Несколько вопросов по кондефициальности

1. Не знаю, наверное, скрипт налабать в initrd

2. Шифрануть полностью диск, а загрузчик на флешке, например, держать.

3. В общем случае никак. Только если при перезагрузке этот контейнер самому не монтировать вручную.

1. Какими-то мутными ухищрениями. Профиль - есть профиль, если к нему пароль неверный, то будет отказ входа в аккаунт.

2. Как написали выше, полное шифрование диска.

3. Да, только через шифрование. Но контейнер можно настроить на автоматическое размонтирование только, если доступен к нему ключ. А если он доступен, то будет доступен и root.

1. Ответили
2. Внешний загрузочный носитель, но смысл скрывать ОС?
3. В целом никак, нужно доверять провайдеру.
Самый сложный с точки зрения владельца железа вариант, это шифрование на дедике.
Без перехвата ключа сделать ничего нельзя.
На шаред хосте с любой виртуализацией можно защититься только от атаки на холодные данные.

1. Сделай бардак в /boot/grub/grub.conf, кучу пунктов меню: test1, test2, dev1, ... test_devN. У меня такое по дефолту получается, сам забываю где какая система...

2. Шифровать надо диск целиком с выносом header на другой носитель.

3. Ключ шифруется GPG. Пользователь чтобы добыть ключ должен его каждый раз расшифровывать с помощью gpg и пароля. Ключ не должен попадать в переменные среды и на диск, используй '|' (прога должна читать свой ключ с стандартного ввода).

Начнем с того, зачем повышать анонимность и конфиденциальность? Такие тараканьи бега только приведут к повышению интереса. Не говоря уже о том, что хотелки не то что исключают, но сильно избыточны.

Спасибо всем кто откликнулись, теоретический и я понимаю что все пункты кое как можно выполнить, но хотелось бы готовое решение или тех. наводку.

По поводу анонимность и конфиденциальность исходя из факторов, стоит такая задача, к сожалению не буду детальное описывать причину.

Спасибо.

... хотелки ... но сильно избыточны.

Пункты 2, 3 - есть необходимый минимум и используются по дефолту в OS которые пытаются быть безопасными.

Обоснуй избыточность п.1. Безопасность не бывает избыточной. Если кто просто и дёшево организует, то почему нет?

Шифрование диска LUKS - это дефолт, который нужен всем и обязательно. Просто потому, что обычная ситуация, когда носитель информации не зашифрован, и которое десятилетиями почитается за норму - это неинтуитивная, идущая в разрез с ожиданиями пользователя, практика, построенная на понятных желаниях айтишников жить всегда в «режиме дебага», и неявно поддерживаемая корпорациями и государством.

На самом деле, это фундаментально неверный подход, выходите из «режима дебага». Пароль на комп должен реально защищать твои данные, а не являться декорацией для разделения прав, которое суть пшик, если, вынув носитель, мы все эти данные получаем в полном объеме без всякой защиты.

Это относится к любой вычислительной технике. А операция «вынуть носитель» начинает играть новыми красками, если мы вспомним про хостинг, как ТС правильно упомянул.

хотелось бы готовое решение или тех. наводку.

1. Имеется множество решений на разных уровнях...

2. Некоторые инсталлеры Линуксов так и устанавливают OS для защиты данных от кражи и установки буткитов в загрузчик: диск шифруют с выносом первых 10-1000Mb на флешку с загрущиком. Так при кражи ноута не украдут с него данные, а при оставлении не установят буткит.

3. Ключи на диске должны хранится только в шифровании виде и при использовании ключа пользователь должен вводить пароль для его расшифровки. Другого пути не существует.

Как можно спрятать файлы так что бы не было доступно даже РУУТ пользователю

В *NIX для ограничения прав root есть разработаны технологии мандатного контроля доступа. Используются для защиты данных и минимизации ущерба при компрометации пользователя root. Это очень дорогая технология безопасности и для защиты только файлов ключей ее не внебряют. Ключи шифруют с паролем как упоминали выше.

Избыточность пункта один - это загрузка фэйкового профиля при полношифрованном диске? Это такое себе. Тем более будет очевидно, что профиль фейковый - достаточно будет посмотреть на mtime файлов, например. Или как используется диск. Так-то такой модуль для PAM можно накидать за день, сильно не напрягаясь, имхо. Но это никому не нужно.

По дефолту в ос, старающимися быть безопасными есть неподконтрольные суперпользователю участки? мммдя.

Не зная причин, и векторов угроз, хорошие советы дать не получится.

Избыточность пункта один - это загрузка фэйкового профиля при полношифрованном диске?

Мы не знаем его модель угроз. Видать боится кого-то с начальником.. При виде начальника хочет грузить фейковый профиль. Атрибуты файлов не проблема.

