Linuxiarze.pl Forum

Witam serdecznie,

Jestem laikiem jeśli chodzi o kwestie Linuksowe, jednak w miarę wolnego czasu staram się czytać na ten temat i planuję w najbliższym czasie definitywną przesiadkę z Windowsa na Linuxa, w związku z planowanym zakupem nowego laptopa (kupię model bez systemu operacyjnego). Prawdopodobnie zdecyduję się później na postawienie Ubuntu, ale kwestia konkretnej dystrybucji jest na razie otwarta. Niestety, nie udało mi się nigdzie znaleźć wyczerpujących odpowiedzi na wszystkie nurtujące mnie pytania dotyczące szyfrowania dysku i szyfrowania całego systemu.

Obecnie używam Win7, a jako że prowadzę jednoosobową działalność gospodarczą i przechowuję na dysku wrażliwe dane klientów, to od dawna używałem programu VeraCrypt do szyfrowania całego dysku. Kiedyś stosowałem rozwiązanie polegające na wybraniu opcji "szyfrowanie całego dysku" i używałem jednego hasła przy rozruchu komputera, a ostatnio postanowiłem pójść dalej aby jeszcze bardziej się zabezpieczyć.

Mianowicie, obecnie podzieliłem dysk na 2 partycje, z czego na jednej jest zainstalowany tylko Win7 i programy, natomiast wszystkie wrażliwe pliki, dokumenty itp. trzymam na osobnej partycji. Partycja systemowa jest szyfrowana jednym hasłem (które wpisuję przy rozruchu, bez jego wpisania komp wygląda na zawieszony), natomiast partycja nr 2 z danymi i plikami jest szyfrowana osobnym hasłem i montuje się automatycznie dopiero przy logowaniu i po wpisaniu osobnego hasła. Czuję się bezpiecznie  8)

W związku z planowaną przesiadką na Linuxa pojawiają się następujące pytania:
- czy podobne rozwiązania będę mógł zastosować pod linuksem? (będzie to jedyny system na dysku, bez Windowsa),
- czy używając Linuksa da się zaszyfrować cały dysk tak jak leci?
- czy da się zaszyfrować dysk z Linuksem w ten sposób, żeby bez wpisania hasła przy rozruchu komputera system wyglądał na zawieszony? (chodzi mi o uzyskanie efektu takiego jak mam teraz).

Nie upieram się na korzystanie z VeraCrypt, choć wiem że istnieje wersja pod Linuksa. Może być jakikolwiek inny program, byle zapewniał podobny poziom szyfrowania i bezpieczeństwa.

Domyślam się, że odrębną partycję z plikami będę sobie mógł zaszyfrować, ewentualnie stworzyć jakiś monstrualny kontener i tam trzymać wrażliwe pliki. Ale chciałbym też mieć zaszyfrowany system operacyjny i wszystkie programy żeby nikt nie mógł uzyskać dostępu także do plików systemowych, danych logowania do kont pocztowych itp. W mojej opinii zwykłe hasło używane przy logowaniu do profilu (nie wiem czy dobrze to nazywam ale chyba wiadomo o co mi chodzi) nie jest odpowiednim zabezpieczeniem.

Będę wdzięczny za pomoc, pozdrawiam

Cytat: mark w Grudzień 16, 2018, 06:39:46 PM
- czy podobne rozwiązania będę mógł zastosować pod linuksem? (będzie to jedyny system na dysku, bez Windowsa),

Tak

Cytat: mark w Grudzień 16, 2018, 06:39:46 PM
- czy używając Linuksa da się zaszyfrować cały dysk tak jak leci?

Tak
- zależnie od wybranego systemu, ale właściwie przy większości dystrybucji, podczas instalacji systemu  bądziesz pytany, czy chcesz zaszyfrować HDD

Cytat: mark w Grudzień 16, 2018, 06:39:46 PM
- czy da się zaszyfrować dysk z Linuksem w ten sposób, żeby bez wpisania hasła przy rozruchu komputera system wyglądał na zawieszony? (chodzi mi o uzyskanie efektu takiego jak mam teraz).

Nie wiem, jaki masz teraz "efekt" (nie używam szyfrowanej windy), ale coś podobnego można uzyskać na kilka sposobów...
- przecież możesz już w BIOSIE nastawić hasło, tak, że systemu wogóle nie da się bez niego wystartować...

Cytat: mark w Grudzień 16, 2018, 06:39:46 PM
Nie upieram się na korzystanie z VeraCrypt, choć wiem że istnieje wersja pod Linuksa. Może być jakikolwiek inny program, byle zapewniał podobny poziom szyfrowania i bezpieczeństwa.

Niezależnie od tego na jakie zabezpieczenia się zdecydujesz, na pewno OS linuks będzie (może być) o wiele bezpieczniejszym systemem..

Cytat: mark w Grudzień 16, 2018, 06:39:46 PM
Domyślam się, że odrębną partycję z plikami będę sobie mógł zaszyfrować,.... itd

Może być kilka sposobów, czy rozwiązań, właściwie, to można uzyskać wszystko, co się chce..
- w pierwszym rzędzie trzeba jedynie to doprecyzować...

Jak na razie, to nawet niewiemy na jaki linuks się zdecydujesz

Rozumiem, dziękuję za odpowiedź. Pozwól, że w takim razie zadam kolejne pytania  ;D

Szyfrowanie przy instalacji systemu (dystrybucji Linuksa). Na czym to dokładnie polega? Jest to szyfrowanie przy użyciu jakiegoś szyfru blokowego, np. typu AES lub Serpent  czy jak?

Obecnie "efekt" jaki mam na Win7 i o którym pisałem polega na tym, że VeraCrypt zaszyfrowało mi partycję systemową w całości. Jak odpalam laptopa to może pojawić się tylko migający "_" lub np. losowy tekst typu "system not found" i do czasu wpisania hasła nic nie wystartuje dalej.

Gwoli wyjaśnienia - zależy mi nie tylko na tym, żeby uruchomienie systemu było niemożliwe bez wpisania hasła, ale żeby jego odpalenie nawet po wyjęciu dysku z laptopa, podłączenia go do innej maszyny itp było niemożliwe. Aby nie było możliwe jakiekolwiek "obejście" zabezpieczenia z BIOSa i uzyskanie danych. Nie wiem czy dobrze się wysławiam.

Tak jak pisałem, kwestia wyboru konkretnej dystrybucji Linuksa jest na razie otwarta. Z tego co czytałem to najprawdopodobniej zdecyduję się na Ubuntu, ale jeśli ktoś mi napisze "koleś, jeśli głównie zależy Ci na bezpieczeństwie i szyfrowaniu to olej Ubuntu i bierz Fedorę" to nie ma problemu. Sprawa jest otwarta, między innymi dlatego założyłem ten temat.

Tak jak pisałem, jestem laikiem a zależy mi na maksymalnym bezpieczeństwie i świadomości, że wszystkie moje partycje i cały dysk wraz z systemem są niemożliwe do odszyfrowania po ewentualnej kradzieży laptopa (w granicach rozsądku, nie trzymam na laptopie kodów nuklearnych ale jednak nie chciałby żeby ktoś mi zarzucił kiedyś że niedostatecznie chroniłem wrażliwe dane swoich klientów <aluminiowa czapka mode on>).

Jeśli ktoś miałby jakieś publikacje/tutoriale/poradniki na temat szyfrowania dysków pod Linuksem to będę wdzięczny za podesłanie linku. Co, gdzie, jak i w jakim trybie szyfrować.

Jeśli są potrzebne jakiekolwiek dodatkowe informacje, to oczywiście wszystko uściślę i wyjaśnię. Liczę na pomoc forumowiczów w kwestii którą poruszyłem i będę wdzięczny za wszystkie wskazówki.

Cytat: mark w Grudzień 17, 2018, 07:57:00 AM
Jeśli ktoś miałby jakieś publikacje/tutoriale/poradniki na temat szyfrowania dysków pod Linuksem to będę wdzięczny za podesłanie linku. Co, gdzie, jak i w jakim trybie szyfrować.

No właśnie, to bardzo szeroki temat, nie sposób streścić tego w kilku zdaniach...
- ale widzę, że jesteś rozgarniętym człowiekiem, wiesz o co chodzi i czego ew. szukać.
Na pewno sobie poradzisz

Osobiście nie znam polskiej literatury, poradników itp. na ten temat (żyję poza Krajem), na pewno ktoś inny Ci poradzi. W sieci również znajdziesz sporo informacji na ten temat.

Jedno, co od razu Ci polecę, to np. wirtualne maszyny (np. VirtualBox). Na takich maszynach możesz spokojnie "poćwiczyć"

IMO - Z Twoimi założeniami sens ma:
1. Założenie hasła BIOS - teoretycznie taki komputer nie odpali się bez podania hasła BIOSu wcale. Nie ma znaczenia, czy będziesz chciał go odpalić z wewnętrznego dysku, CD/DVD-ROM, czy z jakiegokolwiek dysku zewnętrznego (np. pendrive).
2. Szyfrowanie jedynie partycji z danymi (czyli zasadniczo /home). Dlaczego? Bo szyfrowanie partycji, na której znajdują się pliki systemowe, programy itp., jeśli już ktoś odpalił system w ogóle (czyli przeszedł pkt. 1) nie ma sensu, bo wówczas można nawet taką zaszyfrowaną partycję systemową ominąć odpalając system z zewnętrznego OS. Nadto szyfrowanie zawsze w jakiś sposób jest narzutem na wydajność całego systemu. To, czy będziesz miał np. libreoffice na partycji zaszyfrowanej, czy nie - nie ma natomiast żadnego znaczenia.
3. Obowiązkowo niestosowanie tzw. automatycznego logowania - system po raz kolejny, zanim wejdziesz do niego przywita Cię prośbą o podanie hasła użytkownika.
4. Można jeszcze rozważyć, czy określone dokumenty, czy katalogi nie zabezpieczyć raz jeszcze stosując np. rozwiązania takie jak w Plasma pn. plasma-vault.
5. Każde ze stosowanych haseł - losowe i każde inne od poprzedniego.
6. Przechowywanie haseł w szyfrowanych plikach.
7. Brak sudoers.

Tak przygotowany dysk będzie niezmiernie trudny do złamania, albo trwać to będzie bardzo długo. Niemniej jednak niemal każde zabezpieczenie tego typu - niezależnie czy to Win7, czy to linux - jest do sforsowania. Kwestia jedynie niezbędnych nakładów (kosztów, czasu), w jakim jakieś narzędzie (inny komputer) będzie w stanie odkryć w jaki sposób informacje zostały zaszyfrowane.

Cytat: pavbaranov w Grudzień 17, 2018, 09:56:46 AM
2. Szyfrowanie jedynie partycji z danymi (czyli zasadniczo /home)

To raz, ew., zależnie od typu danych (baza, pojedyńcze pliki itd?), jeśli dane nie stanowią "całości" (np. SQL, MariaDB, itp) , a tylko zapisywane są w jakiejś części dysku, to można je lokować na zewnętrznym, szyfrowanym nośniku (USB), a po skończonej pracy, po prostu dobrze schować.

Cytat: pavbaranov w Grudzień 17, 2018, 09:56:46 AM
6. Przechowywanie haseł w szyfrowanych plikach.

Ewentualnie, odpowiednim programem do tego (np. KeePassX)...
- co ważne, wszystkie hasła powinny być fizycznie wydrukowane (KeePassX umożliwia coś takiego) i głęboko schowane.
Miałem już przypadki, że komuś "zapomniało się" hasła...
- to wielki problem...

Haseł nie chciałbym przechowywać w plikach. Polegam na swojej pamięci plus dodatkowo "analogowo" mam zapisane hasła na kartce papieru, którą dobrze schowałem i myślę że nawet jak ktoś ją znajdzie to się i tak nie domyśli że to są jakieś moje hasła.

Dane które muszę chronić to w większości niewielkie pliki, dokumenty tekstowe, pdf, skany itp. Jest tego mnóstwo ale raczej nic większego niż kilka-kilkadziesiąt MB (jednorazowo). Trzymanie tego na USB odpada bo mnóstwo podróżuję i zależy mi żeby to wszystko mieć przy sobie na dysku laptopa. A szyfrowanie dysku jest mi głównie potrzebne na wypadek np. fizycznej kradzieży samochodu z laptopem w środku.

