. BleachBit (zależnie od konfiguracji, likwiduje dane usera, ale także dane systemowe z poziomu roota)

pavbaranov:

--- Cytat: mark w Grudzień 17, 2018, 10:50:50 am ---Haseł nie chciałbym przechowywać w plikach.
--- Koniec cytatu ---
Oczywiście możesz chcieć. Problem jednak leży w tym, że dowolny (czy to linux, czy to MacOS, czy Windows - nie ma znaczenia) system zdecydowanie nie liczy się z Twoim zdaniem. Gdzieś, w jakimś pliku jakiś program musi owe hasło przechowywać, bowiem inaczej nie ma on jak sprawdzić, czy podawane przez Ciebie hasło jest zgodne z zapamiętanym. Jeśli zależy Ci na maksymalnym zabezpieczeniu komputera, to takie hasło nie może być po prostu zapisane tzw. plain text.


--- Cytat: mark w Grudzień 17, 2018, 10:50:50 am ---Okej załóżmy, że przykładowo:
1. Ustawiam hasło w BIOSie,
2. Przy instalacji Ubuntu wybieram opcję szyfrowania,
3. Następnie osobno już z poziomu zainstalowanego systemu szyfruję osobno partycję na której trzymam wrażliwe dane jakimś osobnym programem typu VeraCrypt (BTW, czy to się nie wyklucza wzajemnie z pkt. 2 ? )
4. Nie stosuję automatycznego logowania i za każdym razem wpisuję hasło,
5. O tym co to jest "brak sudoers" to zaraz doczytam  ;D ale domyślam się, że chodzi o coś żebym tylko ja miał uprawnienia administratora.
--- Koniec cytatu ---
Czegoś nie rozumiem, tj. pkt 3 jest zbędny po zastosowaniu pkt. 2. Jeśli chodziło Ci w tym momencie o nawiązanie do tego, co ja napisałem w pkt. 4 w poprzednim wpisie, to plasma-vault (to jedynie przykład takiego narzędzia) pozwala na stworzenie w Twoim katalogu dodatkowych katalogów, do których dostęp jest szyfrowany dodatkowym jeszcze hasłem, a to, co tam jest pozostaje nieczytelne (i bez dostępu) dla osób, które sforsowały już wcześniejsze zabezpieczenia (czyli mają fizyczny dostęp do komputera/dysku i nadto jeszcze udało im się go uruchomić i otworzyć partycję /home).
Pkt 5 - W linux można stworzyć grupę, która uzyskuje dostęp do "wyższego" poziomu uprawnień bez znajomości haseł wymaganych dla takiego dostępu.


--- Cytat: mark w Grudzień 17, 2018, 10:50:50 am ---Co w takim przypadku z danymi logowania do kont pocztowych na Thunderbirdzie itp? Historią przeglądania Firefoxa itp? Czy te dane są w jakikolwiek sposób do odzyskania?
--- Koniec cytatu ---
Używasz obecnie Windows z szyfrowaniem. Zatem odpowiedź na powyższe brzmi: w obu przypadkach wygląda to tak samo dla każdej platformy, na której uruchamiane są te programy.
Oczywiście możesz te dane w bardzo sporym stopniu ograniczyć.


--- Cytat: mark w Grudzień 17, 2018, 10:50:50 am ---Czy ustawienie hasła na BIOSie lub zaszyfrowanie dysku przy instalacji Ubuntu jest wystarczającym zabezpieczeniem?
--- Koniec cytatu ---
Wcześniej już Ci napisałem: nie istnieje żadne zabezpieczenie, którego nie można sforsować. Istnieje tylko koszt owego sforsowania.
Jeśli przewożone przez Ciebie dane są tak istotne, to najłatwiejszym sposobem pozyskania źródeł haseł dostępu do nich jest... użytkownik, czyli Ty. Przy użyciu mniej lub bardziej łagodnej perswazji zwykle hasła poda.

Jeśli dane te są nieistotne z punktu widzenia złodzieja (czyli kradnie komputer, a nie dane), to czy te dane są, czy nie są szyfrowane jest zwykle bez znaczenia, bo i tak dysk ulegnie skasowaniu.