в ос, старающимися быть безопасными, есть неподконтрольные суперпользователю участки?

Да, есть очень много участков ОС закрытых мандатным контролем доступа для суперпользователя!

's/начальника/паяльника/' - ИИ спелчекера похерил суть.

Нет, не нужен. Шифрование - не серебряная пуля, и далеко не всегда оно обязательно необходимо. Как минимум, шифрование - это выбор между секьюрностью и восстановимостью данных. Если у тебя гикнутся партишены на незашифрованном диске - ты возьмешь photorec/testdisk и вытащишь, что тебе там надо. Если умрут ключи в LUKS, то останется лишь развести руками.

И лезть за бэкапами. И которые если храняться в незашифрованном виде, то это уже как минимум забавно в данном, а если зашифрованными - то будет самый смех, если ключ к ним лежал на мертвом диске.

Так что инфратруктурные издержки с правильной поддержкой шифрования растут весьма значительно.

Обясню за другого анонима.

Шифровать необходимо все что «выходит из дому», находится вне закрываемого помещения - ибо украдут и стырят данные.

Шифровать необходимо даже комп в закрываемом помещении если на нём есть две OS - ибо с одной ОС могут повредить, стырить другую.

Бекапить данные необходимо, по мере накопления, в любом случае - не зависит от использования шифрования. Шифровать ли бекап зависит от разнородности секретности хранимых на одном носителе данных и гарантий защищённости места хранения - может бекап хранится нешифрованым в сейфе..

Конечно, не серебряная пуля, я этого не говорил. Это необходимое требование ко всему. Ну, просто как требование электричества для запуска компа: никто же не говорит что оно серебряная пуля.

На счет инфраструктурных издержек... Кто-то и DHCP ленится поднимать в офисе, мол и так статику вобьет. Отсутствие шифрования - это компромисс, технический долг, который аукнется, если вор ноутбука, например, будет чуть умнее быдлана.

Народ до сих пор думает, что защита логина паролем это ппц какое достижение. Шифрование же - ого-го какое рокетсайнс. А по сути, это должны быть неразлучные составляющие.

Вот такая моя позиция. Не надо мне рассказывать, что бывают частные случаи, это и понятно, и негативные отдельные примеры против моей позиции не изменят базового посыла.

Ну если кто-то всерьез хочет применить паяльник, он наверняка увидит недоступную область некислого размера. и все равно внедрит паяльник ради доступа к этой области.

В системах мандатного доступа все равно есть суперпользователь, выдающий токены этого доступа.

Отсутствие шифрования - это компромисс, технический долг

добавлю И не только компромисс, но и упомянутый «дебажный режим», когда инфраструктура еще не готова. Но такой дебажный режим забывают отключить, т.к. это считается нормальным несознательно. А это неправильно, всёравно что не включить фаервол на продакшене

Ну если кто-то всерьез хочет применить паяльник

Если кто-то хочет применить паяльник, он его применит, независимо ни от чего.

Пророки паяльника почему-то не рассматривают возможность того, что желание применить паяльник часто может возникнуть после получения доступа к свободно лежащим данным.

Ну если кто-то всерьез хочет применить паяльник, он наверняка увидит недоступную область некислого размера. и все равно внедрит паяльник ради доступа к этой области.

Можно сделать так что не заметит.

В системах мандатного доступа все равно есть суперпользователь, выдающий токены этого доступа.

Нет такого в работающей системе!

Пользователь root имеет неограниченный доступ только при выключенном мандатным контроле доступа и может его настроить. После включения мандатного контроля доступа root им ограничивается и отключить уже не может. Включают MAC еще на этапе загрузчика выбором ядра ОС - с MAC или без него.

Если кто-то хочет применить паяльник, он его применит, независимо ни от чего.

В этом случае пункт 1 надо чуть изменить:

1.
Необходимо иметь возможность ввода 3 паролей:
1-пароль - грузит нормальный профиль.
2-пароль - грузит фейковый профиль.
3-пароль - грузит фейковый профиль и втихаря уничтожает нормальный профиль.

Я и не спорю. у самого на ноуте хоум партишн зашифрован. на подкроватном сервере, куда бэкаплюсь боргом - не зашифровано ничего.

Я, в общем,в отличие от другого, пожелавшего остаться неизвестным, считаю, что шифрованию совершенно не обязательно быть поведением по умолчанию, а быть результатом обдуманного технического выбора с пониманием угроз, точек отказа и прочего

Именно! В лайтовом варианте, т.к. фейковый правдоподобный профиль - это сложно, лишь уничтожать данные. Просто «сбой», ничего личного.

Ну я не вижу тривиального и секурного способа спрятать на файловой системе несколько сотен гигабайт. особенно на современных технололгия с CoW, trim и так далее.

И с каждым шагом начинаем усложнять, и эрго увеличиваем вероятность того, что это все будет отключено ради удобства.