Okej załóżmy, że przykładowo:
1. Ustawiam hasło w BIOSie,
2. Przy instalacji Ubuntu wybieram opcję szyfrowania,
3. Następnie osobno już z poziomu zainstalowanego systemu szyfruję osobno partycję na której trzymam wrażliwe dane jakimś osobnym programem typu VeraCrypt (BTW, czy to się nie wyklucza wzajemnie z pkt. 2 ? )
4. Nie stosuję automatycznego logowania i za każdym razem wpisuję hasło,
5. O tym co to jest "brak sudoers" to zaraz doczytam  ;D ale domyślam się, że chodzi o coś żebym tylko ja miał uprawnienia administratora.

Co w takim przypadku z danymi logowania do kont pocztowych na Thunderbirdzie itp? Historią przeglądania Firefoxa itp? Czy te dane są w jakikolwiek sposób do odzyskania? Czy ustawienie hasła na BIOSie lub zaszyfrowanie dysku przy instalacji Ubuntu jest wystarczającym zabezpieczeniem?

Pomijam oczywiście kwestię odczytania danych z RAMu bo aż o taki poziom zabezpieczeń mi nie chodzi. Tak jak pisałem - zakładam jedynie, że ktoś kiedyś teoretycznie może mi fizycznie laptopa ukraść. Wolałbym uniknąć sytuacji "panie, mam twój laptop i dane logowania do poczty, płać okup albo zacznę upubliczniać dokumenty które miałeś na dysku i na serwerze poczty". Oczywiście hasło główne do Thunderbirda mam, wpisuję za każdym razem przy pierwszym odpaleniu.

Cytat: mark w Grudzień 17, 2018, 10:50:50 AM
2. Przy instalacji Ubuntu wybieram opcję szyfrowania,
3. Następnie osobno już z poziomu zainstalowanego systemu szyfruję osobno partycję na której trzymam wrażliwe dane jakimś osobnym programem typu VeraCrypt (BTW, czy to się nie wyklucza wzajemnie z pkt. 2 ? )

Nie nie wyklucza, tylko, że to zostało już "wybrane" w punkcie 2
- możesz natomiast stworzyć np. jakiś archiwalny plik z chronionymi danymi (np. ZIP, RAR itp), który dodatkowo również zabezpieczasz hasłem (nie otworzysz plika bez podania hasła)

Cytat: mark w Grudzień 17, 2018, 10:50:50 AM
Co w takim przypadku z danymi logowania do kont pocztowych na Thunderbirdzie itp? Historią przeglądania Firefoxa itp? Czy te dane są w jakikolwiek sposób do odzyskania?

Te dane możesz bardzo wygodnie likwidować (przed wyłączeniem lapka) za pomocą jakiegoś programu, np. BleachBit (zależnie od konfiguracji, likwiduje dane usera, ale także dane systemowe z poziomu roota)

Cytat: mark w Grudzień 17, 2018, 10:50:50 AM
Haseł nie chciałbym przechowywać w plikach.

Oczywiście możesz chcieć. Problem jednak leży w tym, że dowolny (czy to linux, czy to MacOS, czy Windows - nie ma znaczenia) system zdecydowanie nie liczy się z Twoim zdaniem. Gdzieś, w jakimś pliku jakiś program musi owe hasło przechowywać, bowiem inaczej nie ma on jak sprawdzić, czy podawane przez Ciebie hasło jest zgodne z zapamiętanym. Jeśli zależy Ci na maksymalnym zabezpieczeniu komputera, to takie hasło nie może być po prostu zapisane tzw. plain text.

Cytat: mark w Grudzień 17, 2018, 10:50:50 AM
Okej załóżmy, że przykładowo:
1. Ustawiam hasło w BIOSie,
2. Przy instalacji Ubuntu wybieram opcję szyfrowania,
3. Następnie osobno już z poziomu zainstalowanego systemu szyfruję osobno partycję na której trzymam wrażliwe dane jakimś osobnym programem typu VeraCrypt (BTW, czy to się nie wyklucza wzajemnie z pkt. 2 ? )
4. Nie stosuję automatycznego logowania i za każdym razem wpisuję hasło,
5. O tym co to jest "brak sudoers" to zaraz doczytam  ;D ale domyślam się, że chodzi o coś żebym tylko ja miał uprawnienia administratora.

Czegoś nie rozumiem, tj. pkt 3 jest zbędny po zastosowaniu pkt. 2. Jeśli chodziło Ci w tym momencie o nawiązanie do tego, co ja napisałem w pkt. 4 w poprzednim wpisie, to plasma-vault (to jedynie przykład takiego narzędzia) pozwala na stworzenie w Twoim katalogu dodatkowych katalogów, do których dostęp jest szyfrowany dodatkowym jeszcze hasłem, a to, co tam jest pozostaje nieczytelne (i bez dostępu) dla osób, które sforsowały już wcześniejsze zabezpieczenia (czyli mają fizyczny dostęp do komputera/dysku i nadto jeszcze udało im się go uruchomić i otworzyć partycję /home).
Pkt 5 - W linux można stworzyć grupę, która uzyskuje dostęp do "wyższego" poziomu uprawnień bez znajomości haseł wymaganych dla takiego dostępu.

Cytat: mark w Grudzień 17, 2018, 10:50:50 AM
Co w takim przypadku z danymi logowania do kont pocztowych na Thunderbirdzie itp? Historią przeglądania Firefoxa itp? Czy te dane są w jakikolwiek sposób do odzyskania?

Używasz obecnie Windows z szyfrowaniem. Zatem odpowiedź na powyższe brzmi: w obu przypadkach wygląda to tak samo dla każdej platformy, na której uruchamiane są te programy.
Oczywiście możesz te dane w bardzo sporym stopniu ograniczyć.

Cytat: mark w Grudzień 17, 2018, 10:50:50 AM
Czy ustawienie hasła na BIOSie lub zaszyfrowanie dysku przy instalacji Ubuntu jest wystarczającym zabezpieczeniem?

Wcześniej już Ci napisałem: nie istnieje żadne zabezpieczenie, którego nie można sforsować. Istnieje tylko koszt owego sforsowania.
Jeśli przewożone przez Ciebie dane są tak istotne, to najłatwiejszym sposobem pozyskania źródeł haseł dostępu do nich jest... użytkownik, czyli Ty. Przy użyciu mniej lub bardziej łagodnej perswazji zwykle hasła poda.

Jeśli dane te są nieistotne z punktu widzenia złodzieja (czyli kradnie komputer, a nie dane), to czy te dane są, czy nie są szyfrowane jest zwykle bez znaczenia, bo i tak dysk ulegnie skasowaniu.

Być może jednak dane są na tyle istotne, by... w ogóle nie były umieszczane fizycznie na żadnym nośniku, który może być przenoszony. Wówczas po prostu owe pliki, o których wspominasz trzymaj na jakimś serwerze, a komputer traktuj wyłącznie jako możliwość dostępu do tych danych.

Cytat: pavbaranov w Grudzień 17, 2018, 12:14:14 PM

Gdzieś, w jakimś pliku jakiś program musi owe hasło przechowywać, bowiem inaczej nie ma on jak sprawdzić, czy podawane przez Ciebie hasło jest zgodne z zapamiętanym. Jeśli zależy Ci na maksymalnym zabezpieczeniu komputera, to takie hasło nie może być po prostu zapisane tzw. plain text.

Wcześniej już Ci napisałem: nie istnieje żadne zabezpieczenie, którego nie można sforsować. Istnieje tylko koszt owego sforsowania.
Jeśli przewożone przez Ciebie dane są tak istotne, to najłatwiejszym sposobem pozyskania źródeł haseł dostępu do nich jest... użytkownik, czyli Ty. Przy użyciu mniej lub bardziej łagodnej perswazji zwykle hasła poda.

Być może jednak dane są na tyle istotne, by... w ogóle nie były umieszczane fizycznie na żadnym nośniku, który może być przenoszony. Wówczas po prostu owe pliki, o których wspominasz trzymaj na jakimś serwerze, a komputer traktuj wyłącznie jako możliwość dostępu do tych danych.

Już rozumiem o co chodzi z tymi hasłami przechowywanymi w pliku. A więc temat do ogarnięcia, nigdy o tym nie pomyślałem.

Oczywiście, że najsłabszym elementem systemu jest użytkownik, ale raczej dane przeze mnie przechowywane nie są aż na tyle istotne żeby ktoś mnie próbował torturować. Po prostu dmucham na zimne, nie chciałbym żeby ktoś kiedyś wpadł na pomysł że ukradnie mi laptopa a potem jak się domyśli że w mam na dysku wrażliwe dane to będzie szantaż "zacznę wszystko publikować jak nie zapłacisz". Wolałbym wtedy spać spokojnie, że taki złodziej nic nie opublikuje bo wszystko było dobrze zaszyfrowane.

Myślę nad tym wszystkim i w trasie wpadłem na pomysł, żeby po prostu wozić ze sobą na pendrive Linuksa i najważniejsze pliki w osobnym folderze. Wtedy taki nośnik mógłby mieć np. zupełnie luźno wgrany instalator powiedzmy Ubuntu a do tego osobny zaszyfrowany kontener z wszystkimi istotnymi plikami których potrzebuję. Laptopa używałbym typowo jako maszyny do uruchamiania każdorazowo Linuxa w sesji Live a po wszystkim wypinał nośnik i po sprawie. Pewnie Ameryki nie odkryłem  ;D ale nie wpadłem na to przedtem. Aczkolwiek jest to rozwiązanie odrobinę niewygodne.

Pojawiają się dwie podstawowe niedogodności:
1. Rozumiem, że za każdym razem musiałbym od nowa "konfigurować" np. Thunderbirda po załadowaniu sesji live, od nowa wpisywać wszystkie hasła itd. Trochę by z tym było roboty bo używam kilku kont e-mail (2 służbowe plus prywatne). Chyba, że dałoby się stworzyć jakiś plik w którym przechowywane byłyby ustawienia Thunderbirda przykładowo i wszystkie hasłą? Oczywiście plik zaszyfrowany, który byłby montowany razem ze startem systemu.
2. Za każdym razem trzeba by osobno montować ten zaszyfrowany kontener.

Ubuntu podaję tutaj przykładowo, mogłaby być jakakolwiek inna dystrybucja która miałaby na pokładzie od razu potrzebne mi programy czyli Libre Office, Firefox i jakiś program do montowania zaszyfrowanych woluminów.

Osobno oprócz tego mógłby być na laptopie wgrany na dysku "cywilny" system, ktorego bym używał tylko do oglądania filmów, grania itp.

Chciałbym maksymalnie zgłębić się w temat szyfrowania pod Linuksem itp. Muszę poszukać, tylko od czego tu zacząć...

Dla chcącego - nic trudnego. Możesz np. mieć linuksa na pendrive (ba, nawet zaszyfrowanego), takiego, który stanowi sam w sobie system uruchamiany z pendrive'a. Dodatkowo komputer może być wyłącznie z zaszyfrowanym dyskiem itd., który będzie się montować, wyłącznie, gdy podłączysz ów pendrive (po wcześniejszym sforsowaniu zabezpieczeń w BIOS). Itd. itp.
Dla chcącego - nic trudnego, ale - szczerze - zamiast sięgać po proste, sprawdzone rozwiązania (tak, w zależności od zdefiniowanych potrzeb różna będzie kwota, jaką na to trzeba będzie przeznaczyć), zaczynamy się ocierać o paranoję (i proszę nie przypisywać mi oceny Twojego stanu zdrowia, a wyłącznie potoczne znaczenie, że prościej, lepiej i skuteczniej może być inaczej).

Dokładnie, chodzi też o to, żeby nie przekroczyć tej cienkiej granicy pomiędzy bezpieczeństwem a paranoją, oraz aby zbytnio nie poświęcać wygody użytkowania na rzecz niepotrzebnie intensywnego bezpieczeństwa/szyfrowania.

