Как правильно «слезть» со скомпрометированной системы?

Ну rkhunter вам же позволили скачать и запустить :)

Сомнительно, что кто-то будет держать заражённые образы разных дистрибутивов и на лету при скачке их подменять.

-- данные заражены

-- rm -rf и выкинуть компьютер, зловред мог прописаться там основательно

-- надо было думать раньше, в следующий раз не допускай подобных оплошностей

-- с другого проверенного устройства (желательно не андроид)

Вообще - согласен, но не думаю, что это трудно предугадать. Проанализировать историю скачек дистрибутивов - и вот весь список - тройка возможных дистров и даже любимые ДЕ или ВМ очевидны. Но я ведь ищу разумный баланс, поэтому согласен идти на определенный риск, тем более не планирую зашифроваться наглухо, хотя бы исключить со старта какие-то зловреды, почерпнутые из этих интернетов, типа всяких майнеров скрытых и прочего жрущего ресурсы непотребства. Ну и чтобы майор, не слишком заинтересованый забил на попытки и использовал старые, проверенные методы, агентуру и общую инфу.

Прочитайте про Intel ME и AMD PSP. Предупреждение: может усилить паранойю вплоть до покупки/сборке железа со свободным BIOS и переходе на дистрибутивы, что рекомендованны FSF или OpenBSD.

Так у них сайт неудобно организован, хоть какие-то гайды писали бы, как собрать их чудо гнулинукс и какое железо покупать. Ну это субъективный взгляд, после непродолжительного нахождения на сайте. Может там все и есть, но мне по нраву как все это собрано на ресурсах типа

https://ssd.eff.org/ru

на лету при скачке их подменять

чексуммы проверять надо, если параноишь

Для Ъ-параноиков есть OpenPOWER

со свободным BIOS

Чем это поможет, если в чипсете отдельная операционка на базе Minix?

В этой операционке нашли уязвимости, через которые её отрубают.

https://www.gnu.org/distros/free-distros.ru.html

https://libreboot.org/docs/hardware/

А что за личные данные и в каком объеме?

Да, я видел, но боюсь таких названий, типа «gNewSense» или «Parabola GNU/Linux-libre», если на них что-нибудь случиться непонятное, я оправлюсь от этого?

в основном мне важны фото на память, ни и само собой файлик keepassx, и может конфиги какие. Но вот например страшно выглядит сохранение настроек PHPStorm'a в jar архиве.

gnewsense умер, а Parabola и Trisquel — это просто Arch и Ubuntu с некоторыми модификациями.

Ну rkhunter вам же позволили скачать и запустить :)

rkhunter

Он бесполезен.

Заманчиво звучит. А репы там арчевские и убунтовские?

Нет, свои. Пакеты просто пересобраны, некоторые изменены.

Ну что же, промежуточные итоги, я скачиваю образы, сверяю суммы, устанавливаю арчеподобную или убунтоподобную жмусистему. Окей. Что же делать с файлами, все таки удалять? Фоточки то я не смогу бросить. Как же так?

С благодарностью приму от вас полезные рекомендации.

На одном компьютере держишь данные и работаешь, на другом — выходишь в интернет.

Других рабочих вариантов особо то и нет.

Очень неплохо, я раньше не задумывался, а данные из интернета как засовывать в тот, что воркспейс/датацентр?

Мне неведом ваш уровень паранойи, поэтому предложу свой вариант. Файлы желательно зашифровать, скинуть на внешний накопитель, предварительно форматнув. Если заливать, то лучше на арендуемый хостинг. Либо можно в какое-нибудь китайское облако. Заливать стоит не из своей машины, не дома, из-под какого-нибудь лайв-свободного дистра, которые предложил Всеволод, либо - Tails. Аккаунт в облаке должен быть свежим и создан «на месте». Дома лучше сменить провайдера интернет, сменить роутер, сменить машину (опционально - заменить винчестер). Новые аккаунты почты и проч также создавать не дома, не со своей машины, использовать Тор. Номер телефона - сменить. Новый дистрибутив скачивать и устанавливать - не дома. Флешки или внешние хдд также предварительно купить новые, не использовать их, пока не наступит время «миграции».

Советую посетить даркнет и поискать людей, которые могут более детально и компетентно проконсультировать.

Вот это очень мощно. Придется тогда оставить все свои старые аккаунты на работе (они мне там нужны), а дома ваять другие?

Но провайдера и роутер я точно не сменю, потому что живу с людьми, это их роутер и провайдер.

И еще. Нужно держать отдельный зашифрованный раздел на диске, где будете хранить личные данные. Раздел монтировать при выключенном интернете. В интернете сидеть при отмонтированном разделе.

