какая-то фигня.

я просто зашифровал хомяк и при загрузке ввожу пароль на хомяк…

А как насчет veracrypt ?

В моем сценарии это инвариантно. Т.е. в моем сценарии у вас пароль от хомяка совпадает с паролем Линукс логина.

ваш лэптоп с некоей коммерческой/государственной тайной и личными файлами;

А кто хранит на личном ноутбуке коммерческую или тем более государственную тайну?

Какие есть способы защиты от такой атаки

Не давать злоумышленнику пароль от учётной записи.

у меня не совпадает

Какие есть способы защиты от такой атаки кроме рекомендации использовать всюду разные пароли и выключать лэптоп на каждый чих?

Не выносить его за пределы защищённого периметра.

ВАШ лэптоп с некоей государственной тайной

За это уже полагается увольнение с конфискацией ноута, а если его еще и украдут, то уголовная статья

https://developers.yubico.com/yubico-pam/

https://wiki.archlinux.org/title/YubiKey#Linux_user_authentication_with_PAM

Не хлопать клювом.

Сканер отпечатка ещё. Так будешь гораздо реже светить пароль.

Я считаю, что тут определится нужно, или быть еще большим параноиком, защищая ноут всеми способами или вообще пароль убрать, чтобы его не узнали :D

Я к тому, что боязнь за кражу данных и в то же время боязнь банально сменить пароль противоречит друг другу.

Почему на личном? Украсть могут и рабочий. Разницы никакой.

злоумышленник узнает ваш логин/пароль от аккаунта Линукс

Лол.

лэптоп в это время, разумеется, не выключен и находится в режиме сна

ЛОЛ!

пароль доступа к ним такой же, как к Линукс логину

ЛОЛ! xD

Какие есть способы защиты от такой атаки кроме

Перестать пользоваться компьютером, это выше умственных способностей описанного поциента. xD

ваш лэптоп с некоей коммерческой/государственной тайной и личными файлами;

Коммерческая и государственные тайны только для строго контролируемого числа стационарных компьютеров.

разумеется, не выключен

Очевидно, что если есть вероятность кражи, то лаптоп будет выключен.

Ну это я особенно упоротые начальные условия выдумал. Более реалистичный вариант: тырят личный ноут без гос/ком тайны, но со всяким компроматом, Биткойн-кошельками и проч. goodies. Основная идея в том, что пароль у нас очень хороший, но он одинаковый. Может быть даже в соцсеточках он другой, каждой сеточке по своему паролю, но Линукс пароль и пароль от LUKS (veracrypt и проч.) совпадают, и на кошельках битка такой же пароль, и лэптоп всегда во сне.

Никогда не выходи из дома и всегда носи трусы верности для защиты ануса от атаки криптопаяльником.

Вот! Похоже на решение.

пароль у нас очень хороший, но он одинаковый.

Создай кейс для хранения паролей. Помни пароль только от кейса.

Вряд ли коммерческую и государственную тайну в приннципе разрешат хранить на ноутбуке.

Не знаю, как с гос, а вот с коммерческой, это обычное дело. У многих айтишников есть только лэптоп. Но это не запрещает им иметь доступ к корпоративному впн, качать доки на проприетарные решения (как на софт, так и на хард).

Ты даже не представляешь.

хранить ключи расшифровки отдельно от зашифрованных данных и от пароля

делать завершение сессии | размонтирование шифрованных директорий сброс при неудачной проверке bt wf face lockscreen timeout

в итоге зная пароль от ключей, но без ключей не просто будет расшифровать данные размонтированные, сам не проверял

крч шифруй ключи, с автоблокировкой

Под линуксами - это ужас. Поэтому проще не использовать линукс на ноутбуке.

Вот это самый ржач https://bugzilla.gnome.org/show_bug.cgi?id=753678

Michael Bayer 2021-07-22 12:43:28 UTC hello from the future ! Just upgraded to F34 and suddenly this very old issue has popped up for me again, different laptop than the one I had in 2016. Anyone else ?

1. злоумышленник узнает ваш логин/пароль от аккаунта Линукс

2. злоумышленник заходит на твой ноут по SSH

Какие есть способы защиты от такой атаки кроме рекомендации использовать всюду разные пароли

Классический «решение не предлагать»-тред, прям с ноткой ванили.

Т.е. в моем сценарии у вас пароль от хомяка совпадает с паролем Линукс логина.

злоумышленник узнает ваш логин/пароль от аккаунта Линукс

Дай угадаю, он на приклеенном стикере?

Выкинь свой сценарий.

ТС его вместе с ноутом и потеряет, «у него сценарий такой».

Разрешат, отчего же нет, только после инструктажа, прямо запрещающего гениальные идеи вроде ТСовой.