No nic, muszę się jeszcze wczytać w temat, na chwilę obecną czuję swój brak wiedzy i źle mi z tym. Pewnie w miarę czytania jeszcze nasuną mi się kolejne pytania więc pozwolę sobie znowu je tutaj wrzucić. Tymczasem jeśli komuś by się coś nasunęło, jeśli ktoś z forumowiczów mógłby polecić jakieś opracowania na temat bezpieczeństwa Linuksa, szyfrowania dysków i programów do tego stworzonych, to będę wdzięczny za podesłanie linków.

Dziękuję i pozdrawiam

Dla celu, który prawdopodobnie chcesz osiągnąć, rozwiązanie proste i wystarczające: hasło na BIOS + brak autologowania + szyfrowanie dysku (w zasadzie istota to partycja /home, ale np. jeśli zaszyfrujesz i systemową i domową, to system 2x poprosi Cię o odszyfrowanie każdej z partycji - przy różnych hasłach, dodatkowe zabezpieczenie).

Thanks man.

Pewnie tak zrobię, przynajmniej na początek a później najwyżej będą eksperymenty. Piszesz o szyfrowaniu partycji home i partycji systemowej - chodzi Ci o szyfrowanie przy stawianiu Linuksa czy później osobno jakimś programem? Czy w ogóle bez różnicy kiedy to zrobię bo efekt będzie ten sam?

W linux możesz sobie postawić tyle partycji ile chcesz. Dość standardowo w przypadku dekstopów stawiasz dwie (ewentualnie trzecia do swap). Z czego pierwsza to tzw. systemowa, a druga to domowa. Jeśli się decydujesz na takie rozwiązanie to masz:
1. jeden HDD (powiedzmy /dev/sda),
2. partycję systemową (powiedzmy /dev/sda1),
3. partycję domową (powiedzmy /dev/sda2).
Twoje dane są przechowywane na /dev/sda2. Różne inne rzeczy, w tym m.in. programy, logi systemowe itd. na /dev/sda1. Jeśli zaszyfrujesz obie, to podczas startu systemu będzie on od Ciebie wymagać hasła do odszyfrowania każdej partycji oddzielnie. Dwa różne hasła - więcej problemów dla kogoś przy próbie włamania.
I tylko o to mi chodzi.
Kiedy szyfrować partycje - wybór należy do Ciebie, ale wygodniej podczas instalacji.
Przy czym uwaga - dobrze sobie zachowaj te informacje, bo można się bardzo łatwo pozbawić dostępu do własnych plików. A potem płacz i... kupa pieniędzy na doprowadzenie do dostępu do takich zaszyfrowanych dysków/informacji.

Cytat: pavbaranov w Grudzień 17, 2018, 08:26:27 PM
Jeśli się decydujesz na takie rozwiązanie to masz:
1. jeden HDD (powiedzmy /dev/sda),
2. partycję systemową (powiedzmy /dev/sda1),
3. partycję domową (powiedzmy /dev/sda2).
Twoje dane są przechowywane na /dev/sda2. Różne inne rzeczy, w tym m.in. programy, logi systemowe itd. na /dev/sda1.

Nie wiem czy dobrze zrozumiałem - wtedy powstają de facto 3 partycje?
/dev/sda
/dev/sda1
/dev/sda2

Ale szyfruję tylko sda1 i sda2 czyli systemową i tą na pliki? Co wtedy jest na tej /dev/sda ?

ps. właśnie na wypadek jakiejś kaszany/ utraty hasła/ fizycznego uszkodzenia dysku w laptopie/kradzieży laptopa robię co jakiś czas kopię zapasową wszystkich istotnych plików na zewnętrznym HDD podłączanym przez USB. Mam tam kontener zaszyfrowany VeraCryptem.

Źle zrozumiałeś - /dev/sda to urządzenie (dysk), pozostałe (sda1, sda2) to partycje. Partycja to nie dysk.

@pavbaranov: Twoje ostatnie zdanie to jakby podsumowanie tego watku "kupa pieniedzy za dostep do zaszyfrowanej partycji". Mozna miec tylko nadzieje, ze potencjalny zlodziej nie bedzie mial az tylu pieniedzy. Ale to zdanie moze w koncu uswiadomi OP iluzorycznosc tak rozumianego zabezpieczenia danych przed niepowolanym dostepem.

@hobbysta - Moje prywatne zdanie jest następujące: wiele hałasu o nic. Osobiście nie szyfruję niczego. Jednocześnie nie trzymam na komputerze danych wrażliwych. Jeśli takowe mam - przechowuję je tam, gdzie nikt się ich nie spodziewa znaleźć i podłączam wyłącznie wówczas, gdy chcę z nich korzystać. Jakiekolwiek szyfrowanie tego typu na urządzeniach przenośnych/przewoźnych jest wg mnie kompletnie pozbawione sensu i to nie z tej przyczyny, że można taki szyfr złamać, ale przede wszystkim z tej przyczyny, że wrażliwe dane nie mają się prawa znaleźć tam, gdzie w ogóle ktokolwiek niepowołany, w dowolny sposób, może mieć do nich dostęp.

Zresztą już wietrzę niezłą zabawę, gdy @mark zaszyfruje wszystko na maksa, a następnie coś mu się podzieje z instalacją linuksa (wszak z innego wątku, a poniekąd i tego, wynika, że dopiero ma zamiar przesiąść się na tę platformę). Już widzę, jak ktokolwiek, przy tak nadmiernie skomplikowanej instalce będzie mu w stanie podnieść taki system, który najzwyczajniej mu padnie.

Cytat: pavbaranov w Grudzień 17, 2018, 08:52:22 PM
Już widzę, jak ktokolwiek, przy tak nadmiernie skomplikowanej instalce będzie mu w stanie podnieść taki system, który najzwyczajniej mu padnie.

Dlatego, w którymś miejscu wspominałem mu o możliwości zabezpieczenia hasłem tylko pojedyńczego pliku-archiwu w którym można umieścić chronione dane...
- z takim plikiem można robić co się komu rzewnie podoba...
I to niezależnie od funkcjonującego systemu, czy w ogóle platformy...

A sama jakość zabezpieczenia ?
- no cóż, sami Koledzy wiecie, jaka ona jest...

Dlatego Panowie jak wspomniałem powyżej, co jakiś czas robię kopię zapasową wszystkiego na osobny dysk ze zwykłym zaszyfrowanym kontenerem. A w padnięcie dwóch niezależnych dysków w jednym czasie nie wierzę. Jak mi z kolei padnie Linuks albo cały laptop szlag trafi (ktoś go ukradnie, zaleję go wodą, ulegnie zniszczeniu w wypadku samochodowym) to płakać nie będę. Dalej będę mieć kopię zapasową na innym nośniku. A to czy mi system padnie bo nieumiejętnie skonfiguruję Linuksa czy też ktoś fizycznie ukradnie dysk nie ma znaczenia bo efekt ten sam - brak dostępu do plików.

Utraty samego dostępu się nie boję. Bardziej boję się wykorzystania tych danych przez kogoś innego. Nie chodzi mi o zabezpieczenie dysku na poziomie nie wiadomo jakim, bo myślę że FBI czy inne NASA się mną nie interesuje. Chodzi o zabezpieczenie takie, że domorosły złodziej-informatyk który wejdzie w posiadanie mojego laptopa stwierdzi, że prościej go sprzedać na części niż próbować rozszyfrować moje pliki lub hasła dostępu do poczty itp.

Cytat: TataPingu w Grudzień 17, 2018, 09:00:56 PM

Cytat: pavbaranov w Grudzień 17, 2018, 08:52:22 PM
Już widzę, jak ktokolwiek, przy tak nadmiernie skomplikowanej instalce będzie mu w stanie podnieść taki system, który najzwyczajniej mu padnie.

Dlatego, w ktąrymś miejscu wspominałem mu o możliwości zabezpieczenia hasłem tylko pojedyńczego pliku-archiwu w którym można umieścić chronione dane...
- z takim plikiem można robić co się komu rzewnie podoba...
I to niezależnie od funkcjonującego systemu, czy w ogóle platformy...

Czyli rozumiem, że chodzi tutaj o stworzenie zaszyfrowanego kontenera do którego wrzucam wszystkie wrażliwe pliki. Coś takiego mam obecnie na zewnętrznym HDD.

Pytanie z innej beczki - jakie jest Wasze zdanie na temat trzymania wszystkiego w chmurze? Co gdybym olał szyfrowanie dysków i wykupił kilkanaście GB dostępu i wszystko trzymał tam?

Załóż konto na mega.nz. Darmowo 50GB. Możesz powiększyć. Dostęp szyfrowany. Oczywiście musisz się logować, podając login i hasło. "Firma", która to udostępnia nie przechowuje haseł dostępu, nie skanuje tego w żaden sposób (przynajmniej wg zapewnień).
Możesz też skorzystać z innych komercyjnych rozwiązań oferujących mniej lub bardziej zaawansowany system logowania itp.
Przy odpowiednich środkach, możesz sobie postawić nawet własny serwer, na którym trzymał będziesz swoje pliki.
Przy odpowiednio dobranej chmurze (a w zasadzie to chodzi o dostęp z komputera do odległych plików), to jedyne rozwiązanie, które jeśli dodatkowo w komputerze nie istnieją żadne ułatwienia w uzyskaniu do niej dostępu - w miarę gwarantuje, że utrata w dowolny sposób komputera lub dysku nie da niepowołanej osobie dostępu do danych, które chcesz chronić.

Podobnie można rozwiązać też "problem" np. z dostępem do kont pocztowych, zakładając je w którejś z firm oferujących zdecydowanie większe bezpieczeństwo dostępu niż najpopularniejsze rozwiązania.

Ogólna zasada bezpieczeństwa przechowywania danych: nie mają one prawa znajdować się na tym samym urządzeniu, które służyć może do ich odczytu. Dopiero potem możemy się zastanawiać co dalej oraz które z dostępnych rozwiązań dla fazy pierwszej wybrać.

Na tym portalu co podesłałeś za 5 euro miesięcznie można mieć 200GB przestrzeni... 20zł na miesiąc za cenę większego bezpieczeństwa? Może warto się w to pobawić. Plus dostęp do plików z każdego miejsca na świecie.

Uwaga laik pyta: a co z wyciekami danych z chmury? Czytało się o takich przypadkach przecież.

Zmiana tematu. W starej firmie z którą współpracowałem wszystkie wrażliwe pliki trzymali na serwerze, który był w piwnicy pod kluczem (w tym samym budynku). Pracownicy mieli dostęp do serwera za pośrednictwem stacjonarnych PC stojących piętro wyżej, do których logowało się tylko przy wykorzystaniu hasła wpisywanego przy logowaniu do Windowsa. Nic więcej. Później bez podawania jakichkolwiek dodatkowych haseł mieli dostęp do całego serwera bo był utworzony skrót na pulpicie. Dla mnie i innych zwykłych szaraków nieobeznanych z tematem to była jakaś abstrakcja. Przecież wystarczyłoby zwykłe włamanie do siedziby i bez problemu można było mieć dostęp do całego serwera i w 15min skopiować wszystkie dane. Albo w jakiś sposób przejąć "zdalnie" maszynę przez internet (wszystkie kompy były na stałe podpięte do internetu) i wszystko miało się jak na tacy. Oczywiście, był jakiś firewall i antywirus, ale nic szczególnego, bardzo podstawowe programiki.

Kiedyś była akcja, że sekretarka otworzyła jakiś syf z maila i momentalnie zaczęło jej szyfrować pliki na dysku komputera. Domyślam się, że gdyby nie to że dane były na serwerze, to pewnie zaszyfrowałoby jej zdalnie cały dysk. A później pewnie uprzejma prośba o wpłatę na konto, aby uzyskać hasło.

Widze jedno ale: czy klienci zgodza sie aby dane ich dotyczace byly umieszczane na serwerach jakiejs firmy hostingowej. Wydaje mi sie, ze a) powinni wiedziec o takim pomysle b) wyrazic zgode c) miec dostep do warunkow udostepniania uslugi.

