LINUX.ORG.RU

Скорей нет. Даже ipxe такому не научили. Да и сейчас uefi.

Но vpn до ядра не очень и нужен, https хватает. Перестраховщики же просто раздадут usb-токены с неизвлекаемым ключем и загрузочным разделом.

boowai ★★★★
()

Чисто теоретически такое возможно. Особенно если выкинуть pxe и взять UEFI сетевой стек.

gadfly ★★
()
Ответ на: комментарий от Harald

Смотря как понимать. Для PXE код берется из прошивки, но исполняется на CPU, вроде. Хотя там ограничения, но а сейчас принято через uefi делать, а там хоть ikev2.

boowai ★★★★
()
Последнее исправление: boowai (всего исправлений: 1)

спасибо , попинаю uefi

bloodmeri
() автор топика
Ответ на: комментарий от boowai

мой внутренний параноик хочет оставить товарища майора без доказательной базы.
что бы по факту в деле фигурировал - «компьютер разобранный без жёсткого диска» - 1(одна) штука
что бы даже не спрашивали

bloodmeri
() автор топика
Ответ на: комментарий от boowai

я имел ввиду что имея компьютер без накопителей но с подключением к интернету загрузить систему с НЕ локального сервера , по шиырованному каналу.
UEFI HTTPS Boot вроде похож , надо почитать

bloodmeri
() автор топика
Ответ на: комментарий от boowai

ЮСБ токен может дать много лет тюрьмы при плохом раскладе , если не имеет встроенного пиропатрона.

bloodmeri
() автор топика
Ответ на: комментарий от bloodmeri

ЮСБ токен может дать много лет тюрьмы при плохом раскладе

Разве? Их же вполне легально можно в магазинах купить.

turtle_bazon ★★★★★
()

Поставь ты впереди железку, которая имеет доступ по VPN и прокидывает L2 туда же. И можно будет грузиться. Ну, может, не совсем так, как ты хотел, но всё же.

turtle_bazon ★★★★★
()

Это можно сделать в виде EFI приложения, загружаемого с флешки.

Meyer ★★★★★
()

В любом случае, VPN туннель должен быть на роутере, другой железки.

В теории можно, но DHCP надо все равно локальный настраивать, а уже в отдаваемом пейлоаде прописывать удаленные адреса. Или у тебя VPN в tap режиме, и DHCP на другой стороне живет?

Вообще PXE я плохо знаю, не довелось настраивать. А вот просто убутом по tftp/nfs грузануться никаких проблем, только шлюз прописать и IPшники.

ncrmnt ★★★★★
()
Последнее исправление: ncrmnt (всего исправлений: 1)

Возможна ли загрузка по сети через впн?

Да, если ты впн поднимешь на маршрутизаторе к которому подключен хост с PXE. Кстати так проще всего и «кошернее».

e000xf000h
()
Последнее исправление: e000xf000h (всего исправлений: 1)
Ответ на: комментарий от e000xf000h

Да, если ты впн поднимешь на маршрутизаторе к которому подключен хост с PXE

я понимаю , так уже можно сделать.

я хочу «вещь в себе» , когда перезагрузив компьютер с uefi и зайдя в биос , через пять минут буду иметь свою систему , со своей почтой и гидрой например.

а при перезапуске запускалась бы старая система.

помню раньше было можно нарушить настройки биоса написав пару байт в определенную область.

сейчас еще так можно?

bloodmeri
() автор топика
Ответ на: комментарий от bloodmeri

мой внутренний параноик хочет оставить товарища майора без доказательной базы.

Подожди, ты вот это вот пишешь на ЛОР с собственной фоткой на аватарке.

Ты живешь в стране, в которой есть основания опасаться товарища майора. Пишешь на сервере, находящемся в той самой стране.

По-моему, ты или позер, или провокатор.

shimon ★★★★★
()
Ответ на: комментарий от bloodmeri

Одно не отменяет другого, все с этого начинали ;)

ncrmnt ★★★★★
()
Ответ на: комментарий от shimon

По-моему, ты или позер, или провокатор

две ошибки в ваших рассуждениях.
во первых , может я просто не умён , а не позёр или провокатор.
и я не собираюсь предпринимать никаких незаконных действий.

во вторых , с местом жительства тоже непорядок , или вы по правилу «город по умолчанию» предположили что я из Москвы?

по делу есть что сказать?

bloodmeri
() автор топика
Ответ на: комментарий от bloodmeri

Страна по умолчанию, а не город.

По-делу — две юсб-флешки. На одной загрузчик и метаданные LUKS для другой флешки, зашифрованной полностью. Никакой сети.

shimon ★★★★★
()
Ответ на: комментарий от shimon

с флешками да , можно по разному делать , спасибо.

bloodmeri
() автор топика
Ответ на: комментарий от peregrine

Ну да, намерение скрыть и уничтожить улики будет доказано, остальным могут и пренебречь.

Тут главное чтобы он ЛОР и ЛОРовчан за собой как помобников не потащил…

torvn77 ★★★★★
()
Последнее исправление: torvn77 (всего исправлений: 1)
Ответ на: комментарий от bloodmeri

Описанного мало для сокрытия самого факта загрузки из «неположенного места».

Если задача — загрузить достоверный, проверенный payload в возможно злонамеренной сети, то достаточно и цифровой подписи. Если нельзя, чтобы видели, какие байтики по сети летят, можно и зашифровать.

