Dropbox и подобные сервисы.

Не храни конфиги с паролями.

Стеганографируй картинки и складывай в директорию hot_chicks_2014_xxx_unlimited_ultrahd_bdrip_jpeg

Как бы поступить параноику?

Ко врачу по таким делам.

Или, как пользуешься (пользуешься?) этими сервисами лично ты?

Не параною. Просто заливаю нужное

Не храни конфиги с паролями.

Стараюсь как могу. Но иногда приходится. Есть пара прог которые нужно обязательно запускать при старте системы, но пароли они воспринимают только как «programm --pass=xx».

Стеганографируй картинки и складывай в директорию hot_chicks_2014_xxx_unlimited_ultrahd_bdrip_jpeg

Какие картинки? Строка выглядит как прон какой-то, … ничего не понял.

Юзай gpg тогда, чего уж там. Тем более, что пользоваться им довольно просто.

Лично я храню в дропбоксе небольшой архив с важными ключами, зашифрованный симметрично.

Ко врачу по таким делам.

Да да, знаю, вот я сюда и пришёл :) .

Не параною. Просто заливаю нужное

Ну допустим. А если это что-нибудь из ~/.ssh/ или там /etc/ppp/*-secrets . Что делать? А у меня есть и ещё куча файлов и скриптов посерьёзнее.

Ну так правильно.
1. Читаешь про стеганографию.
2. Применяешь на практике.
???
N. Профит!

Юзай gpg тогда, чего уж там. Тем более, что пользоваться им довольно просто.

Лично я храню в дропбоксе небольшой архив с важными ключами, зашифрованный симметрично.

Вот интересен сам метод хранения этого-зашифрованного-всего там. Как именно заливаешь? Может есть что-то вроде скрипта?

Я назначил дропбоксу для синхронизации специальный каталог. Руками запаковываю необходимые ключи в архив, шифрую с помощью gpg --symmetric, кидаю в тот каталог, запускаю dropboxd. Собственно, всё. Можно и простым скриптом, только в моем случае перезаливать надо редко, поэтому автоматизировать лень.

А можно вообще упорото сделать - запилить образ с небольшой файловой системой, на которую навернут encryptfs, или сам образ зашифрован через LUKS. Его содержимое синхронизируется при помощи rsync с остальной системой, dropboxd же при необходимости перезаливает как раз этот зашифрованный образ.

запускаю dropboxd

Так дело в том блобе (dropboxd).

Понятно, что можно зашифровать всё и вся и кинуть ему на скормление.

Но ведь не известно, успокоится ли он после прочтения указанного каталога для синхронизирования. И не пойдёт ли дальше шуршать по винту и «синхронить» те каталоги которые ты не указал.

dropboxd же при необходимости перезаливает как раз этот зашифрованный образ

Опять же — dropboxd.

Использую систему «нипель».

rsync нужных файлов во временную папку, там gpg, потом в удаленный гит. копию всего этого добра в tgz и на owncloud. Вся система работает на ключах и сертификатах.

Да, знаю, что все это через задницу (как раз сейчас думаю, как это чуть упростить), но поскольку все конфиги и скрипты льются в тот же git, то переразвернуть это все не составляет труда.

Использую систему «нипель».
…

Выглядит так как я хочу.

Но что-то быстрый гугл выдал то что этот owncloud — программа для своих собственных ВПСок и сервачков. А мне бы хотелось заюзать что-нибудь халявное и по возможности энтэрпрайзное ) .

Wuala

/thread

Ну owncloud - это лишь способ размещения файлов. По сути, вся секурность этого метода в gpg. Шаг с гитом не обязателен, потому как в моем случае по http он открыт (не публично, конечно, но при знании ссылки слить без авторизации можно - но тут можно заморачиваться). Вместо owncloud тоже можно подставить любую файлопомойку, которую удобно.

Wuala /thread

И чем оно отличается от всяких дропбоксов? Сырцов невидно. Предлагают скачать их блоб, который будет сливать им всё моё барахло? Ещё и на жаве? Какой тут «/thread»?

Я почти уверен что тут есть человек «пользующий» подобные сервисы на халяву и секурно (без блобов).

Шифрование на стороне клиента, пароль хранится локально и никуда не передаётся (привет, дропбокс!)