@hobbysta - To zależy. Jeśli w myśl umowy dane takie mogłyby np. być skanowane (ot, choćby cudne Google), to wydaje mi się, że tak. Jeśli nie - to nie zaryzykowałbym twierdzenia, że klient musi o tym wiedzieć i przede wszystkim wyrazić zgodę.
@mark - Co z wyciekiem? A co z kradzieżą Twojego komputera? Jak na razie przez kilka lat funkcjonowania Megi nie słyszałem o żadnych informacji o wyciekach danych z niej.
Pomysł - serwer + komputer w charakterze klienta do niego jest bardzo dobry. Kwestią otwartą pozostają koszty (ale to Ty tu jesteś inwestorem) oraz czy będziesz potrafił sobie to prawidłowo skonfigurować, by ustrzec się m.in. takiej sytuacji, jaką opisałeś lub w przypadku braku wiedzy - pozostaje znów kwestia ceny usługi za taką konfigurację.

Cytat: hobbysta w Grudzień 17, 2018, 10:12:50 PM
Widze jedno ale: czy klienci zgodza sie aby dane ich dotyczace byly umieszczane na serwerach jakiejs firmy hostingowej. Wydaje mi sie, ze a) powinni wiedziec o takim pomysle b) wyrazic zgode c) miec dostep do warunkow udostepniania uslugi.

Temat do przemyślenia. Na wszelki wypadek dobrze byłoby mieć taki zapis w klauzuli dot. RODO. Trzeba by też sprawdzić lokalizację serwera. Jeśli jego lokalizacja będzie w Polsce wtedy trochę mniejszy problem.

Cytat: pavbaranov w Grudzień 18, 2018, 12:20:40 AM

Pomysł - serwer + komputer w charakterze klienta do niego jest bardzo dobry. Kwestią otwartą pozostają koszty (ale to Ty tu jesteś inwestorem) oraz czy będziesz potrafił sobie to prawidłowo skonfigurować, by ustrzec się m.in. takiej sytuacji, jaką opisałeś lub w przypadku braku wiedzy - pozostaje znów kwestia ceny usługi za taką konfigurację.

Połączenie serwer w piwnicy + komputer byłoby może fajne, ale gdybym cały czas pracował w jednym miejscu. A u mnie jest problem taki, że de facto pracuję zarówno w domu, jak i w siedzibie swojej firmy, a do tego w 2-3 innych miejscach gdzie wykonuję zlecenia, cały czas jestem w trasie itp. Dlatego najwygodniej dla mnie mieć wszystko co mi potrzebne zawsze przy sobie. Ale kwestia bezpieczeństwa tego rozwiązania jak widzę jest mocno ograniczona. W teorii lepsza byłaby chmura no ale tutaj też pojawiają się mankamenty.

Każde rozwiązanie ma swoje plusy i minusy.

Może w końcu zdecyduję się na rozwiązanie polegające na postawieniu zaszyfrowanego systemu na laptopie, a wrażliwe dane będę trzymać tylko na zaszyfrowanym pendrive przypiętym do kluczy i każdorazowo sobie podpinać i montować nośnik... Jeśli dobrze rozumiem to jest to rozwiązanie odrobinę bezpieczniejsze niż trzymanie wszystkiego na osobnej zaszyfrowanej partycji na dysku?
W przypadku kradzieży samego laptopa złodziej nie ma dostępu do danych. A w przypadku kradzieży pendrive złodziej ma tylko zaszyfrowany kontener z plikami. Prawdopodobieństwo kradzieży obu rzeczy naraz jest jednak mniejsze (chyba że spotkam typa w ciemnej uliczce i będzie "dawaj co masz" ).

Dwa inne pytania z ciekawości:
1. Jakie macie zdanie na temat BitLockera od Microsoftu? Może w moim przypadku powinienem się zastanowić nad zainwestowaniem w Win10 Pro i nie bawić się w jakieś skomplikowane rozwiązania tylko od razu wszystko przepuścić przez BitLockera?
(wiem, zadaję drażliwe pytanie na forum linuxiarzy  :P )

2. Wróćmy do sytuacji opisanej przeze mnie w poprzednim poście.

Cytat: mark w Grudzień 17, 2018, 10:06:59 PM
W starej firmie z którą współpracowałem wszystkie wrażliwe pliki trzymali na serwerze, który był w piwnicy pod kluczem (w tym samym budynku). Pracownicy mieli dostęp do serwera za pośrednictwem stacjonarnych PC stojących piętro wyżej, do których logowało się tylko przy wykorzystaniu hasła wpisywanego przy logowaniu do Windowsa. Nic więcej. Później bez podawania jakichkolwiek dodatkowych haseł mieli dostęp do całego serwera bo był utworzony skrót na pulpicie.

Takie zabezpieczenie naprawdę jest wystarczające? Tzn. samo hasło logowania do Windowsa? Pytam z czystej ciekawości.

Wybaczcie, że tak skaczę po tematach i co chwila pytam o coś nowego, ale po prostu ostro się nad tym wszystkim zastanawiam i nie wykluczam niczego. Dlatego zadaję pytania, chcąc poznać plusy i minusy różnych rozwiązań.

Moim zdaniem, najbezpieczniejszym i najpewniejszym rozwiązaniem byłoby:

- własny serwer plus własna chmurka (owncloud)

Serwer wygodnie jest wstawić w bezpiecznym miejscu (np piwnica), kopie można robić bezproblemowo i regularnie na nośniku, który ulokowany może być w innym miejscu (np inny budynek). Dwie różne sieci łączone przez VPN.
Dostęp do serwera umożliwia odpowiednio skonfigurowany router, który z zewnątrz "dopuszcza" tylko sobie "znane" sprzęty i najlepiej poprzez VPN.
Serwer nie musi chodzić ciągle, jest "budzony" na sygnał z "zewnątrz".
Jedyny warunek to stałe łącze (nawet nie trzeba posiadać oficjalnego IP)

Tak ogólnie, jeśli chcecie mieć pewność, że Wasze dane nie dostaną się w niepowołane ręce to zapomnijcie o wszystkich "komercyjnych" chmurkach....
- patrz przepisy o "Przestępczości w sieci" i ew. obowiązek "udostępnienia danych"....

Cenna myśl @TataPingu.

Znowu troszkę poczytałem i teraz na tapecie mam temat NASa. W sumie jak patrzę na ceny takiego sprzętu, to może dałoby radę zamknąć się w 1000-2000zł, a to nie jest niesamowicie wygórowana cena. Do osiągnięcia.

Nie potrzeba mi szmerów bajerów i nie wiadomo jakich prędkości przesyłu danych, wystarczyłoby mi realnie ok. 500 GB wolnego miejsca na dysku sieciowym i wszystko ustawione w systemie RAID 1 bo mi by zależało na lustrzanej kopii tego co zapisuję (jeśli dobrze zrozumiałem to co czytałem). Pliki które będę przesyłać to głównie dokumenty tekstowe itp. ewentualnie zdjęcia.

Teraz tylko tak - musiałbym mieć do tego serwera dostęp z każdego miejsca w którym pracuję. Domyślnie fajnie byłoby też wydzielić sobie na nim powiedzmy 100GB, zrobić sobie prywatny hosting i tam przenieść całego służbowego maila zamiast korzystać z usług zewnętrznych.

A może nie bawić się w stawianie NASa tylko zwykły dysk zewnętrzny na jakąś przystawkę USB żeby go łączyła z siecią?

Z kolei jeśli się już bawić w NASa to od razu z obsługą VPN.

Ok, czytam dalej. Tyle pytań, a tak mało odpowiedzi xD

Cytat: mark w Grudzień 19, 2018, 01:11:01 PM
Teraz tylko tak - musiałbym mieć do tego serwera dostęp z każdego miejsca w którym pracuję. Domyślnie fajnie byłoby też wydzielić sobie na nim powiedzmy 100GB, zrobić sobie prywatny hosting i tam przenieść całego służbowego maila zamiast korzystać z usług zewnętrznych.

Wszystkie te zamierzenia osiągniesz jakimś małym serwerem. NASy, szczególnie te tanie "gotowce", pomimo, że bazują na linuksie, nie są przeznaczone do tak wszechstronnych celów. Teoretycznie nie byłoby problemu coś takiego z nich zrobić, jednak "rozszerzenie" oprogramowania jest świadomie blokowane przez producentów. O ile dobrze pamiętam, to chyba tylko "Synology" w niektórych swoich modelach dopuszcza instalację dodatkowych pluginów.

Ale zrobienie prostego serwera do takich celów to ani wielki wydatek, ani wielki kłopot...
- w najgorszym przypadku możesz wykorzystać jakiś stary komputer (np. starego laptopa, czy PCta).
Taki serwer, już po skonfigurowaniu, nie potrzebuje ani monitora, ani nawet klawiatury.
Jedno, co jest istotne, to powinien mieć kartę sieciową z funkcją "WakeOnLAN" (gdy chcesz, by się automatycznie wyłączał i był załączany na sygnał z zewnątrz)
To może być również jakiś słaby sprzęcik bazujący na ARMach, bo na taki sprzęt nie potrzebujesz poweru.
Na pewno wszystkie aktualne sprzęty posiadają USB, do nich podłączasz USB-HDD.
I nie kosztują żadnego majątku.
Jedynie, co odradzam do tych celów, to "malinki" (raspy). To bardziej zabawki i ich trwałość jest bardzo problematyczna.

Dobrym rozwiązaniem mógłby również być sam sprzęt dostawcy internetu. Niektóre z dostarczanych sprzętów posiadają już takie możliwości "fabrycznie" (działają jako modem DSL, pracują jako router, ale równocześnie mogą serwować lokalną, jak i zewnętrzną sieć)
Takim sprzętem są na pewno FritzBoxy, ale moja teściowa jest bodajże w Orange i dostała również jakiegoś "boxa", którym można coś podobnego osiągnąć

Na tym etapie nie da się nic więcej doradzić.

To jakie konkretnie rozwiązanie byś w moim przypadku polecał? Nie pytam oczywiście o konkretne urządzenia i modele, a raczej o ogólną zasadę i koncepcję, żebym wiedział mniej więcej czego szukać.

Założenia:
- niski koszt początkowy,
- niewielka pojemność dyskowa i prędkość wymiany danych,
- bez zbędnych bajerów,
- dostęp do serwera z każdego miejsca na świecie,
- duże bezpieczeństwo (w granicach rozsądku) przed kradzieżą danych,
- względnie duże bezpieczeństwo w zakresie tworzenia kopii zapasowych,
- odpada stary komputer bo po prostu takiego nie mam,
- fajnie jakby było WakeOnLAN ale nie jest to konieczne, jakoś przeżyję jak niewielki serwer będzie sobie cicho huczeć w piwnicy i jak będę musiał kilka złotych na prąd dorzucić,
- możliwość takiego skonfigurowania, żeby trzymać tam nie tylko pliki ale żeby też był to mój serwer pocztowy,
- na chwilę obecną jedyny komputer z dostępem do serwera to będzie mój laptop z Linuksem na pokładzie.

Będę wdzięczny za wszelkie wskazówki - czego się trzymać, czego unikać, na co zwrócić uwagę itp.

Na pewno coś zaradzimy.
Istotna jest jedna informacja od której praktycznie zależy rodzaj proponowanego rozwiązania (a zarazem konstelacja sprzętu), to jest sposób łączenia się z siecią...
- czy będzie to stałe łącze, jakim sposobem i ew. jakim sprzętem (modem DSL, czy coś innego) ?

A może masz stałe IP ?

Router DSL, stałe łącze szerokopasmowe. IP mam chyba stałe.