Но товарищ майор и так будет видеть, что пакеты ходили в сеть, признанную экстремисткой приговором какого-нибудь нижнезадрищенского районного суда. Так что в ситуации с тоталитарным государством, преследующих граждан за мыслепреступления, это тупо не канает.

От товарищей майоров используется обмен информацией через оставленные в дуплах деревьев шифрованные флешки, стеганография в фотках котиков и прочая. Сокрыть целую систему или компьютер не получится, кроме того, товарищ майор увидит, что ты сокрываешь улики, после чего просто запытает тебя или подложит тебе наркотики.

shimon ★★★★★
()
Ответ на: комментарий от peregrine

Потому осуждаем и призываем граждан соблюдать законы стран, где они проживают

вснепременно , я же просто интересовался подробностями UEFI 2.5 технологии.

я же даже более , интересуюсь с целью улучшения компьютерной безопасности .

можно весь офис сделать без дисков , все на сервере с резервным копированием.

bloodmeri
() автор топика
Ответ на: комментарий от shimon

обмен информацией через оставленные в дуплах деревьев шифрованные флешки

есть сайт с замурованными в стенах флешками.
https://en.m.wikipedia.org/wiki/USB_dead_drop

в возможно злонамеренной сети

zero trust network boot

выше ссылку положил.
там говорят что надо шифровать.

шифрованное соединение к безимянному VPS может и остаться незамеченным.

а компьютер скрывать не надо , надо просто не оставить никаких следов на нем.

при включении системы пишешь немного мусора в настройки биоса , сторожевой пес который следит что есть зашифрованное соединение с сервером , при обрыве перезагружает компьютер.
и по комбинации клавишь ...
при загрузке комп пишет ошибка контрольной суммы , загруженны значения по умолчанию , и загружается виндовс ХР с одноклосниками и вирусами.

bloodmeri
() автор топика
Ответ на: комментарий от shimon

начиная с uefi 2.5 умеет https boot
спасибо , вроде нашёлся ответ.

bloodmeri
() автор топика
Ответ на: комментарий от bloodmeri

я хочу «вещь в себе»

сейчас еще так можно?

Используй для этого: - iPXE

iPXE is the leading open source network boot firmware. It provides a full PXE implementation enhanced with additional features such as:

  • boot from a web server via HTTP
  • boot from an iSCSI SAN
  • boot from a Fibre Channel SAN via FCoE
  • boot from an AoE SAN
  • boot from a wireless network
  • boot from a wide-area network
  • boot from an Infiniband network
  • control the boot process with a script
e000xf000h
()
Ответ на: комментарий от shimon

Сокрыть целую систему или компьютер не получится, кроме того, товарищ майор увидит, что ты сокрываешь улики

Как 12 лет отработавший в ISP, скажу так, что самое простое что делают по «просьбе органов, это зеркалирование трафика на канальном оборудовании оператора, лично сам делал такой „дропер“ трафика для органов. „Потциент“ даже и не в курсе что весь его трафик зазрекалирован и дампится.

Так что стеганография или флешки в дуплах хороший вариант, хуже конечно чем юзать инет в общественных местах.

e000xf000h
()
Ответ на: комментарий от e000xf000h

„Потциент“ даже и не в курсе что весь его трафик зазрекалирован и дампится.

шифрованный трафик же для этого и существует , нет?
или ключ тоже зазеркалится?

bloodmeri
() автор топика
Ответ на: комментарий от e000xf000h

Используй для этого: - iPXE

Ок , спасибо , но это значит перепрошивать сетевую карту.

для бездиского офиса можно заморочится ,

bloodmeri
() автор топика
Ответ на: комментарий от bloodmeri

это значит перепрошивать сетевую карту

Есть сетевые с возможностью установки на них микросхему, попадались такие с DIP панелью, как раз именно для сетевой загрузки, модель сейчас уже не вспомню.

e000xf000h
()
Ответ на: комментарий от bloodmeri

шифрованный трафик же для этого и существует , нет?

Приходил «запрос» ( в виде телефонного звонка тех.директору) из соответствующего отдела в органах, и передавали контактный номер. Далее я звонил контакту, и он мне присылал письмо с айпишником «жертвы» и адресом фтп органов. Делали полный дамп трафика, далее сливали его на указанный фтп, что они там с ним делали дальше я не в курсе, иногда писылали маску, типа дамп по такой маске ( в основном на почту), сдампленную почту в архив, архив на фтп. Меньше всего с ними хотелось общаться.

e000xf000h
()
Ответ на: комментарий от e000xf000h

я имел в виду что даже имея мой трафик , что бы его расшифровать же нужны ключи , их закрытая часть.

поправьте меня если я не правильно понимаю.

от меня к серверу трафик шифруется открытым ключом сервера.
от сервера ко мне моим открытым ключом.

перехват же ничего не даст ...

пойду почитаю про криптографию

bloodmeri
() автор топика
Ответ на: комментарий от bloodmeri

перехват же ничего не даст ...

Шифрованный трафик - это уже как минимум повод чтобы придти к вам с постановлением об обыске с последующим изъятием всех носителей с вашими же ключами. Дальше все расшифровать имея на руках оба ключа - не проблема.

e000xf000h
()
Ответ на: комментарий от e000xf000h

и так , завершив полный круг мы приходим к zero trust network boot

при котором обыск ничего не даст , комп выключается при открытии входной двери

bloodmeri
() автор топика
Ответ на: комментарий от bloodmeri

при котором обыск ничего не даст

сорян не хочу вступать в полемику, мне не интересна эта тема, описал то что было.

e000xf000h
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.