Ну owncloud - это лишь способ размещения файлов. По сути, вся секурность этого метода в gpg. Шаг с гитом не обязателен, потому как в моем случае по http он открыт (не публично, конечно, но при знании ссылки слить без авторизации можно - но тут можно заморачиваться). Вместо owncloud тоже можно подставить любую файлопомойку, которую удобно.

Но файлы на эти «помойки» нужно как-то заливать.. Зашифрованный контент у меня уже готов. Вопрос как его надёжно залить во что-нибудь бесплатное.

Шифрование на стороне клиента, пароль хранится локально и никуда не передаётся (привет, дропбокс!)

Ты забыл добавить что при установки например из .deb — наверняка будет висеть невесть-что (ещё и с правами рута) в системе. И откуда ты знаешь что завтра оно само себя не обновит и не сольёт всю твою систему кому-нибудь без шифрования?

Или у неё есть сорцы?

конфиги можешь хранить на bibucket, остальное на dropbox/minus

А что толку их шифровать?

facepalm.jpg

системе
всю твою систему

Запнулся. Под «всю твою систему» я имел ввиду «все твои системные файлы».

Создать файл с cryptfs внутри и можно хоть в публичном доступе в Dropbox хранить. Главное — ключ надёжно спрятать.

facepalm.jpg

Почему facepalm?

У тебя работает особый, навороченный/кастрированный dropboxd который не умеет «ходить» по винту?

Ты забыл добавить что при установки например из .deb — наверняка будет висеть невесть-что (ещё и с правами рута) в системе.

Рут не нужен, достаточно добавить себя в группу fuse

И откуда ты знаешь что завтра оно само себя не обновит и не сольёт всю твою систему кому-нибудь без шифрования?

Здесь играет только доверие/недоверие к разработчику, в данном случае LaCie. И откуда ты знаешь, что завтра сервер $program_name не скомпрометируют, и не внедряет туда трудно обнаружеемый бэкдор?

Или у неё есть сорцы?

Очевидно, что где-то они существуют :)

У тебя работает особый, навороченный/кастрированный dropboxd который не умеет «ходить» по винту?

У меня не работает dropboxd. Но, если бы он был мне нужен, а у меня была паранойя, я бы нашел способ его ограничить.

С такой-то пароноей и не следить постоянно что висит в системе??

на bibucket

Ок, посмотрю. Но это, как я понял обычная vcs, то-есть немного отличается от заголовка. Каждый раз при изменении руками придётся делать push (или типа того)?

Создать файл с cryptfs внутри и можно хоть в публичном доступе в Dropbox хранить. Главное — ключ надёжно спрятать.

Это же не поможет блобу dropboxd кроме примонтированного cryptfs-файла лазать по всему винту? Или поможет, но я не улавливаю как?

У меня не работает dropboxd. Но, если бы он был мне нужен, а у меня была паранойя, я бы нашел способ его ограничить.

selinux, apparmor и подобное?

...а так же контейнеры, виртуалки, chroot и тупо запуск от ограниченного в правах пользователя.

С такой-то пароноей и не следить постоянно что висит в системе??

Вот попробовал его на вкус. Висит от моего имени, но во первых, это не мешает ему читать всё читаю я, во вторых, у меня слишком много сконцентрировано в ~/bin .

http://www.tarsnap.com/

Не пользовался, но знаю о существовании.

...а так же контейнеры, виртуалки, chroot и тупо запуск от ограниченного в правах пользователя.

Хм.

Ну в контейнер я его положить не могу по той причине что мне нужно синхронизировать некоторые системные конфиги.

Это же относится и к виртуалкам.

(Хотя, может я чего-то не знаю? Был бы рад услышать.)

С chroot'ом приходилось сталкиваться, но пока никак не укладывается в голове — каким образом это можно организовать? Ну так чтобы кое-что и из /etc/ и из, скажем, /mnt/1/box/ всё синхронилось?

Вот про ограниченного пользователя. Хорошо. Наверняка тут можно что-то придумать. Но, блин, это такой геморрой… (ну или я не додумал).

http://www.tarsnap.com/ Не пользовался, но знаю о существовании.

Опять pricing, чувствую подвох, но спасибо, сейчас почитаю.

Ой. Сори. Качаю исходники. Пока оно мне очень нравится ) .

Ну в контейнер я его положить не могу по той причине что мне нужно синхронизировать некоторые системные конфиги.

Конфиги тарить по крону, шифровать и подбрасывать в контейнер.