Potrzebne trochę bliższe informacje, t.j. usługodawca (dostawca internetu i jakie usługi dostarcza), typ sprzętu (nazwa, symbol itp), czy to "goły" modem, czy od razu roter, ew. czy ma możliwości podłączenia USB, czy może również serwować itd...
- zainteresuj się specyfikacją urządzenia i umową z dostawcą bo może się okazać, że wystarczy tylko prawidłowo skonfigurować dostarczony sprzęt, podłączyć jakiś USB-HDD i możesz mieć "własnego" clouda.
Tym bardzie, jeśli miałbyś stałe IP

Cytat: TataPingu w Grudzień 19, 2018, 08:57:00 PM
- zainteresuj się specyfikacją urządzenia i umową z dostawcą bo może się okazać, że wystarczy tylko prawidłowo skonfigurować dostarczony sprzęt, podłączyć jakiś USB-HDD i możesz mieć "własnego" clouda.
Tym bardzie, jeśli miałbyś stałe IP

O i to by było wspaniałe rozwiązanie gdyby się tak udało!  ;D

Okej, o co konkretnie zapytać? Co bym musiał mieć/ustalić z dostawcą internetu, żeby zrobić tak jak piszesz czyli podłączyć HDD na USB i mieć clouda? Bo z tym stałym IP i żeby był widoczny na zewnątrz to problemów nie powinno być. Usługodawca jest lokalny, znamy się więc pewnie pójdzie mi w miarę na rękę. Ale chciałbym się przygotować do rozmowy i wiedzieć o co pytać.

Gadałem ze znajomym, polecał żeby od razu skonfigurować sobie VPN bo to teraz standard.

@mark:  @TataPingu bierze Cie za reke i wprowadza w gesty las. Jak dlugo bedzie Cie trzymal za ta reke - tak dlugo bedzie dobrze. @TataPingu ma szczere checi - i zapewne pomoglby Ci postawic twoj wlasny serwer. Tylko co potem? Tak z pol roku bedziesz musial poswiecic na nauke administracji sieciowym serwerem. Sek w tym, a w seku dziura, ze to co chcesz w zasadzie nie rozni sie od postawienia lokalnej sieci w malej firmie. To nieistotne, ze tylko ty bedziesz korzystal - rownie dobrze moglyby korzystac i inne osoby razem z toba - i nie wymagaloby to praktycznie zadnych zmian.  Takze zastanow sie, czy zamierzaz zdobyc dodatkowe kwalifikacje administratora Linuxa. Rozwiazanie praktyczne - to zwrocic sie do kogos aby ten serwer Ci postawil i nim administrowal. Ale wtedy bedziesz musial ponosic comiesieczne oplaty. Za administracje usluga - brzmi groznie ale administrator serwera ma na ogol ograniczone uprawnienia i twoje dane beda zupelnie bezpieczne - tak to mozna zorganizowac aby osoba administrujaca nie miala dostepu do tych danych. Administartor na ogol laczy cie przez siec z gospodarzem uslugi i wykonuje swoja prace - przeglada logi, statystyki - patrzy czy nie ma czegos 'dziwnego'  - co na przyklad mogloby byc sygnalem proby wlamania - gospodarz-system zawsze tworzy ogromna ilosc informacji diagnostycznych - po to aby ktos z tego korzystal. To o czym teraz z @TataPingu piszecie to wlasnie dla nomen-omen hobbystow Linuxa. 

Myślę, że rozumiem o czym piszesz @hobbysta.

Też już się nad tym zastanawiałem, że to nie są takie proste sprawy na jakie wyglądają i pewnie i tak musiałbym zatrudnić kogoś ogarniętego z zewnątrz, bo moja wiedza jest w temacie zbyt nikła a czasu na ogarnięcie wszystkiego dogłębnie brak. Zdaję sobie sprawę z ceny takiej usługi i czasu wymaganego na ogarnięcie tego. Powiem tak - na razie badam temat, chcę sam "mniej więcej" zrozumieć na czym to polega i znaleźć po prostu optymalne rozwiązanie dla siebie. Nieprzesadnie skomplikowane, bezpieczne, i w miarę niedrogie bo jednak budżet firmy jest ograniczony i trochę ryzykowne jest pakowanie się w kosztowne rozwiązania, których mocy nie wykorzystam, a po pół roku zwinę interes.

Swoją drogą zrobiłem research wśród znajomych przedsiębiorców z mojej branży. Co człowiek to opinia.

Jeden nie stosuje żadnych zabezpieczeń (bo założenie jedynie hasła logowania do Windowsa to nie jest imho poważnym zabezpieczeniem). Jemu wystarcza.

Drugi trzyma wszystko w chmurze, ale zdaje sobie sprawę że nie powinien tego robić...

Trzeci po prostu szyfruje dyski tak jak ja obecnie i mówi, że to w zupełności wystarczy bo nie ma co popadać w paranoję a nie stać go na stawianie serwera itp.

Czwarty trzyma wszystko na firmowym serwerze, ale on akurat współpracuje z większą firmą w branży i za ułamek kosztów wydzielili mu miejsce na swoim serwerze (stojącym w firmie, VPN i te sprawy). No i właśnie w tej firmie wszystko ogarnia im informatyk bo nikt z firmy nie ma zielonego pojęcia jak to funkcjonuje.

Cytat: hobbysta w Grudzień 19, 2018, 10:29:23 PM
@TataPingu bierze Cie za reke i wprowadza w gesty las. Jak dlugo bedzie Cie trzymal za ta reke - tak dlugo bedzie dobrze. @TataPingu ma szczere checi - i zapewne pomoglby Ci postawic twoj wlasny serwer. Tylko co potem? Tak z pol roku bedziesz musial poswiecic na nauke administracji sieciowym serwerem.

Niekoniecznie...

Sam byłem zaskoczony ostatnimi wydaniami tego sprzętu, ale, jak widzę, świat techniki IT zmienia się w takim tempie, że chyba zaczynamy powoli nie nadążać za rozwojem.
W pełni się z Tobą zgadzam Kolego, dla firmowego, profesjonalnego serwera na pewno potrzebne są warunki o których piszesz.
W przypadku Kolegi "Marka" i jego potrzeb, nie potrzeba jednak tak rozbudowanego serwera. To, co on potrzebuje można załatwić za pomocą jednego urządzenia!
- urządzenie jest modemem DSL, routerem (z firewallem), NASem, serwerem (także "multimedia-streaming" np. w domu) i cloudem w jednym!

W obsłudze tak proste, że praktycznie obsłuży je przysłowiowy "Kowalski".
Poza tym, co również istotne, jest ENERGOOSZCZęDNE...

Jako przykład może posłużyć poniższy link:

https://avm.de/produkte/fritzbox/fritzbox-3490/details/

Przepraszam, że naprowadzam na jęz. niemiecki, ale myślę, że w sieci można znaleźć również angielskie, czy nawet polskie specyfikacje.
Acha, i jest to jeden z najprostszych modeli (relatywnie tani), ale w razie potrzeby można dostać bardziej rozbudowany.

Tak czy inaczej ktos tym serwerem musi zarzadzac.

Cytat: hobbysta w Grudzień 20, 2018, 11:30:23 AM
Tak czy inaczej ktos tym serwerem musi zarzadzac.

Właśnie zaletą tego sprzętu jest to, że użytkownik może być sobie "administratorem".
Softwarowo urządzenie jest tak przygotowane (bazuje na linuksie), że użytkownik z jednej strony uaktywnia typ usługi dostawcy internetu (login i rodzaj np. DSL), a z drugiej, podłącza tylko jakiś nośnik USB, ustala, które funkcje mają być aktywne (np. sieć lokalna, multimedia, dostęp do danych itp - protokoły SMB, FTP, UPnP AV), ustala użytkowników, ustala hasła i pozwala na ew. dostęp z "zewnątrz" (poprzez VPN).
Reszta leci już sama. Oprócz "zwieszek" internetu i ew. zabotowania sprzętu nie trzeba nic więcej administrować (analogicznie do NASów).

Jedyne czynności, które trzeba robić, t,o od czasu do czasu wgrać aktualizację firmware producenta sprzętu.
Ale i to można "zautomatyzować...
- tzn. "zezwolić", żeby to było przeprowadzone zdalnie...

No ciekawa opcja, znalazłem nawet polski sklep który to oferuje ale opis działania jest dosyć skromny.

Niemniej jednak zostawmy na chwilę NASy, serwery itp i wróćmy proszę do meritum tematu, czyli szyfrowania dysku w laptopie i Vera Crypta.

Moja obecna sytuacja: laptop z jednym fizycznym dyskiem. Chciałbym na nim trzymać Windowsa a na drugim postawić eksperymentalnie Linuksa, więc marzyłoby mi się wydzielenie 3 partycji, aby można je zapełnić następująco:
partycja 1) czysty Windows + programy,
partycja 2) czyste np. Ubuntu + programy,
partycja 3) wszystkie dane i pliki.

Oczywiście chciałbym mieć wszystkie partycje zaszyfrowane. A dane trzymać na osobnej partycji niezależnej od obydwu systemów, żeby mieć do nich dostęp zarówno z pozycji Windowsa jak i Linuksa.

Pytania:
1. W jakiej kolejności zainstalować systemy operacyjne? Zwłaszcza w kontekście wybrania opcji szyfrowania przy instalacji Ubuntu.
2. Czy dobrze myślę, że mógłbym Ubuntu zaszyfrować przy jego instalacji, a Windowsa z poziomu systemu Vera Cryptem?
3. Czym zaszyfrować partycję nr 3? Rozumiem, że jak ją potraktuję LUKSem to Windows i Vera sobie z nim nie poradzą, więc w grę wchodzi jedynie szyfrowanie VeraCryptem i każdorazowo montowanie woluminu przez VeraCrypt (obojętnie czy to pod Windowsem czy Linuxem).
4. W którym momencie stworzyć te partycje? Najpierw postawić Windowsa i przy instalacji wszystko wydzielić?
5. Czy to o czym piszę (3 partycje i szyfrowanie każdej na swój sposób) jest w ogóle fizycznie wykonalne? Czy ryzyko że coś się poplącze i ostatecznie w ogóle nie odpalę kompa jest zbyt duże?

Pytanie:
Czy korzystanie z zaszyfrowanych i odmontowanych partycji lub kontenerów (stworzonych np. VeraCryptem) chroni w jakiś sposób przed atakami ransomware?

Nie znalazłem jasnej odpowiedzi w internetach.

Chodzi o sytuację teoretyczną, kiedy to stworzyłbym sobie na dysku np. 2 partycje - jedną z systemem która byłaby używana non stop, a oprócz tego byłaby druga zaszyfrowana partycja lub kontener, które byłyby podłączane i odszyfrowywane tylko w zależności od potrzeb na kilka minut.

Czy w przypadku ataku ransomware w momencie kiedy ta partycja/kontener jest odmontowana i zaszyfrowana w jakikolwiek sposób ją chroni? Czy złośliwe oprogramowanie szyfrujące jest na tyle głupie że nie jest w stanie takiego nośnika ruszyć, czy też nie ma to dla niego znaczenia?

Cytat: mark w Styczeń 09, 2019, 03:08:50 PM
Czy w przypadku ataku ransomware w momencie kiedy ta partycja/kontener jest odmontowana i zaszyfrowana w jakikolwiek sposób ją chroni? Czy złośliwe oprogramowanie szyfrujące jest na tyle głupie że nie jest w stanie takiego nośnika ruszyć, czy też nie ma to dla niego znaczenia?

Oprogramowanie jest na tyle głupie" (lub "mądre", jak kto woli), na ile głupi/mądry jest jego twórca...
- te oprogramowania stają się coraz perfidniejsze...

Weź pod uwagę, że głównym "celem" tych programów, jak na razie są systemy z FATem NTFSem (windy), więc pracując na EXT4 jesteś stosunkowo bezpieczny...

A co do szyfrowanej ekstra partycji, to właściwie ile to roboty przygotować sobie taką na USB-HDD ?
- ani to koszty, ani kłopot, po prostu, bierzesz w rękę, podłączasz do usb, kopiujesz co potrzebujesz i odkładasz w miejsce, gdzie nie dotrze żaden robak...

Cytat: TataPingu w Styczeń 09, 2019, 04:07:49 PM

Weź pod uwagę, że głównym "celem" tych programów, jak na razie są systemy z FATem NTFSem (windy), więc pracując na EXT4 jesteś stosunkowo bezpieczny...

O proszę, tego to się nie spodziewałem. Myślałem, że jak już robak leci i szyfruje np. wszystko z końcówką .doc to nie robi mu różnicy czy to jest wszystko w FAT czy EXT4. Dobrze wiedzieć.

