О защите ОС и данных на включенном компьютере

Смотря что за публика. Ну, свинтить могут что-нибудь. Или весь спереть.
А если кому-то очень захочется узнать пароль разблокировки, могут организовать прицельную видеосъёмку или сделать что-нибудь с клавой. Хотя последнее требует более длительного контакта с ноутбуком и выше вероятность, что заметишь вмешательство.

А ценную инфу я бы всё-таки держал на внешнем зашифрованном винте. И таскал бы его таки с собой.

Ворос сугубо теоретический, поэтому вариант с кражей не рассматриваю.
Ну а по поводу видеосъемки - ранее иногда авторизовался по отпечатку, что по сути совершенно ненадежно, да и пароль я свой никому не покажу.

Публика не та, которая будет оперативку жидким азотом замораживать, а именно обычные люди (в т.ч вероятно айтишники) которым тупо может быть очень любопытно. :)

Ноут по большей части это интерфейс к сетке из 10 серверов.
Достаточно проблематично банк клиент и ключи держать на отдельном винте, тоже самое касается рабочего кода (он по сути ничего не стоит, ибо говнокод для себя, личный) и доступа к серверам.

Меня больше интересует, нельзя ли никак, скажем, обойти GDM аутентификацию ведь при нем домашняя папка уже является расшифрованной и ключи уже в памяти.
Ну или сделать что нибудь при (пере)загрузке ОС, или при выходе из сна.

Тебе надо SELinux настроить для полного счастья ...

Чем SELinux может помочь от загрузки в single user режиме (запаролена)?
Или от чего он должен мне помочь?

Если что, то для браузеров. Psi+, nginx и прочих сервисов у меня настроен AppArmor. Или SELinux имеет какие то особые фишки?

> Ворос сугубо теоретический, поэтому вариант с кражей не рассматриваю.

А как такой вариант: скрутили винт, вставили левый, такой же, но битый - что тогда?

От этого можно защититься «паролем» на нужном болтике, в виде пломбы и/или нестандартного шлица.

>> в некоторых (редких, но такие есть) ситуациях при загрузке системы юзера может выкинуть в busybox с правами.

При полном шифровании это не проблема. Почти. Потому что можно будет модифицировать initrd с целью извлечения ключевой фразы LUKS.

Нестандартные шлицы - не проблема. А срыв пломбы может долго оставаться незамеченным.

Дык, это конечно реально, но на винде ведь все зашифровано, ключи в памяти висят, это да.
Ну а бекапы у меня конечно есть.

> Ну а по поводу видеосъемки - ранее иногда авторизовался по отпечатку, что по сути совершенно ненадежно, да и пароль я свой никому не покажу.

Можно обычным тепловизором на клавиатуру посмотреть после ввода пароля.

Обычным это тем, который стоит тысяч 5 баксов?
Но вообще отсутствие ответов радует скорее, т.к я предпологал что есть какие то документированные способы обхода авторизации в иксах например, или в самом Gnome.
Мало ли.

способы конечно же есть, только стоимость осуществления их выше стоимости ноута с инфой, как уже было сказано выше.

что, много поводов так не доверять коллегам?

Да там не только коллеги, но ещё и люди совершенно не знакомые.
Просто привык уже носить на ноуте все проекты и документы с паролями, а потому предполагаю возможность, что кто то может украсть инфу.

Тогда больше вероятность что украдут ноут вместе с инфой, чем воспользуются какой-то недокументированной возможностью gdm.

Ну, я уже говорил. Жидкий азот отпадает.
Как они будут извлекать инфу, даже если ноут будет включен а юзер залогинен?

Ну и да, я повторюсь почему меня не заботит пропажа инфы...
Если украдут ноут, то 100% паролей будет изменено через час, ну а данные, печально конечно будет но кроме кода по сути ничего нет, остальное на серверах.

>- С подключением железа.

Если есть firewire, то стоит обеспокоиться.

Нет, нету, ноут новый, разве оно ещё не сдохло везде?

