LUKS. Шифруете ли Вы дома/на работе диски?

Но дворник может работать только в своём городе, а разраб - где угодно.

В /boot находятся настройки GRUB, а также ядро и инитрд - все это содержит много данных которые стоит держать в приватности и охранять от изменений.

настройки GRUB

Это что-то из нулевых?

ядро и инитрд

Дефолтные для дистрибутива

охранять от изменений.

Я уже говорил

не с первого раза понял, реальный раздел, будет не полностью занимать место, а в конце не занятой области предлагашь свой скрытый раздел хранить?

по делу об оскорблении чувств верующих

А дело чем закончилось?

Не уверен что девопс в задачу которого входит и разработка сайта организации и поддержка 1С и поддержка юзеров организации включая замену картриджей в принтерах может работать удалённо.

В задачу девопса замена картриджей точно не входит. Тогда это не девопс, а erzent.

Это в чисто айтишных организациях где несколько челиков работают не входит. А в подавляющем большинстве организаций в РФ хорошо если ещё и безопасник есть отдельный, а то часто один челик всё делает, потому что двух нанимать никто не будет, если один может справиться со всем.

А кто тебя заставляет работать в таких компаниях? Там работают вчерашние студенты без опыта, ради строчки в резюме.

Плюс ещё девопс (в изначальном смысле) может быть только в компании, где есть штат программистов.

Там мужик работает которому 40 лет и студентов даже рядом видеть не хотят. Правда диву даюсь на жителей дефолтсити, словно в другой стране живут.

Вот и есть штат - один мастер на все руки и 1 безопасник/фсб-шник. Аж 2 человека на 100 работяг.

Ну значит он больше ни на что не годен, раз по-прежнему там работает. Или в рабстве на цепи сидит.

Думается что кататься по 5 часов в день в Москву ему не очень хочется, а в его городе нет ничего лучше. А снимать хату - дорого, разница в ЗП компенсирует стоимость жилья.

А удалённую работу у вас уже отменили? Собственно, изначально вопрос был в том, что заправщик картриджей не может работать удалённо. А если IT-шник давно перерос уровень заправщика, то уже никто не мешает работать удалённо.

Здесь это обсуждать правилами запрещено, напиши образно и мягко свою позицию, чтоб мордеры не удалили пост, если совпадет с моей, дам прям здесь пару советов. Подумаешь, по спрашиваешь в других, может мои советы будут полезны.

Давно вакансии смотрел?

Использую.

терморектальный проктоанализ

Затираешь начало раздела и его не расшифровать будет даже с паролем

Шифрую, secure boot + DM-Crypt + TPM + PIN.

TPM + PIN

systemd-cryptenroll?

systemd-cryptenroll?

да

Специально для тебя вчера посмотрел. Плюс ещё сами периодически пишут, увидев резюме. А что? Там какой-то подвох есть? Ну кроме того, что могут не взять. Ну понятно, что меня не возьмут, я же плохой человек. Но мы говорим не о плохих.

secure boot

В моём доме не выражаться! ©

В моём доме не выражаться! ©

Какие «тараканы» в вашем доме обитают и, что они не переносят, мне не интересно.

Но ведь secure boot сделан для защиты от линукса.

Есть вообще вариант уничтожения информации при «правильной» альтернативной фразе. Телефон так делал - через wasted и Duress, линукс не знаю, рабочие данные привык в контейнере содержать

Но ведь secure boot сделан для защиты от линукса.

Для защиты Линукс от ретардов.

нет, вдруг забуду пароль

Это защита от воровства диска

Как это происходит? Злоумышленник проникает ко мне в квартиру или офис с отвёрткой, разбирает системник, вынимает диск и уходит?

Это не такой уж и нереальный сценарий :)

А ты уверен, что сможешь в этом убедить чуваков с паяльником и сохранить способность существовать без калоприёмника?

Затираешь начало раздела и его не расшифровать будет даже с паролем

Тогда тебе придется вспомнить те данные, которые были на этом шифрованном разделе. Способов для этого у спецов и тем более спецов по ту сторону закона предостаточно.

Нет, device-mapper это, как и почти везде в линуксе, ворох разнородных костылей. А geom со всеми его провайдерами это специально разработанная подсистема FreeBSD. zfs кстати в него несколько не вписывается и выглядит чужеродно, несмотря на то что его очень старались интегрировать в ОС.

Есть вообще вариант уничтожения информации при «правильной» альтернативной фразе.

Легко реализуется кастомным хуком, но смысл в такой фиче, имхо, полностью отсутствует. Смысл бы присутствовал, если бы доступ к данным на накопителе можно было бы физически получить только через строго определённый программный интерфейс. А так, ничто не мешает вынуть накопитель, и подключить к другой машине, с другим ПО, в режиме read-only.

