Рекомендации по обеспечению безопасности рабочих ПК от Linux Foundation

Firefox for work

смеялись даже тараканы у соседей

Все правильно пишут. Вполне достойные, понятные и простые общие рекомендации. Другое дело что SecureBoot, в моем кривом UEFI, правильно так и не заработал.

Статья в стиле «как перестать работать, начав придумывать проблемы себе на голову»

там есть пункт, в котором описывается что нужно

Use two different browsers

This is a set of recommendations used by the Linux Foundation for their systems administrators. All of LF employees are remote workers and we use this set of guidelines to ensure that a sysadmin's system passes core security requirements in order to reduce the risk of it becoming an attack vector against the rest of our infrastructure.

Хочешь сказать, что в LF никто не работает?

Use a password manager

все яйца в одной корзине?

а я дурак, храню пароли на аналоговом листочке бумаги а4

Use a password manager (CRITICAL)

Идиотизм. Пароли нужно хранить только у себя в голове. От себя добавлю - автоудаление куков после закрытия браузера и HTTPS Everywhere.

Сколько паролей в голове влезает? В моём keepass — 244. Реюзать для разных сервисов — не вариант.

HTTPS Everywhere упоминается по ссылке.

Сколько паролей в голове влезает?

Штук 15 будет. Но мне больше и не надо.

Реюзать для разных сервисов — не вариант.

Почему? Если логины тоже случайные - вполне себе вариант.

Очень кстати, но, боюсь, что бойан. Такое ощущение, что моего домашнего пингвина подломали. Ну или пытались подломать.

Торвальдса на них нет!

Идиотизм. Пароли нужно хранить только у себя в голове

а теперь запомни 30-40 паролей типа bhrf*&(@012

Есть уникумы с развитой ассоциативной памятью.

не думаю что средний сисадмин имеет с ним что то общее)

Понятное дело. И, кроме того, сисопу нужно в голове держать ещё тонну информации, кроме паролей.

/me однажды потерял файл с паролями. Вот была паника =)

Если хранить в голове не пароли, а алгоритм — сколько угодно.

И по какому алгоритму ты делаешь парольные фразы?

Плюс наличие неслучайного алгоритма автоматом делает все пароли мусором. Без вариантов.

И по какому алгоритму ты делаешь парольные фразы?

Не скажу. Я его сам придумал.

делает все пароли мусором

Почему? Ведь задача определения алгоритма по нескольким паролям может быть сопоставима с брутфорсом, а то и сложнее.

может быть сопоставима с брутфорсом

А может и не быть. В этом и проблема.

В пароле должно быть ДОФИГА бит настоящей случайности. Иначе это мусор. Алгоритмический пароль по определению настолько хуже, чем случайный той же длины, что можно считать его мусором.

Для локалхоста, конечно, сойдёт.

а то и сложнее

Нет.

Не совсем понятно, что даёт Secure Boot. Если у злоумышленника есть доступ за запись в /boot, то у него уже есть root-права, а значит доступ ко всем файлам в системе. Прямо принципиально загрузить троян в виде модуля ядра? Никто не будет с этим заморачиваться, можно пропатчить тот же init или другой системный файл. А то с учётом специфики Linux придётся поставлять троян в виде исходников, а то из-за несовместимости ABI он вызовет скорее Kernel Panic (или просто не загрузится), чем что-то полезное. Если же есть физический доступ к машине, то можно добавить свои ключи в UEFI и дальше вообще никаких проблем.

В общем, я не верю в буткиты. Вот. Они просто не нужны. Ни под винду, ни под Linux. Есть гораздо более простые способы. «А если не видно разницы, зачем платить больше». Буткиты остались во временах DOS и первых винд, когда вирусы писали на Assembler, а не .NET.

В этом и проблема

На голову может кирпич упасть, это проблема? А то и самолёт.

ДОФИГА

Чем больше что-либо, тем сложнее его спрятать. Так что это ещё бабка надвое сказала.

Алгоритмический пароль по определению настолько хуже, чем случайный той же длины

Для начала надо определить, что пароль алгоритмический, а не случайный. Как это сделать, если между украденными паролями нет видимой закономерности?

Нет

Почему? Вы ещё скажите, что найти функцию неопределённого интеграла в общем случае проще, чем определённый интеграл достаточной точности.

Не совсем понятно, что даёт Secure Boot. Если у злоумышленника есть доступ за запись в /boot, то у него уже есть root-права, а значит доступ ко всем файлам в системе.

Два слова: Evil Maid.

можно пропатчить тот же init или другой системный файл.

Пройди по ссылке. Там ещё Distro: Has robust native full disk encryption support (CRITICAL)

Я имею ввиду, что если мы как-то удалённо проникли в систему, что можем писать в /boot, чтобы подменить ядро, то что нам мешает подменить init (мы уже на работающей системе, диск расшифрован)? Это сделать гораздо проще, потому что ABI LIBC гораздо стабильнее ABI ядра. Если же мы имеем физический доступ к компьютеру, то что мешает добавить свои ключи в UEFI? Касательно всяких паролей на настройки - подавляющее большинство материнских плат до сих пор не застрахованы от вытаскивания батарейки, а для остальных спасёт программатор со специальной прищепкой на микросхему EEPROM. Производители мало заморачиваются насчёт безопасности. На моём ноутбуке, если много раз писать неверный пароль на BIOS появляется длинный код, который при вводе в специальную утилиту выдаёт пароль (не тот, который я поставил, но тот, который тоже подходит). У друга на PC пароль сбрасывается извлечением батарейки (а там кстати полноценный мышкотыкательный UEFI с кучей красивых картинок и даже русским языком). А на одном знакомом x86-планшете можно перешить всю NVRAM с помощью официальной утилиты для прошивки от производителя (надо только где-то раздобыть образ без пароля от такого же девайса). Также не известно какие там ключ вшиты в сам UEFI с завода и не удаляются оттуда. В общем, я бы не доверял проприретарному UEFI безопасность данных, только самой ОС.