LINUX.ORG.RU

LUKS. Шифруете ли Вы дома/на работе диски?

 , ,


0

2

Заскучал я в общем на выходных. Не знал чем себя занять. На просторах всемирной наткнулся на шифрование дисков. Решил пощупать как это делается. По -> этому ману <- поставил, настроил, даже накатил иксы…=) В общем задумался, а кто-нить вообще юзает такое? Даже если захочется спрятать информацию, то терморектальный проктоанализ, под воздействием которого всё равно скажешь passphrase, никто не отменял.

★★
Ответ на: комментарий от rtxtxtrx

не с первого раза понял, реальный раздел, будет не полностью занимать место, а в конце не занятой области предлагашь свой скрытый раздел хранить?

s-warus ★★★
()
Ответ на: комментарий от Wapieth

Не уверен что девопс в задачу которого входит и разработка сайта организации и поддержка 1С и поддержка юзеров организации включая замену картриджей в принтерах может работать удалённо.

peregrine ★★★★★
()
Ответ на: комментарий от Wapieth

Это в чисто айтишных организациях где несколько челиков работают не входит. А в подавляющем большинстве организаций в РФ хорошо если ещё и безопасник есть отдельный, а то часто один челик всё делает, потому что двух нанимать никто не будет, если один может справиться со всем.

peregrine ★★★★★
()
Ответ на: комментарий от Wapieth

Думается что кататься по 5 часов в день в Москву ему не очень хочется, а в его городе нет ничего лучше. А снимать хату - дорого, разница в ЗП компенсирует стоимость жилья.

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

А удалённую работу у вас уже отменили? Собственно, изначально вопрос был в том, что заправщик картриджей не может работать удалённо. А если IT-шник давно перерос уровень заправщика, то уже никто не мешает работать удалённо.

Wapieth
()
Последнее исправление: Wapieth (всего исправлений: 1)
Ответ на: комментарий от tm4ig

Здесь это обсуждать правилами запрещено, напиши образно и мягко свою позицию, чтоб мордеры не удалили пост, если совпадет с моей, дам прям здесь пару советов. Подумаешь, по спрашиваешь в других, может мои советы будут полезны.

anonymous
()
Ответ на: комментарий от peregrine

Специально для тебя вчера посмотрел. Плюс ещё сами периодически пишут, увидев резюме. А что? Там какой-то подвох есть? Ну кроме того, что могут не взять. Ну понятно, что меня не возьмут, я же плохой человек. Но мы говорим не о плохих.

Wapieth
()
Последнее исправление: Wapieth (всего исправлений: 1)

Есть вообще вариант уничтожения информации при «правильной» альтернативной фразе. Телефон так делал - через wasted и Duress, линукс не знаю, рабочие данные привык в контейнере содержать

One ★★★★★
()
Ответ на: комментарий от soomrack

Это защита от воровства диска

Как это происходит? Злоумышленник проникает ко мне в квартиру или офис с отвёрткой, разбирает системник, вынимает диск и уходит?

pihter ★★★★★
()
Ответ на: комментарий от Parthen

А ты уверен, что сможешь в этом убедить чуваков с паяльником и сохранить способность существовать без калоприёмника?

cocucka_B_TECTE
()
Последнее исправление: cocucka_B_TECTE (всего исправлений: 1)
Ответ на: комментарий от Parthen

Затираешь начало раздела и его не расшифровать будет даже с паролем

Тогда тебе придется вспомнить те данные, которые были на этом шифрованном разделе. Способов для этого у спецов и тем более спецов по ту сторону закона предостаточно.

anonymous
()
Ответ на: комментарий от anonymous

Нет, device-mapper это, как и почти везде в линуксе, ворох разнородных костылей. А geom со всеми его провайдерами это специально разработанная подсистема FreeBSD. zfs кстати в него несколько не вписывается и выглядит чужеродно, несмотря на то что его очень старались интегрировать в ОС.

firkax ★★★★★
()
Ответ на: комментарий от One

Есть вообще вариант уничтожения информации при «правильной» альтернативной фразе.

Легко реализуется кастомным хуком, но смысл в такой фиче, имхо, полностью отсутствует. Смысл бы присутствовал, если бы доступ к данным на накопителе можно было бы физически получить только через строго определённый программный интерфейс. А так, ничто не мешает вынуть накопитель, и подключить к другой машине, с другим ПО, в режиме read-only.

QsUPt7S ★★
()
Ответ на: комментарий от QsUPt7S

А так, ничто не мешает вынуть накопитель, и подключить к другой машине, с другим ПО, в режиме read-only.

из того что я видел на досмотре тебе ставят твоё устройство, ложат бумажку и говорят пиши пароль
так что способ рабочий, мастер ключ стёрт - данные в обозримые десятилетия никто не достанет, даже ты сам (только если у тебя на этот случай не были сбекаплены и припрятаны хедеры)

oblepiha
()
Ответ на: комментарий от QsUPt7S

накопителе можно было бы физически получить только через строго определённый программный интерфейс

Завязать KDF на PCR c конфигурацией секурбута? Тогда никакие перекидывания дисков и загрузки с флешек не помогут. А чтобы логику не светить, код с этим добром за теми же PCR-ми спрятать. (да, я знаю, что TPM тоже не гарантия в некоторых случаях)

MagicMirror ★★
()
Ответ на: комментарий от oblepiha

На андроиде есть приложение Wasted. Им можно создать ярлык, тык по которому приводит к сбросу к заводским (и «затиранию» данных). Можно для initramfs хук написать чтобы при вводе спец пароля (123456) тупо затирал первые 16 мегабайт раздела, которые ты бекапишь в облако какое.

