Раскапываем внутренности Microsoft

Зачем это здесь?

А гугл тем временем хранит наши пароли от вай-фай в виде картинок на радикале!11

пароли на WiFi не нужны

тут кто-то на полном серьезе писал, что ими можно дешифровать ssl трафик

жжешь!)

причем тут ssl и ненужные пароли на Wi-Fi? я не могу уловить связь)))

Ясно. Спасибо.

Что удалось выяснить.

Завязывай уже с пьянством/веществами

Спать иди )

я вот тоже не понял :)
<Тут много мата и нецензурной брани> Google backup хранит ваши WiFi пароли на своих серверах в незашифрованном виде (комментарий)

<Тут много мата и нецензурной брани> Google backup хранит ваши WiFi пароли на своих серверах в незашифрованном виде (комментарий)

Это он, наверно, про тот случай с машинами Street View, которые Wi-Fi-трафик незашифрованый перехватывали.

http://googleblog.blogspot.com/2010/05/wifi-data-collection-update.html

Тут нестыковка только одна выходит: пароли ни к чему, если траф лили с незашифрованных сетей.

Сотрудники Microsoft наивно полагают, что утилита sdelete удаляет все левые данные с винта.

Речь не про обнуление удалённых (т.е. из корзины) файлах, а о том, что они надеются на чудо? Или sdelete не обнуляет какие-то блоки, которые не значатся более в фс как используемые, т.е. имеет место баг?

Сотрудники Microsoft наивно полагают, что утилита sdelete удаляет все левые данные с винта.

не удаляет?

Зачем то виртуальные машины они создают с винчестером в 137GB - вероятно, до сих пор где-то тестируют Windows 2000, для которой это предел.

95% администраторов Linux до сих пор делают /boot/, несмотря на то, что модуль ext3/4 уже много лет в ядре. И что?

Вместо cmd.exe они запускают command.com - безумие (оно работает в MS-DOS VM и жутко тормозит систему).

да? Этот? Core2 Quad Q9650

95% администраторов Linux до сих пор делают /boot/, несмотря на то, что модуль ext3/4 уже много лет в ядре.

У остальных 5% более веская причина?

95% администраторов Linux до сих пор делают /boot/, несмотря на то, что модуль ext3/4 уже много лет в ядре. И что?

Ты такой продвинутый... Расскажи, как без /boot грузиться с шифрованного тома?

95% администраторов Linux до сих пор делают /boot/, несмотря на то, что модуль ext3/4 уже много лет в ядре.

У остальных 5% более веская причина?

кто их знает?

Ты такой продвинутый... Расскажи, как без /boot грузиться с шифрованного тома?

расскажи, зачем ты шифруешь rootfs?

А то мне вот непонятно как-то...

Что из выясненного является интересным по сути?

Ты такой продвинутый... Расскажи, как без /boot грузиться с шифрованного тома?

расскажи, зачем ты шифруешь rootfs?

А то мне вот непонятно как-то...

Присоединяюсь. Всегда хотелось это узнать из первых рук. Вариант «чтоб не прочитали /etc/shadow» как-то не впечатляет.

скорее всего это суровые гентушники делают. Которые хранят секретные документы в коде /bin/false.

скорее всего это суровые гентушники делают. Которые хранят секретные документы в коде /bin/false.

:D

Раскапываем внутренности Microsoft

Вкусно? А теперь закопай обратно.

Зачем это здесь?

Теперь ты знаешь что появились образы виртуалбокса, а раньше только виртуалписи.
А также что если приспичит пользоваться ие то можно не воровать винду.
ваш К.О.

Весело :-) Но ничего серьёзного. «Майкрософт использует такие-то процессоры» - «Машка со второго подъезда каждую неделю с новым парнем - ой шо делаецца».

Присоединяюсь. Всегда хотелось это узнать из первых рук.