правдоподобный профиль - это сложно

Почему? Один профиль используешь для работы, а фейковый для того чтобы пообщаться на ЛОРе и прочей фигни. Хорошо сделанный фейковый будет выглядеть правдоподобные нормального!

В общем бекапы надо шифровать, если бекапы содержат ключи, пароли и секретную инфу то шифрование уже обязательно. Бекапы должны быть не на сервере, а на семных носителях: В чём принято держать базу содержимого съёмных накопителей? (комментарий)

это все будет отключено ради удобства

Сегодняшние инсталляторы всю эту конфиденциальность делают по умолчанию, без вопросов к пользователю и потребности его что-то понимать. Ввёл пароль, расшифровались диски и включился комп, или расшифровали ключ и запустили прогу.

Но в моментах взаимодействия с интернет ресурсами подконтрольными корпорациям и государствам уже приходится выбирать между конфиденциальностью, безопасностью и удобством использования этих сайтов, возможно придётся от чего-то отказатся.

Я имел в виду мандатный доступ. Ну и мое искреннее убеждение, что государственный сектор интернета гораздо приватней коммерческого. Имхо, сейчас большая проблема в мириаде алкающих любой с тебя информации маленьких братьев, чем от опутанного регламентами старшого.

Очередной хомяк овального пытается играть в анонимность. Ах-ха-ха.

Больше внимание урокам уделяй, а для своих данных использую обычный luks без всяких флешек и 2-ых/4-ых паролей. Если кому-либо нужно получит с тебя определённые данные, то они это спокойно сделают. Методов уйма.

отключить

Я имел в виду мандатный доступ.

Его может отключить только админ с правами менять настройки и ядро при загрузке. Но это лечится со временем, долгим нытьем о руткитах в GNU/Linux Расскажите как вы защищаете свои рабочие станции?

Ну и мое искреннее убеждение ...

Это не так по двум причинам.

1. Отсутствие базового образования

2. Высшее руководство, до сих пор, на уровне дремучих средних веков пытается что-то сделать в ИТ безопасности. В руководстве нет людей которые могут понять что есть матмодели гарантирующие некие аспекты безопасности, а поверить не хотят. В их головках безопасность определяется исключительно мозготрахом, и чем больше последнего тем по их мнению больше безопасность. Это очень сильно вредит ИТ.

Не соглашусь - динамика утечек данных намекает на обратное соотношение. Да и повторюсь, сбор данных государством все-таки ограничен регламентами, что для чего необходимо (в России). В отличие от бизнеса, который бы даже не прочь для таргетированной рекламы знать цвет трусов и количество родинок.

Повторю, история утечек от Фйэсбука до Мегафона говорит, что там ничуть не лучше, а зачастую наоборот.

Как это всё сделать с тех. стороны частично осилил, но как на практике? Из 3 пунктов не на один не увидел конкретное решение. :(

Конечно ключи будут на отдельном носителе, А если вообще без ключей, а только паолям с 32 символов?

2. Некоторые инсталлеры Линуксов так и устанавливают OS для защиты данных от кражи и установки буткитов в загрузчик: диск шифруют с выносом первых 10-1000Mb на флешку с загрущиком. Так при кражи ноута не украдут с него данные, а при оставлении не установят буткит.

Очень интереснно, где бы прочитать как?

Ключи шифруют с паролем как упоминали выше.

Можно по-подробнее :( ?

Было довольно интереснно всё прочитать, от себя только скажу что,

Всё довольно просто, есть компания у которой есть кондеф. документы, БД и прочее, те. чиста внутреная кухня, как на Серверах так и на ДЕсктом машинах.
3-я сторона может получить доступ к носителю, и далее вынудить пароль. Поэтому надо предоставить такой пароль который загрузит ОС и на ней ничего нету.

Ключи шифруют с паролем как упоминали выше.
Можно по-подробнее :( ?

3. Ответ тоже полностью дан в первом моём посте. Все файлы коючей принято держать на диске только в шифрованном виде, применения мандатного контроля доступа для скрытия не шифрованные ключей считаю ошибкой безопасности.

Для шифрования ключа используется программа шифрования я написал какая, прочти к ней документацию. При расшифровки ключа запрашивается пароль и расшифрованый ключ «по трубопроводу» передаётся на стандартный ввод твоей программы. Тебе надо прочесть документацию по этим двум программам, чтобы указать нужные опции.

Очень интереснно, где бы прочитать как?

2. Ты в первом своём посте написал что шифруешь диски luks.

Я предельно чётко ответил что для скрытия OS нужно шифровать диск целиком вынося header шифрованного диска и загрузчик на съёмный накопитель. Какой командой ты собираешься «форматировать» диск в раздел luks? Ты документацию к этой команде прочёл?