Być może jednak dane są na tyle istotne, by... w ogóle nie były umieszczane fizycznie na żadnym nośniku, który może być przenoszony. Wówczas po prostu owe pliki, o których wspominasz trzymaj na jakimś serwerze, a komputer traktuj wyłącznie jako możliwość dostępu do tych danych.

mark:

--- Cytat: pavbaranov w Grudzień 17, 2018, 12:14:14 pm ---
Gdzieś, w jakimś pliku jakiś program musi owe hasło przechowywać, bowiem inaczej nie ma on jak sprawdzić, czy podawane przez Ciebie hasło jest zgodne z zapamiętanym. Jeśli zależy Ci na maksymalnym zabezpieczeniu komputera, to takie hasło nie może być po prostu zapisane tzw. plain text.

Wcześniej już Ci napisałem: nie istnieje żadne zabezpieczenie, którego nie można sforsować. Istnieje tylko koszt owego sforsowania.
Jeśli przewożone przez Ciebie dane są tak istotne, to najłatwiejszym sposobem pozyskania źródeł haseł dostępu do nich jest... użytkownik, czyli Ty. Przy użyciu mniej lub bardziej łagodnej perswazji zwykle hasła poda.

Być może jednak dane są na tyle istotne, by... w ogóle nie były umieszczane fizycznie na żadnym nośniku, który może być przenoszony. Wówczas po prostu owe pliki, o których wspominasz trzymaj na jakimś serwerze, a komputer traktuj wyłącznie jako możliwość dostępu do tych danych.

--- Koniec cytatu ---

Już rozumiem o co chodzi z tymi hasłami przechowywanymi w pliku. A więc temat do ogarnięcia, nigdy o tym nie pomyślałem.

Oczywiście, że najsłabszym elementem systemu jest użytkownik, ale raczej dane przeze mnie przechowywane nie są aż na tyle istotne żeby ktoś mnie próbował torturować. Po prostu dmucham na zimne, nie chciałbym żeby ktoś kiedyś wpadł na pomysł że ukradnie mi laptopa a potem jak się domyśli że w mam na dysku wrażliwe dane to będzie szantaż "zacznę wszystko publikować jak nie zapłacisz". Wolałbym wtedy spać spokojnie, że taki złodziej nic nie opublikuje bo wszystko było dobrze zaszyfrowane.

Myślę nad tym wszystkim i w trasie wpadłem na pomysł, żeby po prostu wozić ze sobą na pendrive Linuksa i najważniejsze pliki w osobnym folderze. Wtedy taki nośnik mógłby mieć np. zupełnie luźno wgrany instalator powiedzmy Ubuntu a do tego osobny zaszyfrowany kontener z wszystkimi istotnymi plikami których potrzebuję. Laptopa używałbym typowo jako maszyny do uruchamiania każdorazowo Linuxa w sesji Live a po wszystkim wypinał nośnik i po sprawie. Pewnie Ameryki nie odkryłem  ;D ale nie wpadłem na to przedtem. Aczkolwiek jest to rozwiązanie odrobinę niewygodne.

Pojawiają się dwie podstawowe niedogodności:
1. Rozumiem, że za każdym razem musiałbym od nowa "konfigurować" np. Thunderbirda po załadowaniu sesji live, od nowa wpisywać wszystkie hasła itd. Trochę by z tym było roboty bo używam kilku kont e-mail (2 służbowe plus prywatne). Chyba, że dałoby się stworzyć jakiś plik w którym przechowywane byłyby ustawienia Thunderbirda przykładowo i wszystkie hasłą? Oczywiście plik zaszyfrowany, który byłby montowany razem ze startem systemu.
2. Za każdym razem trzeba by osobno montować ten zaszyfrowany kontener.

Ubuntu podaję tutaj przykładowo, mogłaby być jakakolwiek inna dystrybucja która miałaby na pokładzie od razu potrzebne mi programy czyli Libre Office, Firefox i jakiś program do montowania zaszyfrowanych woluminów.

Osobno oprócz tego mógłby być na laptopie wgrany na dysku "cywilny" system, ktorego bym używał tylko do oglądania filmów, grania itp.

Chciałbym maksymalnie zgłębić się w temat szyfrowania pod Linuksem itp. Muszę poszukać, tylko od czego tu zacząć...

Nawigacja

[0] Indeks wiadomości

[#] Następna strona

[*] Poprzednia strona

Idź do wersji pełnej