А так, ничто не мешает вынуть накопитель, и подключить к другой машине, с другим ПО, в режиме read-only.

из того что я видел на досмотре тебе ставят твоё устройство, ложат бумажку и говорят пиши пароль
так что способ рабочий, мастер ключ стёрт - данные в обозримые десятилетия никто не достанет, даже ты сам (только если у тебя на этот случай не были сбекаплены и припрятаны хедеры)

Да, на ноуте.

накопителе можно было бы физически получить только через строго определённый программный интерфейс

Завязать KDF на PCR c конфигурацией секурбута? Тогда никакие перекидывания дисков и загрузки с флешек не помогут. А чтобы логику не светить, код с этим добром за теми же PCR-ми спрятать. (да, я знаю, что TPM тоже не гарантия в некоторых случаях)

На андроиде есть приложение Wasted. Им можно создать ярлык, тык по которому приводит к сбросу к заводским (и «затиранию» данных). Можно для initramfs хук написать чтобы при вводе спец пароля (123456) тупо затирал первые 16 мегабайт раздела, которые ты бекапишь в облако какое.

/etc/initramfs-tools/hooks/custom-luks-hook:

#!/bin/sh
set -e

PREREQ=""

prereqs() {
    echo "$PREREQ"
}

case "$1" in
    prereqs)
        prereqs
        exit 0
        ;;
esac

. /usr/share/initramfs-tools/hook-functions

copy_exec /sbin/cryptsetup

/etc/initramfs-tools/scripts/init-premount/custom-luks-decrypt:

#!/bin/sh
set -e

# Функция для затирания первых 16 МБ раздела
wipe_luks() {
    echo "Wiping first 16 MB of $1..."
    dd if=/dev/urandom of=$1 bs=1M count=16
}

# Функция для расшифровки LUKS-раздела
unlock_luks() {
    echo "Unlocking $1..."
    cryptsetup luksOpen $1 $2
}

# Массив с разделами, которые нужно расшифровать
LUKS_PARTITIONS=("/dev/sda1" "/dev/sdb1")

# Задаем специальный пароль для затирания разделов
WIPE_PASSWORD="special-wipe-password"

while true: do

# Запрашиваем пароль у пользователя
echo "Enter LUKS password:"
read -s PASSWORD

# Если введен специальный пароль, затираем разделы
if [ "$PASSWORD" = "$WIPE_PASSWORD" ]; then
    echo "Special password detected. Wiping partitions..."
    for PARTITION in "${LUKS_PARTITIONS[@]}"; do
        wipe_luks "$PARTITION"
    done
    echo "Wiping complete. Rebooting..."
    reboot
else
    # Иначе пытаемся расшифровать разделы с обычным паролем
    for PARTITION in "${LUKS_PARTITIONS[@]}"; do
        unlock_luks "$PARTITION" "$(basename $PARTITION)-crypt"
    done
    break
fi

done

Завязать KDF на PCR c конфигурацией секурбута?

Что-то похожее используется в офтопике для BitLocker. Но как тогда гарантировать уничтожение информации для формирования ключа, если не TPM исполняет код, который может сбросить этот TPM по запросу? Тут нужна возможность исполнения такого кода самим TPM, причём без возможности изменения, либо чтения хранимого кода без сброса TPM.

В принципе, если попытаться обобщить, подойдёт любая технология, отделяющая используемый ключ, от вводимого пользователем пароля, и позволяющая быстро и надёжно уничтожить информацию, используемую для формирования ключа по запросу: TPM с возможностью исполнения кода, или с emergency button, надёжный удалённый сервис формирующий часть ключа и обеспечивающий экстренный сброс, или, на худой конец, флешка с ключевым файлом в оболочке из термитной смеси.

из того что я видел на досмотре тебе ставят твоё устройство, ложат бумажку и говорят пиши пароль

Если Вы про события, происходящие после маски-шоу, то если личностям устраивающим «досмотр» действительно нужна хранимая инфа, а не возможность найти ещё один повод, то действовать подобным образом они не будут, так как и среди таких людей есть штатные специалисты по инфобезу. Если же ищут очередной повод (при допущении, что повод действительно необходим, что сомнительно в современных реалиях), то просто могут найти «пакет с неизвестным порошком белого цвета», у Вас в кармане, или «обнаружить» дискету или сидюк с вирусами для доски, даже если у вас на машине никогда не было cd-привода.

Теоретически: прошивка с такой функциональностью. А так я имел в виду, что секурбутом ограничивается выполнение левого кода так, что остается только вбивать пароль на машине в целости. Запуск на другой машине не поможет т.к. там нет этого ТПМ, а запуск другого кода не поможет т.к. А: он не запустится, Б: PCR не сойдутся и подбирать будет нечего.