A samo pytanie zadałem bo zastanawiam się, czy jest jakikolwiek sens np. zaszyfrować system a później osobno jeszcze mieć kontener/partycję z danymi, które VeraCryptem podpinam tylko na czas faktycznego wykorzystania, czy też gra nie warta świeczki bo np. oczywistym jest że przy ataku ransomware pewnym jest, że zainfekuje wszystkie fizycznie podpięte dyski, a nie tylko te używane (zamontowane i odszyfrowane).

Tak jak piszesz - najbezpieczniej zewnętrzny dysk i podpinać tylko na chwilę. Bez połączenia żaden robak nie przeskoczy dalej do dysku, który leży w szufladzie.

Cytat: mark w Styczeń 09, 2019, 06:26:00 PM
O proszę, tego to się nie spodziewałem. Myślałem, że jak już robak leci i szyfruje np. wszystko z końcówką .doc to nie robi mu różnicy czy to jest wszystko w FAT czy EXT4. Dobrze wiedzieć.

Oczywiście, są różne typy wirusów, jedne szyfrują tylko wybiórczo pojedyńcze pliki, inne całe partycje.
Tak, czy owak, by program-wirus w ogóle był w stanie "działać", w pierwszym rzędzie musi być uruchomiony...
- żaden program pisany pod środowisko windows (EXE) nie uruchomi się pod uniksem (linuksem)...

Możliwe jest to tylko w emulatorze (np. Wine), ale z tego poziomu nie ma dostępu do dysku, czy danych i by to osiągnąć musiałby mieć jednocześnie do dyspozycji dodatkowe oprogramowanie umożliwiające odczyt danych z formatu EXT4.
Coś takiego istnieje dla windy, ale jest to już dużo większe i bardziej skomplikowane oprogramowanie z wieloma bibliotekami (umożliwia odczyt partycji formatowanych pod linuksa)...

Jestem już w posiadaniu nowego dysku, który planuję zaszyfrować.

Ostatecznie po przeczytaniu multum poradników i przemyśleniu sprawy na 90% zdecyduję się na następujące rozwiązanie:

1. Szyfrowanie całego dysku w czasie instalacji jakiejś dystrybucji z rodziny Ubuntu, prawdopodobnie stanie na Kubuntu (niestety wszystkie ubuntupodobne wersje 18.04 i wyższe nie oferują już szyfrowania folderu home). Powyższe spowoduje, że de facto na dysku będę mieć partycję EFI (nieszyfrowaną) i drugą partycję z Linuxem która będzie fizycznym woluminem np. Ubuntu podzielonym na wolumeny logiczne a) root (zawierający w sobie home) i b) swap. Nie będę ręcznie partycjonować, pozwolę żeby instalator zrobił to za mnie. Bawiłem się z tym przez wiele godzin, próbowałem stosować różne poradniki i tutoriale, niestety z marnym skutkiem najczęściej. Zawsze napotykałem na jakąś ścianę (być może spowodowaną brakiem umiejętności, choć naprawdę starałem się wszystko robić dokładnie i wszystko się działo jak w tutorialu), a z drugiej strony napotykałem na bugi, takie jak np. brak możliwości fizycznego ustawienia woluminu do szyfrowania podczas instalacji Kubuntu (bug opisany na forach). Mniejsza z tym.
2. Osobne hasło do logowania i brak autologowania.
3. Dodatkowe kontenery w Plasma, tzw. plasma vault o czym było już wspomniane w tym temacie.

(4. Zastanawiam się jeszcze nad ustawieniem w BIOSie hasła do bootowania).

Jedyna wątpliwość jaka mi się w tym momencie nasuwa, to pkt. 1. Mianowicie @pavbaranov wspomniał kiedyś o tym, że w teorii możliwe jest obejście takiej zaszyfrowanej partycji poprzez odpalenie jakiegoś systemu w sesji Live CD. Ale czy wtedy nie jest tak, że nawet w sesji Live dostęp do zaszyfrowanej partycji jest chroniony ustawionym przeze mnie hasłem?

Proszę bardziej doświadczonych Kolegów o wytknięcie błędów i ewentualne uwagi  :)

Zamiast Kubuntu - jeśli coś ma być na debianowatych - sprawdź sobie jeszcze np. Neona (w którejś wersji), Nitrux, Netrunner itd...

Cytat: mark w Styczeń 14, 2019, 09:43:01 PM
a) root (zawierający w sobie home) i b) swap.

Praktyczniej (i bezpieczniej!) jednak jest /home wydzielić na oddzielnej partycji, a dopiero potem dobierać metody dodatkowego zabezpieczenia (szyfrowania)

Wyobraź sobie, że "sypie" Ci się system, czy z jakichś względów musisz instalować go na nowo...
- to przysparza o wiele więcej problemów z przenoszeniem danych z /home...
Ba, wystarczy fizyczny błąd w zapisie na HDD, a wszystko staje się "nirwaną"...
- mając /home na oddzielnej partycji, masz o wiele większe szanse na uratowanie istotnych danych (własnych, bo OS zawsze można odnowić)...

Cytat: mark w Styczeń 14, 2019, 09:43:01 PM
(4. Zastanawiam się jeszcze nad ustawieniem w BIOSie hasła do bootowania).

To dobre zabezpieczenie, ale tylko w przypadku bezpośredniego dostępu do całego lapka...
- jeśli ktoś wejdzie w posiadanie Twojego HDD, to zabezpieczenie BIOSU w niczym tu nie pomoże...

Cytat: mark w Styczeń 14, 2019, 09:43:01 PM
Jedyna wątpliwość jaka mi się w tym momencie nasuwa, to pkt. 1. Mianowicie @pavbaranov wspomniał kiedyś o tym, że w teorii możliwe jest obejście takiej zaszyfrowanej partycji poprzez odpalenie jakiegoś systemu w sesji Live CD. Ale czy wtedy nie jest tak, że nawet w sesji Live dostęp do zaszyfrowanej partycji jest chroniony ustawionym przeze mnie hasłem?

Tak jest w istocie...

Cytat: mark w Styczeń 14, 2019, 09:43:01 PM
Proszę bardziej doświadczonych Kolegów o wytknięcie błędów i ewentualne uwagi  :)

Chmmm..., jak już wcześniej, chyba Kolega "hobbysta" wspomniał, wszystko zależne jest od "ważności" danych. Jeśli dane są na tyle "atrakcyjne", że warto użyć wszystkich sposobów, by je zdobyć, to niezależnie od tego, jakim sposobem je zabezpieczysz, nie sądzę, by ktoś, kto chce je zdobyć, nie był w stanie tego uczynić...
Nawet fizyczną przemocą...
- nie sądzę, byś dla ochrony jakichś tam "bitów" chciał tracić np. palce, rękę, stopę, czy nawet życie...

Cytat: TataPingu w Styczeń 15, 2019, 09:33:47 AM

Praktyczniej (i bezpieczniej!) jednak jest /home wydzielić na oddzielnej partycji, a dopiero potem dobierać metody dodatkowego zabezpieczenia (szyfrowania)

Wyobraź sobie, że "sypie" Ci się system, czy z jakichś względów musisz instalować go na nowo...
- to przysparza o wiele więcej problemów z przenoszeniem danych z /home...
Ba, wystarczy fizyczny błąd w zapisie na HDD, a wszystko staje się "nirwaną"...
- mając /home na oddzielnej partycji, masz o wiele większe szanse na uratowanie istotnych danych (własnych, bo OS zawsze można odnowić)...

Czyli w moim przypadku celowe byłoby podzielić dysk na:
sda1 - ESP
sda2 - boot (ext4, podstawowa, nieszyfrowana)
sda3 - root (ext4, podstawowa, szyfrowana)
sda4 - home (ext4, podstawowa, szyfrowana)

Swap sobie daruję.

Test na wirtualnej maszynie wyszedł dobrze.

Kubuntu nie pozwoli mi na taką instalację w związku z bugiem o którym powyżej pisałem, więc pozostaje instalacja np. Ubuntu a potem doinstalowanie KDE i Plasmy.
Czemu Kubuntu? Po przetestowaniu Ubuntu, Kubuntu, Lubuntu, Xubuntu i Minta jednak zdecydowanie Kubuntu najbardziej mi się spodobało.
Ale sprawdzę jeszcze te dystrybucje o których pisał @pavbaranov czyli Neona itd.

Dalej w las na razie nie wchodzę, dlatego szukam czegoś z rodziny Ubuntowatych/opartych na Debianie bo tu już trochę po omacku się orientuję. Chcę już postawić system i pracować, a w wolnej chwili przyjdzie czas na ewentualne zapoznanie z innymi Archami i openSUSami.

Cytat: mark w Styczeń 15, 2019, 11:41:39 AM
Czyli w moim przypadku celowe byłoby podzielić dysk na:
sda1 - ESP

Do czego Ci to potrzebne? Czy jest absolutnie wymagane przez Acera (wątpię)?

Cytat: mark w Styczeń 15, 2019, 11:41:39 AM
sda2 - boot (ext4, podstawowa, nieszyfrowana)

Znów - do czego Ci to jest potrzebne?

Cytat: mark w Styczeń 15, 2019, 11:41:39 AM
sda3 - root (ext4, podstawowa, szyfrowana)
sda4 - home (ext4, podstawowa, szyfrowana)

Może być.

Cytat: mark w Styczeń 15, 2019, 11:41:39 AM
Kubuntu nie pozwoli mi na taką instalację w związku z bugiem o którym powyżej pisałem, więc pozostaje instalacja np. Ubuntu a potem doinstalowanie KDE i Plasmy.

A Kubuntu i Ubuntu nie mają tego samego instalatora? Bo dawniej tak było.

Cytat: mark w Styczeń 15, 2019, 11:41:39 AM
Czemu Kubuntu? Po przetestowaniu Ubuntu, Kubuntu, Lubuntu, Xubuntu i Minta jednak zdecydowanie Kubuntu najbardziej mi się spodobało.

Nie chodzi mi o "spodobanie się", bo raz się komuś coś podoba, innym razem coś innego. Po prostu dokonujesz pewnego wyboru (raczej mało świadomego), gdzie chcesz pożenić oprogramowanie, które lubi aktualizacje (KDE) z systemem bazowym (Ubuntu bądź Ubuntu LTS), który tego nie oferuje. Efekt jest taki, że choć będziesz tam miał (po zainstalowaniu backports) najnowsze wydania Plazmy (z pewną zwłoką), to i tak nie będzie to działać w sposób zaplanowany przez twórców KDE (innymi słowy Kubuntu cały czas będzie oferować system z błędami funkcjonalnymi KDE, które zostały już naprawione). Ot, przykład pierwszy z brzegu: jeśli nie skompiluję sobie wcześniej, to najdalej w kwietniu w mojej dystrybucji będę miał Okular, który umożliwi mi podpisywanie pdfów. W Kubuntu (nawet 19.04) nie będziesz czegoś takiego miał. Być może w 19.10 się pojawi. Ale wówczas znów ja będę miał coś, co w Kubuntu nadal nie będzie funkcjonujące tak, jak to zostało zaplanowane.

Wprawdzie wcześniej podałem Ci debianopochodne alternatywy dystrybucji z KDE, to jednak - używając tego środowiska od kilkunastu lat i dość mocno w nim siedząc - z perspektywy świadomego (mam nadzieję) użytkownika obecnej wersji oprogramowania KDE/Qt mogę stwierdzić, że pod to środowisko najlepiej nadają się różnego rodzaju dystrybucje typu "rolling". W dystrybucjach wydawniczych niemal nigdy to środowisko (i programy na nim oparte, dla niego robione) nie będzie pracować tak dobrze i tak, jak to przewidzieli jego twórcy.
Oczywiście to Twój wybór, a piszę te uwagi wyłącznie abyś był świadomy m.in. tego, że Plasma 5.x w dystrybucji X przynajmniej nie musi być taka sama, tak samo działająca, jak ta sama jej wersja w dystrybucji Y.
Jeśli model wydawniczy dystrybucji ciągłych z jakiegoś powodu Ci nie odpowiada, to skłoniłbym się do jakiegoś innego środowiska graficznego, które jest rzadziej aktualizowane oraz jego oprogramowanie w mniejszym stopniu jest zależne od narzędzi rozwijanych niezależnie od niego. Chyba, że godzisz się na to, że zainstalowane oprogramowanie przez dłuższy czas nie będzie działać tak, jak działać powinno lub może.
Aha - i żeby nie było niedopowiedzeń: bardzo długo używałem Debiana (z KDE) oraz Kubuntu. Przeszedłem na inne wówczas, gdy stwierdziłem, że w żaden sposób dystrybucje te nie zapewnią mi tego, co chcę uzyskać.