/etc/initramfs-tools/hooks/custom-luks-hook:

#!/bin/sh
set -e

PREREQ=""

prereqs() {
    echo "$PREREQ"
}

case "$1" in
    prereqs)
        prereqs
        exit 0
        ;;
esac

. /usr/share/initramfs-tools/hook-functions

copy_exec /sbin/cryptsetup

/etc/initramfs-tools/scripts/init-premount/custom-luks-decrypt:

#!/bin/sh
set -e

# Функция для затирания первых 16 МБ раздела
wipe_luks() {
    echo "Wiping first 16 MB of $1..."
    dd if=/dev/urandom of=$1 bs=1M count=16
}

# Функция для расшифровки LUKS-раздела
unlock_luks() {
    echo "Unlocking $1..."
    cryptsetup luksOpen $1 $2
}

# Массив с разделами, которые нужно расшифровать
LUKS_PARTITIONS=("/dev/sda1" "/dev/sdb1")

# Задаем специальный пароль для затирания разделов
WIPE_PASSWORD="special-wipe-password"

while true: do

# Запрашиваем пароль у пользователя
echo "Enter LUKS password:"
read -s PASSWORD

# Если введен специальный пароль, затираем разделы
if [ "$PASSWORD" = "$WIPE_PASSWORD" ]; then
    echo "Special password detected. Wiping partitions..."
    for PARTITION in "${LUKS_PARTITIONS[@]}"; do
        wipe_luks "$PARTITION"
    done
    echo "Wiping complete. Rebooting..."
    reboot
else
    # Иначе пытаемся расшифровать разделы с обычным паролем
    for PARTITION in "${LUKS_PARTITIONS[@]}"; do
        unlock_luks "$PARTITION" "$(basename $PARTITION)-crypt"
    done
    break
fi

done
rtxtxtrx ★★
()
Последнее исправление: rtxtxtrx (всего исправлений: 3)
Ответ на: комментарий от MagicMirror

Завязать KDF на PCR c конфигурацией секурбута?

Что-то похожее используется в офтопике для BitLocker. Но как тогда гарантировать уничтожение информации для формирования ключа, если не TPM исполняет код, который может сбросить этот TPM по запросу? Тут нужна возможность исполнения такого кода самим TPM, причём без возможности изменения, либо чтения хранимого кода без сброса TPM.

В принципе, если попытаться обобщить, подойдёт любая технология, отделяющая используемый ключ, от вводимого пользователем пароля, и позволяющая быстро и надёжно уничтожить информацию, используемую для формирования ключа по запросу: TPM с возможностью исполнения кода, или с emergency button, надёжный удалённый сервис формирующий часть ключа и обеспечивающий экстренный сброс, или, на худой конец, флешка с ключевым файлом в оболочке из термитной смеси.

QsUPt7S ★★
()
Последнее исправление: QsUPt7S (всего исправлений: 1)
Ответ на: комментарий от oblepiha

из того что я видел на досмотре тебе ставят твоё устройство, ложат бумажку и говорят пиши пароль

Если Вы про события, происходящие после маски-шоу, то если личностям устраивающим «досмотр» действительно нужна хранимая инфа, а не возможность найти ещё один повод, то действовать подобным образом они не будут, так как и среди таких людей есть штатные специалисты по инфобезу. Если же ищут очередной повод (при допущении, что повод действительно необходим, что сомнительно в современных реалиях), то просто могут найти «пакет с неизвестным порошком белого цвета», у Вас в кармане, или «обнаружить» дискету или сидюк с вирусами для доски, даже если у вас на машине никогда не было cd-привода.

QsUPt7S ★★
()
Ответ на: комментарий от QsUPt7S

Теоретически: прошивка с такой функциональностью. А так я имел в виду, что секурбутом ограничивается выполнение левого кода так, что остается только вбивать пароль на машине в целости. Запуск на другой машине не поможет т.к. там нет этого ТПМ, а запуск другого кода не поможет т.к. А: он не запустится, Б: PCR не сойдутся и подбирать будет нечего.

MagicMirror ★★
()
Ответ на: комментарий от pihter

Ну я не раз видел как в госконторе с компов оперативку тырили сотрудники/админы. По итогу смотришь в документах написано что на компе 8/16 гигов оперативки, а по факту 2/4/8, потому я и не беру никогда работу с материальной ответственностью, что в самом начале карьеры посмотрел на всё это. Так что и винт могут свистнуть.

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

Да могут конечно, но в данном случае просто как материальную ценность, а не как информацию

Просто дома квартира под замком, на работе офис под замком… Как стырить винт прям из компа… Ну да, если ты админ, но от него и шифровать бесполезно

pihter ★★★★★
()
Ответ на: комментарий от pihter

Кек, слышал от одного челика как винт с очень важной инфой свистнули. Потом задним числом нашли кто свистнул и замяли это дело, потому как отвечать оба поехали бы.

peregrine ★★★★★
()
11 декабря 2024 г.
Ответ на: комментарий от rtxtxtrx

можно, но способ работает далеко не всегда просто потому что

  1. могут сбекапить твой диск и второй раз попросить уже по другому
  2. впаяют ещё и уничтожение улик
oblepiha
()