Конечно, можно и просто смонтировать нужные каталоги внутрь контейнера (и виртуалки), но тогда ты доверяешь dropboxd и шифрование теряет смысл - «Короче, бред».

Насчет chroot - bind mount; насчет пользователя - просто закрой хомяк (или что ты там скрываешь) по чтению/исполнению; и вообще кури матчасть.

Насчет chroot - bind mount;

Да, разобрался, спасибо. -О бинд я и забыл совсем. Думаю что мне вполне подойдёт скрипт в кроне который будет сувать туда симлинки на все нужные файлы и каталоги, а в чруте будет крутится тот-же дропбокс. Будет всё почти синхронно работать и даже есть плюс в том что когда правишь один файл и несколько раз его сохраняешь, то дроп будет жрать его не чаще чем раз в минуту.

Хотя это костыль!! )

git внутри encfs, а encfs уже куда хочешь

А что толку их шифровать?

Это как понимать? Трукриптовые контейнеры с дикими алгоритмами уже научились ломать?

git внутри encfs, а encfs уже куда хочешь

Смотри тред. Станет понятно что проблема не в том чтобы взять что-то шифрованное и засинхронить в дропбокс. Проблема в том что пока ты подключаешь, кладёшь своё добро и отключаешь свои крутые ФСы, dropboxd бороздит просторы твоего винта и завтра, получив сигнал, или просто проглючив, начнёт сливать твою инфу кому ни попадя, а ты ничего не поделаешь, это блоб.

Это как понимать? Трукриптовые контейнеры с дикими алгоритмами уже научились ломать?

Смотри предыдущее сообщение.

Для успокоения моей паранойи достаточно пускать его под отдельным юзером без шелла. Плюс запускаю только для синхронизации маааленького архива на пару секунд. Ценные данные и так зашифрованы, плюс намного сложнее для dropboxd подслушивать клавиатуру (собственно, это я и считаю наибольшей уязвимостью). В фсб не работаю, секретными данными не обладаю, на тырение фоточек в стиле «я и мой ковер» пофиг.

Для успокоения моей паранойи достаточно пускать его под отдельным юзером без шелла.

В этом случае, все файлы доступные для чтения будут доступны для него.

Хотя, мысль твоя мне понятна, только вот реализовать на практике кажется ещё сложнее чем то же монтирование только нужных файлов/каталогов в чрут.

на пару секунд.

Этого ему вполне достаточно. Даже много.

намного сложнее для dropboxd подслушивать клавиатуру (собственно, это я и считаю наибольшей уязвимостью).

Вот-вот. Запущенный всё время дроп — зло. Это по сути вирус, что то вроде бомбы, ХЗ когда «взорвётся» и начнёт творить «чудеса».

В фсб не работаю, секретными данными не обладаю, на тырение фоточек в стиле «я и мой ковер» пофиг.

Таже фигня ) . Параноидальный припадок у меня возник от паранои. А вообще я не параноик не параноик не параноик я, я вообще не параноик не параноик ) .

Как бы поступить параноику?

RAID5 и сменить предпочитаемого производителя оборудования на более надежного.

Как бы поступить параноику?

Использовать для бекапа ПО для бекапа. Dropbox это всё-таки синхронизатор. ПО для бекапа бывает вполне опенсорным и умееть gpg. Если паранойя сильна, то я бы каким-нить скриптом бы все нужные папки раз в сутки паковать-шифровал, а потом складывал бы в папочку, которая бекапиться в облака+внешний винт.

RAID5

Отличный вариант но совсем не бесплатный. Дорого, очень.

и сменить предпочитаемого производителя оборудования на более надежного.

Эх, живу в небольшом городе. 3 магазина всего. И все разы что давали то и брал ) .

Первый вестерн, в конце жизни долго стучал, почти на четверть покрытый бэдами сдох при при подключении (таскать винты для обмена инфой в начале 2000 — очень частое дело было) один из чипов начал дымыться.

Второй сигейт баракуда, тихо мирно сдох. Так сказать «внезапно».

И вот несколько дней ещё один сигейт уронил пока нёс (жопорукий рукожоп блин, впервые вынул его из почти нового компа, трёх лет нету, и вот результат).

Вот сейчас четвёртый сигейт.

Это я всё рассказал к тому, что пятого рейда (получается 3 винта) как и никакого другого рейда я себе никогда позволить не смогу.

… бекапиться в облака…

Вот именно в них хочу бэкапиться. Но так чтобы только то что нужно.