Затем, что на нем (если это не твой хомячковый localhost, а сколь-нибудь интегрированный в корпоративную сеть комп) может быть 100500 полезняшек, типа кейтабов кербероса, сертификатов для аутентификации хоста на разных сервисов и тому подобных вещей, которые могут доставить не так уж чтобы мало проблем за временной лаг между пропажей девайса и моментом когда пропажу заметили.

утилита sdelete

не входит в состав винХП

шифруешь rootfs

Что-бы в моё отсутствие мне не подменили /etc/cat и прочие? Пусть делают это под моим неусыпным контролем!

а с лицензией у этих образов как?

А еще образы мог собирать какой-нибудь левый вася субподрядчик, который к мелкомягким имеет очень косвенное отношение. И разные люди каждый образ, а возможно и даже несколько человек.

расскажи, зачем ты шифруешь rootfs?

Мало ли ноутбук украдут или я его потеряю? (;

Сотрудники МСей - те ещё ламеры.

Расскажи, как без /boot грузиться с шифрованного тома?

когда у меня был ноут по работе, я зашифровал всю ФС. Итого было шифрование, LVM, fs. Все работало без /boot

Зачем то виртуальные машины они создают с винчестером в 137GB - вероятно, до сих пор где-то тестируют Windows 2000, для которой это предел.

Внезапно, диски 136Гб широко применяются в интырпрайзе, т.к. в силу небольшого объёма на них пойдёт меньший поток запросов.

Навскидку: пароли в /etc/davfs2/secrets, до WiFi, ключи OpenVPN, ssh-ключи у рута. Этого мало?

Зачем это здесь?

Теперь ты знаешь что появились образы виртуалбокса, а раньше только виртуалписи.
А также что если приспичит пользоваться ие то можно не воровать винду.

ваш К.О.

Спасибо, конечно, но причем тут Linux?

Спасибо, конечно, но причем тут Linux?

хз.
Для вебразработки например.
Или для просмотра сайта работающего только в самом популярном браузере.

оно работает в MS-DOS VM и жутко тормозит систему

У тебя процессор без аппаратной виртуализации, угадал?

1. в каком месте там про ssl траффик? 2. И раз тебе видится везде ssl траффик: http://www.businessinsider.com/government-demands-encryption-keys-2013-7

1. в каком месте там про ssl траффик?

а какой еще трафик ты собрался «расшифровывать»?

Затем, что на нем (если это не твой хомячковый localhost, а сколь-нибудь интегрированный в корпоративную сеть комп) может быть 100500 полезняшек, типа кейтабов кербероса, сертификатов для аутентификации хоста на разных сервисов и тому подобных вещей, которые могут доставить не так уж чтобы мало проблем за временной лаг между пропажей девайса и моментом когда пропажу заметили.

ВНЕЗАПНО: не работай под рутом!

При чём тут рут? Да при том, блжад!

Что-бы в моё отсутствие мне не подменили /etc/cat и прочие?

что мешает злоумышленнику напихать троянов в ядро и/или в initrd? Разве сложно пересобрать ядро? ВНЕЗАПНО: намного проще, чем даже cat. Потому-что эта твоя cat сильно интегрированна и сильно зависит от всего остального, а ядро ни от чего не зависит, и врагу достаточно найти такую-же версию, и собирать по такому-же конфигу. А вся эта инфа лежит в /boot/ в открытом виде.

Мало ли ноутбук украдут или я его потеряю?

ну и при чём тут rootfs?

Навскидку: пароли в /etc/davfs2/secrets, до WiFi, ключи OpenVPN, ssh-ключи у рута. Этого мало?

достаточно для того, что-бы тебе на всю жизнь остаться одмином локалхоста.

ВСЁ ЭТО должно лежать у пользователя. А вход под рутом должен быть В ПРИНЦИПЕ запрещён, только локально (через sudo/su).

А /boot лежит на флешке, отдельно от ноутбука. Удачи с пересборкой.

ну и при чём тут rootfs?

Я что-то пропустил слово «rootfs». Согласен, что его можно не шифровать

ВНЕЗАПНО: не работай под рутом!