1. Ок.
2. Это никак ему не поможет залогиниться по ssh.

Если не включить вход по паролю целенаправленно, он примерно везде по дефолту будет выключен. Даже если sshd включен в принципе.

Ноутбук с мёртвой батарей отлично решает эту задачу ._.

Если не включить вход по паролю целенаправленно, он примерно везде по дефолту будет выключен.

Хорошая шутка. В 99% дистрибов в дефолтной конфиге он разрешен, а размаскируют sshd при второй же потребности в нем.

Это например в каких?

В убунте выключен, в сузе выключен. И даже если бы так, это же ССЗБ-сценарий в любом случае.

В апстриме включен, в убунте включен, в зюзе включен.

$ man sshd_config
--- 8< ---
       PasswordAuthentication
              Specifies  whether  password  authentication is al‐
              lowed.  The default is yes.
--- 8< ---
$ grep -i passwordauth sshd_config_focal
#PasswordAuthentication yes
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication, then enable this but set PasswordAuthentication
$ date +%Y
2021

Впаяй в ноут sms модуль, а от него реле подключающее батарейку (минуя контроллёр! напрямую от банок, но если нет опыта ДАЖЕ НЕ СУЙСЯ И НЕ ПЫТАЙСЯ ТАКОЕ ДЕЛАТЬ 100% бабахнёт перед твоим лицом и будешь слепой и страшно изуродован, жена перестанет любить, а дети обосцут и скажут фу чё за чертила) в короткое замыкание к плате контролёра диска ссд или чего у тебя там. Если спёрли, то шлёшь смс определённого содержания со своего телефона и ноутбук в руках вора делает бабах предварительно убив и сжарив всю плату диска. Ну или просто что-то более безопасное, просто что-бы вывести из строя контролёр диска/ссд, первое восстановить морока ибо крадут чаще железо просто. А второе тупо сгорит с концами.

А у меня пороль на биос. Добавь подпункт.

Мб я уже на автомате это делаю, ибо не помню, а у меня везде выключено.

Так или иначе:

это же ССЗБ-сценарий в любом случае

В твоём сценарии пользователь обязан быть бакланом.

Не хлопать клювом.

Садиться спиной к стене во всех общественных местах 😆

То есть ты сам только что был уверен, что у тебя это выключено, а на самом деле фиг его знает.

Сценарий как сценарий, без fail2banов много хуже ключей-онли, с ними — не сильно хуже, в любом случае много безопаснее беспробудного мрака в шапке.

Читать в состоянии? Написано русским языком: выключено.

Настройки я всегда проверяю в любом случае, но не помню, чтобы пришлось выключать логин по паролю.

установи на ноутбук андроид и включи удалённое управление устройством.

А ты проверь, окажется, что только для рута.

Ты такой Д’Артаньян, что подбешиваешь. В голову не приходило, что я проверил прежде чем написать, что у меня везде выключено? Не то чтобы усомнился, но на всякий проверил, раз уж уже ошибся по поводу дефолтов.

лэптоп в это время, разумеется, не выключен и находится в режиме сна

ЛОЛ!

Что, в фряхе эта проблема решена - режим сна не работает?

Лол, да. (%

злоумышленник заходит на твой ноут по SSH

На ноуте нет ssh сервера, только клиент.

Почему же непременно на стикере? Например, тот же пароль используется для логина в одной из соцсеточек. Пароль утекает вместе с утечкой/сливом всей бд с паролями, и «внезапно» оказывается, что твой сосед-птушник (и по совместительству хакер) уже купил эту бд и нашел в ней твою учетку на фейсбуке. Вместо условного птушника можно представить вполне реалистично условного тов. майора или кого вы там все так боитесь. Вот недавно эти соцсети лежали. А кто знает, какие манипуляции с данными пользователей админы производили во время «тушения пожара»?

This.

+1.

И отрубить вход на машину извне. Что по ssh, что ещё как. В 90% случаев он на ноуте на фиг не нужен.

Разве кто-то держит одинаковые пароли для соцсеточек и линуксового аккаунта. Это ж совсем глупым надо быть.

Почему же непременно на стикере?

Например, тот же пароль используется для логина в одной из соцсеточек.

шило_vs_мыло.jpg. Еще вопрос, что секьюрнее.

И то и то будет строго запрещено корпоративной или государственной инструкцией. Сравнивать, какой саботаж хуже — дурацкое занятие, увольнять за них все равно одинаково.

т.к. пароль доступа к ним такой же, как к Линукс логину;

так сделай разные пароли к SSH-ключу и Линукс логину.

Veracrypt стоит полностью на всю систему и пусть крадут что хотят. Простите, оффтопик, конечно )