Odpowiadając po kolei:

1. ESP tworzyłem w GParted bo tak pokazywały mi wszystkie tutoriale. Myślałem, że skoro mam laptopa z UEFI to wymagana jest taka partycja, żeby w ogóle system wystartował.
2. Partycja boot tak samo pojawiała się w tutorialach.

Podsumowując - myślałem, że tak trzeba zrobić i to jest oczywiste. Okazuje się, że byłem w błędzie i nie powinienem tych partycji w ogóle tworzyć?

3. Nie wiem czy Kubuntu i Ubuntu mają tego samego instalatora, ale na pewno graficznie trochę się różnią. W praktyce jest tak, że w Ubuntu bez problemu można wybrać "fizyczny nośnik do szyfrowania" i instalator od razu pyta o hasło, natomiast w Kubuntu po wybraniu tej opcji instalator w ogóle nie pyta o hasło, nie można przejść do następnego kroku instalacji, a czasem wręcz wywala error instalatora.

4. Czemu Kubuntu, KDE i Plasma? Bo wygląd systemu bardzo mi się spodobał, plus Plasma oferuje Vaults a jest to niesamowicie wygodne rozwiązanie (przetestowałem). Dlatego tak usilnie chcę Plasmy i myślałem, że jak nałożę KDE i Plasmę na standardowe Ubuntu to będzie dobrze, a Ty mnie teraz uświadomiłeś że niekoniecznie... Z moimi umiejętnościami nie ma w takim razie sensu pakować się w takie rozwiązanie, bo mnie to przerośnie.

Chyba, że da się jakoś inaczej zaimplementować Vaults i korzystać z ich dobrodziejstw oprócz używania KDE?
(posprawdzam jak to wygląda w tych dystrybucjach opartych na KDE o których pisałeś).

5. Rozwiązanie zamiast Plasma Vaults które przyszło mi do głowy, to używanie VeraCrypt i szyfrowanych kontenerów, o czym już kiedyś pisałem. Jak na mój gust rozwiązania te są bardzo podobne - VeraCrypt także oferuje możliwość stworzenia szyfrowanego kontenera/sejfu który jest montowany wyłącznie na żądanie lub w określonej sytuacji. Czyli można używać systemu, a wszystkie kontenery są odmontowane i wyglądają na nieczytelne pliki. Dopiero jak go zamontuję i odszyfruję staje się widoczny i używalny.

5.

Cytat: mark w Styczeń 15, 2019, 12:34:51 PM
1. ESP tworzyłem w GParted bo tak pokazywały mi wszystkie tutoriale. Myślałem, że skoro mam laptopa z UEFI to wymagana jest taka partycja, żeby w ogóle system wystartował.
2. Partycja boot tak samo pojawiała się w tutorialach.

Tylko tam, gdzie ustawisz sobie UEFI a nie BIOS. W dalszym ciągu w większości komputerów można owe UEFI obejść i wówczas możesz mieć BIOS (a w zasadzie, to "tryb zgodny"). Po prostu - pod rozwagę, bo każde z tych rozwiązań ma "plusy dodatnie i plusy ujemne".

Cytat: mark w Styczeń 15, 2019, 12:34:51 PM
4. Czemu Kubuntu, KDE i Plasma? Bo wygląd systemu bardzo mi się spodobał, plus Plasma oferuje Vaults a jest to niesamowicie wygodne rozwiązanie (przetestowałem). Dlatego tak usilnie chcę Plasmy i myślałem, że jak nałożę KDE i Plasmę na standardowe Ubuntu to będzie dobrze, a Ty mnie teraz uświadomiłeś że niekoniecznie... Z moimi umiejętnościami nie ma w takim razie sensu pakować się w takie rozwiązanie, bo mnie to przerośnie.

Nie, nie przerośnie, ale to nie ma sensu. Jak już instalować dystrybucję, która oferuje określoną wersję ze środowiskiem, to właśnie tym, którego chce się używać.
Nie o to mi jednak chodziło, a jedynie o zwrócenie uwagi, że Kubuntu niekoniecznie może być tak dobre, jak go gdzieniegdzie malują i nie dlatego, że ma Plazmę, tylko dlatego, że ona może nie zachowywać się (i najczęściej tak jest), jakby mogła i jak sobie tego życzą jej twórcy.

Cytat: mark w Styczeń 15, 2019, 12:34:51 PM
Chyba, że da się jakoś inaczej zaimplementować Vaults i korzystać z ich dobrodziejstw oprócz używania KDE?
(posprawdzam jak to wygląda w tych dystrybucjach opartych na KDE o których pisałeś).

Geezaa... praktycznie na palcach jednej ręki można policzyć te dystrybucje, które oferują coś innego do standardowo dostarczanych środowisk (obojętne, co to jest GNOME, MATE, Cinnamon, Plazma itd. itp.; różnice znaczniejsze bywają przy dystrybucjach opartych o jakieś WM). Kubuntu do takich nie należy. Nadto, jeśli jakaś dystrybucja jest "KDE-centryczna", to dostarcza w zasadzie całość oprogramowania udostępnianego przez KDE. Plasma-vault jest częścią Plazmy i jest dostępna w każdej dystrybucji, która ją dostarcza. Sama plasma-vault jest zależna od m.in. plasma-workspace (a to dopiero "ostatnia" paczka, na której się opiera, oprócz niej zależności tej paczki, paczek stanowiących zależności - innymi słowy - instalując plasma-vault - instalujesz Plazmę), a zatem sensu większego pchania jej do DE innych niż Plazma jest - lekko mówiąc - umiarkowany (i nie wiem czy i jak to będzie w ogóle działać). Są natomiast rozwiązania alternatywne. Samo plasma-vault do szyfrowania używa encfs lub cryfs (jeśli pamiętam, to jeszcze jeden).

Cytat: pavbaranov w Styczeń 15, 2019, 01:02:19 PM

Cytat: mark w Styczeń 15, 2019, 12:34:51 PM
1. ESP tworzyłem w GParted bo tak pokazywały mi wszystkie tutoriale. Myślałem, że skoro mam laptopa z UEFI to wymagana jest taka partycja, żeby w ogóle system wystartował.
2. Partycja boot tak samo pojawiała się w tutorialach.

Tylko tam, gdzie ustawisz sobie UEFI a nie BIOS. W dalszym ciągu w większości komputerów można owe UEFI obejść i wówczas możesz mieć BIOS (a w zasadzie, to "tryb zgodny"). Po prostu - pod rozwagę, bo każde z tych rozwiązań ma "plusy dodatnie i plusy ujemne".

Nic nie kombinowałem z przestawianiem na Legacy, aczkolwiek wiem że można to u mnie zrobić. Zostawiałem UEFI bo w sumie czemu nie (aż tak nie zagłębiałem się w temat czy lepiej UEFI czy BIOS). Miałem natomiast problemy z Secure Boot, obojętnie czy było włączone czy nie to i tak musiałem je po instalacji Linuxa włączać na Enabled i "ręcznie" pokazywać które pliki są zaufane do rozruchu (tak to rozumiałem), czyli jakieś te shimx czy grub. Inaczej system nie startował i miałem tylko "no bootable device found". Nawet jak Secure Boot było disabled i jak cała instalacja dystrybucji przebiegała po wyłączeniu secure boot. Chyba jakaś specyfika Acera.

Z tym, że z tego co widzę w tutorialach przy korzystaniu z trybu BIOS nadal pokazują że należy tworzyć osobną partycję boot. Oczywiście ESP brak, ale boot wszędzie jest pokazany.

Tak czy inaczej, temat do ogarnięcia i pogłębienia wiedzy czy używać BIOS czy UEFI.

ps. Te tematy o których piszemy są dla mnie ciekawe i fascynujące, ale jak człowiek już myśli że znalazł rozwiązanie to zawsze pojawia się jeszcze coś o czym nie wiedział, co musi doczytać, albo jakieś otwarte furtki czy luki które trzeba sprawdzić  ;D wszystko fajnie, bo mnie to ciekawi, ale żona zaczyna się ze mną kłócić, że tyle czasu wolnego na to poświęcam...

Cytat: mark w Styczeń 15, 2019, 12:34:51 PM
5. Rozwiązanie zamiast Plasma Vaults które przyszło mi do głowy, to używanie VeraCrypt i szyfrowanych kontenerów, o czym już kiedyś pisałem. Jak na mój gust rozwiązania te są bardzo podobne - VeraCrypt także oferuje możliwość stworzenia szyfrowanego kontenera/sejfu który jest montowany wyłącznie na żądanie lub w określonej sytuacji. Czyli można używać systemu, a wszystkie kontenery są odmontowane i wyglądają na nieczytelne pliki. Dopiero jak go zamontuję i odszyfruję staje się widoczny i używalny.

Pod linuksem jest masę innych sposobów szyfrowania, niż tylko Vaults, dla przykładu wymienię tylko:

- szyfrowanie pojedyńczych plików:
        GnuPG
        ccrypt
        OpenSSL
        bcrypt
        AES Crypt
        Elettra

- szyfrowanie pojedyńczych katalogów:
        EncFS
        ecryptfs

- szyfrowanie całego home:
        LUKS
        ecryptfs (również częściowo)

- szyfrowanie całego systemu:
        na bazieb LVM
        bez LVM

- szyfrowanie kontenerów:
        zuluCrypt
        VeraCrypt
        TrueCrypt (już się nie rozwiją)
        LUKS/Container

Cytat: mark w Styczeń 15, 2019, 01:21:21 PM
Zostawiałem UEFI bo w sumie czemu nie (aż tak nie zagłębiałem się w temat czy lepiej UEFI czy BIOS)

Jeśli kładziesz nacisk na bezpieczeństwo, a masz możliwość uruchamiania lapka bez UEFI, to przygotuj PCta w trybie legacy

Cytat: mark w Styczeń 15, 2019, 01:21:21 PM
Z tym, że z tego co widzę w tutorialach przy korzystaniu z trybu BIOS nadal pokazują że należy tworzyć osobną partycję boot. Oczywiście ESP brak, ale boot wszędzie jest pokazany.

Bzdury!
- osobny boot do niczego Ci niepotrzebny...

Cytat: mark w Styczeń 15, 2019, 01:21:21 PM
żona zaczyna się ze mną kłócić, że tyle czasu wolnego na to poświęcam...

Tutaj uważaj, kobiety tego nie podzielają...
- sam kiedyś miałem podobne problemy z żoną (pomimo,że był to mój zawód!)...

Cytat: TataPingu w Styczeń 15, 2019, 01:29:40 PM

Pod linuksem jest masę innych sposobów szyfrowania, niż tylko Vaults, dla przykładu wymienię tylko:

Ogromne dzięki! Właśnie czegoś takiego mi było trzeba, zebrania w jednym miejscu ciekawych rozwiązań żebym wiedział czego szukać i co próbować.

Cytat: TataPingu w Styczeń 15, 2019, 01:41:17 PM

Jeśli kładziesz nacisk na bezpieczeństwo, a masz możliwość uruchamiania lapka bez UEFI, to przygotuj PCta w trybie legacy

Bzdury!
- osobny boot do niczego Ci niepotrzebny...

OK, czyli tak tłumacząc jak krowie na rowie (i bardzo upraszczając dla celów "szkoleniowych") powinienem:
1. Przestawić uruchamianie na tryb Legacy i przestać się interesować UEFI, secure boot itp.
2. Po wykonaniu powyższego odpalić instalację dystrybucji.
3. Ręcznie w instalatorze stworzyć wyłącznie dwie partycje:
- root (szyfrowana)
- home (szyfrowana).