Очень правильно, если есть, чего опасаться. Я вот на некоторые аккаунты не хожу на рабочей тачке. Никакого криминала, но навык разделения личного и рабочего надо развивать хотя бы «на всякий случай».

Ну, в действительности это крайняя мера, которая вам понадобится, наверное, лишь в том случае, если вы торгуете детьми или замышляете переворот, но в тогда вам здесь никто помогать не будет. Если же речь о простой предосторожности, то обычной информационной гигиены будет достаточно.

Ну естественно, я в целях простой предосторжности и интересуюсь. Просто неприятно, когда тебя ведут.

Понял. Если вас уже ведут и вы об этом знаете наверняка, то лучше не дергаться, не мешать и не давать повода для подозрений. Захотят вести дальше после «миграции» - найдут другой способ, о котором вы не догадаетесь. Попробуйте трюк с зашифрованным разделом диска, а в остальном - ведите себя, как обычно.

Можете поискать литературу на тему шпионажа. В сети есть литература за авторством бывших сотрудников спецслужб, где они хорошо разжевывают многое - от обнаружения слежки до полной смены личности.

У меня rkhunter нашёл предположительно 6 руткитов. Manjaro Вывод: надо смотреть лог файл, от рута /var/log/rkhunter.log Там ничего опасного

просто местные службы, а я с ними столкнулся уже не один раз, ведут себя топорно, все эти мифы слегка преувеличены, что там какие-то спецоперации проводятся или что-то подобное, зачастую устраняют конкурентов и действуют как ЗАО, со своим приоритетом в задачах. Только бизнес.

Choose life. Choose a job. Choose a career. Choose a family. Choose a fucking big television.... (с)

И еще. Нужно держать отдельный зашифрованный раздел на диске, где будете хранить личные данные. Раздел монтировать при выключенном интернете. В интернете сидеть при отмонтированном разделе.

Что такое защищенный сервер? Это сервер запертый в сейфе, залитым бетоном, отключенный от всех сетей (включая электрическую), но... все равно сломают (с)

Ну это же сколько надо мощностей задействовать, неужто я стою таких трат.

А кто вас знает. ) Но это был не более чем стеб, точнее цитаты, как и выше, первая из Trainspotting если вы не в курсе.

Очень неплохо, я раньше не задумывался, а данные из интернета как засовывать в тот, что воркспейс?

Да можно на обычной USB-флешке.

Мммм, флешка. Очень много я помню в безопасности уделено флешке.

Отчасти потому, что имел неприятное общение с сотрудниками ЦПЭ и ФСБ.

При терморектальном криптоанализе, вы вспомните даже фамилию пра-пра-пра-пра-бабушки.

Тупейшая научная рекомендация: проверить на ложное положительное сраатывание.

• Взять флешку, поставить на нее точно такой же дистрибутив (а в идеале - ту же версию), который стоит сейчас.
• Загрузиться с флешки.
• Поставить по возможности тот же софт, который стоит в основной системе. Данные не переносить.
• Поставить rkhunter и lynis.
• Проверить полученную чистую систему.
• Сравнить список предупреждений (в котором, по построению, любое срабатывание является ложным) с таковым от «грязной» системы.

Если различий нет, то и параноить незачем.

Я даже скажу бывают более неприятные вещи, чем эта, которые, слава здравому смыслу, не случились. Например я разок был в ЦПЭ, где меня душили, и позже угрожали, что твои товарищи сейчас уедут, а ты останешься на заключительный аккорд.

Тоже вариант, вдруг мальчика и не было.

Мммм, флешка. Очень много я помню в безопасности уделено флешке.

Сложно понять что ты написал, если честно.

Если ты про атаки на контроллеры и air-gapped malware в общем, то не думаю, что это хоть как-то актуально для твоей модели угроз.

Хорошо, не буду параноить

Писец. Сочувствую. (

Да, самого по себе air gap достаточно даже при использовании обычных флешек для передачи данных.

Air gap один из единственных методов, что действительно работают, а не представляют из себя «театр безопасности».

ну да, то есть я буду работать со своими данными в изолированнном пространстве, откуда ничего не утечет.

Хочу часть своих данных сохранить в облаке.

А почему не на своём внешнем диске? Или уже появились данные, которые при подключении диска автозапускаются? Гусары, про autorun.inf на флешках молчать.

ну так а под линукс не таких «фич» для флешки?

// нет

Итак далее итоги, после установки убунто-арчеподобного дистрибутива, разделяю домашнее пространство и рабочее, возможно придется приобрести еще один девайс (ноут например).

Не знаю. Я про такие ещё не слышал.