Ты походу под идиота косишь (надеюсь, что косишь)?

Есть например такая штука как SSSD (это демон, который, используется как бакэнд для PAM и NSS и берет юзеров из всяких AD и LDAP и из которого берется собственно информация об учетной записи пользователя). Он должен подключаться к службе каталога ДО того, как залогиниться юзер. чтобы предоставить системе информацию об этом юзере (NSS и PAM, слышал о таких)? Ну или как сохранить реквизиты подключения для pam_ldap и nss_ldap, которые нужны чтобы залогиниться под пользователем? Или где хранить кейтаб для сервера самбы, который крутится на хосте?

Наличие ключевой информации необходимой для _сервисов_ имеет очень слабое отношение к «работе под рутом».

А /boot лежит на флешке, отдельно от ноутбука. Удачи с пересборкой.

а почему ты всю rootfs не положил на флешку?

Так и не понял, зачем это здесь надо...

Ну sdelete да. Так я бы тоже им забил пустое место нулями на винте/будущем образе. Ну процы i5 и i7 да. Дальше что?!

Имена машин в сети Microsoft

Сильно сомневаюсь. Да и о какой сети речь идет вообще? Вот прямо прямо самое сердце корпорации зла? Выдыхай, парень :)

Потому, что USB 2.0 довольно медленный.

Ты походу под идиота косишь (надеюсь, что косишь)?

не. Ты просто не совсем понимаешь, о чём я.

Есть например такая штука как SSSD (это демон, который, используется как бакэнд для PAM и NSS и берет юзеров из всяких AD и LDAP и из которого берется собственно информация об учетной записи пользователя). Он должен подключаться к службе каталога ДО того, как залогиниться юзер. чтобы предоставить системе информацию об этом юзере (NSS и PAM, слышал о таких)?

слышал конечно. В данном случае проблема с самим протоколом авторизации. Он кривой и уродский by design. В частности ещё и потому, что не позволяет сделать нормальную и безопасную авторизацию. И требует дополнительных костылей, вроде шифрования rootfs.

Ну или как сохранить реквизиты подключения для pam_ldap и nss_ldap, которые нужны чтобы залогиниться под пользователем? Или где хранить кейтаб для сервера самбы, который крутится на хосте?

ты точно не будешь обижаться? Ну тогда намекну: зачем тебе вообще cifs?

Наличие ключевой информации необходимой для _сервисов_ имеет очень слабое отношение к «работе под рутом».

самое прямое, ЧСХ. ВСЕ настройки серверов, а тем более логины и пароли, должны лежать в $HOME юзеров. Для служебных юзеров этот $HOME находится традиционно в /var/. Сам демон тоже обязан работать под пользователем. Если демону необходимо авторизовываться, то он должен либо сразу запускаться от имени юзера, либо форкнуться в этого юзера, и уж оттуда авторизироваться. Т.е. в rootfs остаётся ТОЛЬКО то, что вполне можно всем подряд показывать.

И да, PAM не нужен. Это маздай.

Потому, что USB 2.0 довольно медленный.

я предпочитаю обсуждать вкус устриц с теми, кто их ел. А ты явно не в теме.

На самом деле, флешка конечно тормозит, но тормозит она при загрузки ядра(и возможно initrd), т.е. у тебя тоже будет тормозить, т.к. ядро у тебя на флешке.

Затем задача кардинально меняется, нужно быстро прочитать Over9000 мелких файлов, и, внезапно, флешка это делает лучше HDD. К примеру, в самом начале надо читать fstab, читать там нечего, у меня 1300 байт, но для HDD придётся передвинуть туда головку, причём пока не передвинет, ВСЁ будет ждать. У флешки нет никакой головки, и 1300 доступны СРАЗУ.

Ну и скорость на этом этапе определяется по большей части уже не тормозами носителя, а тормозами инициализации оборудования. Т.ч. и на USB1 будет не лучше и не хуже (не считая ядра).