(zachowując podaną kolejność).

Nie zakładać żadnego ESP lub boot. SWAP też mogę pominąć.

Będę wtedy mieć wyłącznie 2 partycje: root i home, każdą z nich szyfrowaną osobnym hasłem. O hasła będę pytany przy uruchamianiu systemu.

Dobrze zrozumiałem?

Cytat: TataPingu w Styczeń 15, 2019, 01:29:40 PM

- szyfrowanie całego systemu:
        na bazieb LVM
        bez LVM

Czy jest w moim przypadku sens bawienia się w LVM? Pytam bo z tego co wyczytałem, to stosując GPT nie ma już sensu przejmować się małą ilością dostępnych partycji (na marginesie - i tak nie będę używać więcej niż 4). Okej, chyba jest tak że tworząc woluminy logiczne pod jednym podstawowym mogę ominąć problem dwukrotnego wpisywania hasła, który powstanie gdy założę 2 osobne partycje podstawowe. Plus stosując LVM na zewnątrz "nie widać" faktycznego podziału, a stosując woluminy podstawowe od razu wiadomo co gdzie i jak. Ale jeśli chodzi tylko o to, to chyba to porzucę, bo nie znalazłem większych plusów czemu by się zdecydować na LVM.

Cytat: mark w Styczeń 15, 2019, 02:47:53 PM
3. Ręcznie w instalatorze stworzyć wyłącznie dwie partycje:
- root (szyfrowana)
- home (szyfrowana).

I to wystarczy...
- co do SWAPu, zdania są podzielone, ja osobiście wolę mieć tę partycję (nie większa, jak wielkość RAMu)...

Co do szyfrowania, to sam musisz podjąć decyzję...
- osobiście, jeśli już, to szyfrowałbym tylko newralgiczne dane (kontenerowo), ew. pojedyńcze katalogi....

Cytat: TataPingu w Styczeń 15, 2019, 03:15:53 PM
- osobiście, jeśli już, to szyfrowałbym tylko newralgiczne dane (kontenerowo), ew. pojedyńcze katalogi....

Dokładnie. Zwłaszcza, że jeśli coś się "podzieje" z szyfrowaniem, to:
- bez szyfrowanego roota jestem w stanie spokojnie odpalić system,
- z zaszyfrowanym w $HOME tylko tymi katalogami/plikami, które w istocie winny być zaszyfrowane, mam łatwość odpalenia swojego środowiska w sposób umożliwiający mi wygodną pracę.
Dane, które szyfrowania wymagają - nadal szyfrowane są. Pytanie co z nimi zrobię jak się szyfrowanie posypało jest inną kwestią.

Cytat: pavbaranov w Styczeń 15, 2019, 03:24:24 PM

Cytat: TataPingu w Styczeń 15, 2019, 03:15:53 PM
- osobiście, jeśli już, to szyfrowałbym tylko newralgiczne dane (kontenerowo), ew. pojedyńcze katalogi....

Dokładnie. Zwłaszcza, że jeśli coś się "podzieje" z szyfrowaniem, to:
- bez szyfrowanego roota jestem w stanie spokojnie odpalić system,
- z zaszyfrowanym w $HOME tylko tymi katalogami/plikami, które w istocie winny być zaszyfrowane, mam łatwość odpalenia swojego środowiska w sposób umożliwiający mi wygodną pracę.
Dane, które szyfrowania wymagają - nadal szyfrowane są. Pytanie co z nimi zrobię jak się szyfrowanie posypało jest inną kwestią.

Rozumiem Wasze racje. Widzę też, że bez zbędnych komplikacji (i dodatkowej nauki z mojej strony) mógłbym zastosować pod linuksem znane mi z Windowsa rozwiązanie z VeraCrypt i byłoby wystarczająco bezpiecznie - najwrażliwsze dane przechowywane w szyfrowanym kontenerze i po sprawie.

Ale... naprawdę czuję komfort psychiczny na myśl o zaszyfrowanym dysku. Bez szyfrowania "ogólnego" będę czuć się nago, mając wrażenie że w przypadku kradzieży laptopa zwykły złodziej-amator odpali system i ma wgląd do mnóstwa informacji (ale nie ma oczywiście do kontenera). Rozumiem, że być może jest to ochrona złudna i iluzoryczna czasami, która daje mi poczucie bezpieczeństwa wyłącznie dlatego, że jestem laikiem i nie mam Waszej wiedzy. Ale... wolę dmuchać na zimne. I wiedzieć że jak jakiś Seba spod bloku mi ukradnie laptopa to na widok ekranu startowego linuksa wymagającego hasła żeby cokolwiek odpalić zapewne sobie odpuści i będzie wolał wyrzucić dysk niż się z nim bawić.

A tak jak kiedyś pisałem - jak coś mi się podzieje z systemem/dyskiem i nie będę w stanie dostać się do szyfrowanych partycji... trudno. Będą regularne backupy więc nie martwię się tym. Postawi się system od nowa/kupi nowy dysk w przypadku awarii fizycznej i zaczynamy zabawę od nowa.

Mniejsza z tym.

Bawię się instalacją Xubuntu w Virtual Boxie. Przy instalacji ręcznie ustawiłem tylko 2 partycje - szyfrowany root i szyfrowany home. W tym momencie instalator mi wyskoczył z komunikatem, że główny system plików nie może być na szyfrowanej partycji i mam założyć osobną partycję /boot.

W tym momencie trochę mi się to poukładało w głowie. To o czym pisaliście, że partycja /boot jest niepotrzebna dotyczy tylko i wyłącznie sytuacji kiedy root pozostaje nieszyfrowany, prawda?
A jak robię szyfrowanego roota i szyfrowane home to muszę obowiązkowo stworzyć nieszyfrowane boot?
Dlatego we wszystkich tutorialach widziałem to osobne /boot bo tutoriale dotyczyły szyfrowania całego dysku, łącznie z rootem i home.

Cytat: mark w Styczeń 15, 2019, 03:37:27 PM
Ale... naprawdę czuję komfort psychiczny na myśl o zaszyfrowanym dysku. Bez szyfrowania "ogólnego" będę czuć się nag

To w takim razie powinieneś do kompletu jakiś aluminiowy kapelusz założyć... ;)
- to oczywiście żart...

W porządku, nie obrażam się o takie rzeczy, a że momentami zapewne trochę przesadzam to wiem  ;)
ALE. Czasem wolę dmuchać na zimne.

Cytat: pavbaranov w Styczeń 14, 2019, 10:19:54 PM
Zamiast Kubuntu - jeśli coś ma być na debianowatych - sprawdź sobie jeszcze np. Neona (w którejś wersji), Nitrux, Netrunner itd...

Ciekawostka - z tego co wyczytałem to bug nie pozwalający na ręczne partycjonowanie i szyfrowanie w instalatorze występuje aktualnie na wszystkich instalatorach Ubuntu-pochodnych opartych na KDE. Czyli na Kubuntu, Neonie itd.... Żeby było ciekawiej, problem pojawiał się ludziom już na wersjach 16... i trwa do dzisiaj.

Powiem Wam, że bawię się w wirtualnej maszynie różnymi dystrybucjami i ich instalacjami.

Z tego co widzę, to np. Feodra i openSUSE mają bardzo mocno konfigurowalne instalatory i można dowolne partycjonować i szyfrować, czego nie można zrobić w Ubuntu-pochodnych, bo ichniejszy instalator jest mocno ograniczony.

Co robię źle?

Otóż, próbując zainstalować coś opartego na instalatorze Ubiquity, przed samym rozpoczęciem instalacji trafiam na ścianę. Po kolei co robię:

1. Odpalam Minta/Ubuntu z USB i wybieram instalację.
2. Wybieram ręczne partycjonowanie.
3. Tworzę nową tablicę partycji MBR.
4. Tworzę sda1 o wielkości 512mb, ext2 i punkt montowanie /boot - nieszyfrowane, partycja podstawowa.
5. Tworzę sda2 o wielkości 25GB i wybieram opcję "fizyczny wolumin do szyfrowania", wpisuję hasło X. Partycja podstawowa.
6. Tworzę sda3 o wielkości 2GB i wybieram opcję "fizyczny wolumin do szyfrowania", wpisuję hasło Y. Partycja podstawowa.
7. Tworzę sda4 o wielkości ....GB i wybieram opcję "fizyczny wolumin do szyfrowania", wpisuję hasło Z. Partycja podstawowa.
8. Ustawiam odpowiednie punkty montowania (/dev/mapper/sdaX_crypt):
- /
- swap
- /home.
Dla roota i home system ext4, dla swap przestrzeń wymiany.
9. Urządzenie dla instalacji rozruchu dev/sda.
10. Klikam instaluj.

W tym momencie dostaję komunikat: "Próba zamontowania systemu plików ext4 na Szyfrowany wolumin (sda5_crypt) w / nie powiodła się". Możesz kontynuować partycjonowanie z menu partycjonowania."

Co robię źle?
Praktycznie w 99,9% odtwarzam tutorial znaleziony pod adresem:
http://linuxbsdos.com/2014/01/16/manual-full-disk-encryption-setup-guide-for-ubuntu-13-10-linux-mint-16/

Wygląda na to, że tam zadziałało.

Uwagi:
- problem występuje mi w VB jak i podczas prawdziwej instalacji,
- tak, zdaję sobie sprawę że jeśli by mi się powiodło to będę 3 razy wprowadzać hasło przy rozruchu,
- próbowałem te fizyczne nośniki do szyfrowania ustawiać jako partycje podstawowe, próbowałem też jako logiczne. Zawsze ten sam komunikat o treści jw. wyskakuje.

ps. dlaczego np. Fedora bez problemu pozwoliła mi na taką operację podczas instalacji a z Ubuntu-pochodnymi jest problem? W sensie - Fedora bez problemu pozwoliła mi zrobić 4 osobne partycje (boot, /, swap, home) i przy odpalaniu 3 razy prosi mnie o hasło i wszystko śmiga aż miło.

Jedno krótkie pytanie: UEFI?
Reszty nie chce mi się czytać, a pytanie dotyczy FS na /boot

Cytat: pavbaranov w Styczeń 18, 2019, 06:12:45 PM
Jedno krótkie pytanie: UEFI?
Reszty nie chce mi się czytać, a pytanie dotyczy FS na /boot

Tzn? Przyznam szczerze, że nie rozumiem Twojego posta i tego co miałeś na myśli.

Co do UEFI - ustawiłem wszystko na tryb Legacy, robię tablice MBR itd.

Ok mniejsza z tym, poradziłem sobie z tematem w ten sposób, że najpierw odpalam instalację, dzielę dysk na niezaszyfrowane /boot oraz na 3 fizyczne nośniki do szyfrowania, ustawiam hasła i więcej nic. Wyłączam program instalacyjny.
Następnie wchodzę do GParted i ręcznie formatuje ww. partycje do ext2 (boot) i ext4 (/ oraz /home), a swap jako swap.
Dalej znowu uruchamiam instalatora i wskazuję punkty montowania itd. Dalej instalacja idzie normalnie, nie wyskakują żadne komunikaty czy błędy, czyli problem zażegnany  ;D

Ale utknąłem znowu w innym miejscu. Po zakończonej instalacji system bootuje jedynie do pewnego momentu. Uruchamia się GRUB, wybieram Ubuntu po czym system nie pyta mnie w ogóle o hasła i zatrzymuje się na etapie initramfs. Czyli domyślam się, że system nie widzi (nie umie znaleźć) roota i skąd ma go odpalić. Pytanie tylko czy chodzi o jakiś prosty błąd, czy też nie ma szans go odpalić bo jest przecież zaszyfrowany i brakuje mi jakichś poleceń które kazałyby pytać o hasło. Nie wiem jak to rozumieć.

Po wpisaniu 'exit' w initramf wypluwa mniej więcej:
gave up waiting for root file system device
check rootdelay
missing modules (cat /proc/modules; ls/dev/)
ALERT! UUID= ................................ does not exist. Dropping to a shell


Szukam w necie jak to obejść, co z tym zrobić. Na razie bez skutku.