хз. У меня на десктопе есть.

Только на офисных (компьютер-уже-собраный) встречал, а что с ним не так то?

Как вариант, купи флешку гигов на 16, поставь на нее ось, зашифруй, и все. Когда надо - она засунута, ноут пашет, когда нет - вынута, данные у тебя во внутреннем кармане. НУ или карточку памяти, чтоб не торчало ничего из юсб.

>а что с ним не так то?

Гугли firewire RAM access

Да сам вопрос в том, что параноя граничит с удобством.
У меня то и так все зашифровано и загрузка с флешки обычно (сейчас просто загрузка, т.к ноут работает вторым стационаром в основном, осень).

Другой вопрос в том, что это реально проблемно, каждый раз при загрузке вводить сложный пароль.
Ну а выключать каждый раз когда уходить в кухню чая попить - ну, бред.

Прикрути к нему сканер отпечатков пальцев. Ну или авторищацию вебкой или голосом сделай.

> авторищацию вебкой

fail. Понадобится лишь портретная фотография.

Ага, а для сканера всего лишь отрубленный палец хозяина =)

>> Гугли firewire RAM access

Ох ты ж… Надо отключить контроллер, всё равно устройств с таким разъёмом не видел IRL.

Сканеры отпечатков обувают более гуманными способами. Полагаться на них нет смысла, только перед посонами со двора попонтоваться разве что.

Ещё могут вместе/вместо флешки дать эмулятор клавиатуры, который откроет терминал и впишет что-то вроде:

echo «nc -l -p 12345 -e /bin/bash» > .bashrc

Всё-таки фотку реальней достать :}

Все три варианта жуткая дыра, сканер отпечатков есть и даже работает (правда я так его и не использую, т.к лень PAM тюнить).
Голос можно записать, фотку показать, а качество сканера отпечатков оставляет желать лучшего, может тоже по принту авторизует.
Надежен только пароль, ну либо usb-токен который можно носить на шее.

Но вообще, думаю тему скоро можно будет закрывать, если уж ничего кроме single-user и сетевой загрузки нет.

>Сканеры отпечатков обувают более гуманными способами.

Например?

А вот это уже наверное куда ближе к реальности, нежели жидкий азот.
другой вопрос, что куда оно впишет? в текущую открытую форму?

Ведь USB-клавиатура (или эмулятор?) не может знать ничего о том что у меня сейчас запущено.

Большинство моделей для массового рынка имеют некие нюансы работы, из-за которых можно их как-то заставить принять чужой отпечаток. Я когда-то приводил пруфлинк на статью, но сейчас даже не помню, как это гуглить.

Да а вот это бага так бага, а ведь в офисах видел много таких компов (в основном DELL*ы).

Вопрос в том, что в одной из серий Разрушители легенд весьма дорогой замок обманули простой распечаткой на бумаге.
Ну а с другими пришлось помучатся, но все равно это реальнее чем подобрать пароль.

Запустить терминал шорткатом Ctl+Alt+T
Заложить бекдор
Ctrl+D
???
PROFIT

Как ты запустишь терминал, если фокус захвачен блокировщиком экрана?

яж говорю дать вместо флешки или просто незаметно воткнуть

жмёшь ресет, подключаешь внешний веник, загружаешься с него и скидываешь дамп памяти, который затем уже неспеша анализируешь (все пароли и прочее - в ней). память после выключения компа ещё несколько минут содержит данные.

Ок, как ты загрузишься с внешнего диска, если у меня биос под паролем?

это конечно затруднит процесс. но если раскромсать ноут и сбросить биос, то ничего невозможного нет :)

Ну, речь о незаметных (для меня) способах, а если сбросить биос то это легко заметить.

если вы всё время следите за компом и не боитесь что у вас его скомуниздят, то можете не переживать. опасаться стоит как раз того что однажды вы его не обнаружите там где оставили, и все ваши данные попадут в руки левому челу. я, например, держу весь /home зашифрованным, на всякий случай.