Защита системы от физического доступа

[AlekseyUbuntu]

Kubuntu 20.10

Мой компьютер стоит в публичном месте (коворкинг), поэтому несмотря на наличие сложных паролей и зашифрованных дополнительных разделов (+home директория +swap- файл) система находится в очень легко- доступном виде: каждый может нажать Reset, выбрать Recovery Mode и получить root доступ без каких- либо паролей.

Единственное что приходит на ум- шифровать весь системный диск (тогда для загрузки надо будет ввести пароль- шифрования). Но не хочется этого делать, потому что система стоит на SSD, который исползуется при работе для быстрого чтения файлов (и скорость диска не хочется уменьшать).

Может есть какие- то настройки, позволяющие избежать этой уязвимости без шифрования всего системного раздела?

[RoDoN]

Пароль на биос, не ?  Или хотя бы пароль на GRUB

[ALiEN]

скорость диска не хочется уменьшать

Падения скорости вы и не заметите. Плюс более-менее современные процессоры умеют аппаратное шифрование.

[AlekseyUbuntu]

Пароль на биос, не ?

Он легко сбрасывается: отверточкой контактики замкнул и готово.

Или хотя бы пароль на GRUB

Загружаемся с LiveCD, монтируем /boot раздел, бекапим загрузчик, удаляем загрузчик, восстанавливаем загрузчик утилитами (без пароля), заходим под root и делаем что хотим. Потом удаляем новый загрузчик и возвращаем исходный загрузчик из бекапа (чтобы человек не удивлялся "Куда делся пароль?").

[ALiEN]

Загружаемся с LiveCD, монтируем /boot раздел, бекапим загрузчик, удаляем загрузчик, восстанавливаем загрузчик утилитами (без пароля) chroot в систему, и делаем что хотим.

[RoDoN]

Он легко сбрасывается: отверточкой контактики замкнул и готово.

Значит кто-угодно может вскрыть системник и копаться в нем? Т.е. можешь прийти, а SSD уже тю-тю, так что-ли? Ну, тогда сохранение своих данных только работая с внешнего носителя, который уходя забираешь с собой.

[AlekseyUbuntu]

Значит кто-угодно может вскрыть системник и копаться в нем? Т.е. можешь прийти, а SSD уже тю-тю, так что-ли? Ну, тогда сохранение своих данных только работая с внешнего носителя, который уходя забираешь с собой.

Конечно, есть видео- камеры + система пропусков. В случае физической кражи диска это будет очевидно и с помощью видео- камер злоумышленник будет быстро установлен.

Если же кто- то сделает закладку, то установить это будет практически невозможно: под root он в том числе может стереть логи своего пребывания в системе. И либо мои данные утекут, либо ко мне прийдут дяди в форме: с вашего линакса совершена дерзкая хакерская атака, теперь вам придется посидеть несколько лет...

[AlexDem]

Не совсем понятен вопрос:"защита от физического доступа" в помещении где все ходят непойми кто? Защитить от физического доступа можно только физическим способом - запереть системник куда то туда, где нет к нему физического доступа посторонних. Толко так. При чем тут шифрование? Сиситемник просто могут банально спереть, так какая тогда польза тебе, что ты лишишься зашифрованных данных?
Как вариант: носить комп с собой, ноутбук или неттоп.
Если же мы говорим о защите данных- то лучший ваирант это монтирование удаленного диска как локального тома, и работа с ним пока ты залогинен в системе. Это делается одной командой, можно повесить как ярлык на десктоп, доступ по паролю, естественно. У меня именно так сделано для доступа к серверу. но не для секьюрности, а для удобства. Гугли 'sshfs local mount'.

[RoDoN]

Если же кто- то сделает закладку, то установить это будет практически невозможно: под root он в том числе может стереть логи своего пребывания в системе. И либо мои данные утекут

Чтобы этого не произошло работай с портабельной оси, установленной на флешку или внешний жесткий. Поработал, физически отключил от общедоступного компа, положил в карман и довольный пошел по своим делам )))
А как утекут данные, если хомяк уже зашифрован?

[ALiEN]

А как утекут данные, если хомяк уже зашифрован?

Скопировать, когда они расшифрованы - просто пара "лишних" строчек в конфигах нешифрованного корня.

[valrust]

Внутренний параноик советует :

• Системный блок поместить в сейф.
• Полное шифрование системы.
• Расшифровку делать не паролем (раз видеокамеры стоят, то могут и записать пароль), а ключом на внешнем носителе с ПИН кодом.
• Блокировка сессии при простое (чем меньше интервал, тем лучше).

[ALiEN]

Свой личный ноутбук - самое простое решение. Пришёл-поработал-ушёл.

[The Green Side]

скорость диска не хочется уменьшать

Падения скорости вы и не заметите. Плюс более-менее современные процессоры умеют аппаратное шифрование.

Плюсую, как раз сегодня тесты смотрел
Зашифровал диск с данными, чтобы когда выйдет из строя спокойно отнести его в утиль.

[DimanBG]

каждый может нажать Reset, выбрать Recovery Mode и получить root доступ без каких- либо паролей.

Систему ГРУБ на флешку. boot на флешку. Ну а дальше уже сам думай, что шифровать, что нет. Но если любой дурак имеет не ограниченный ни как доступ к включению машине у тебя, тогда пароль на вход в УЕФИ+аппаратное шифрование диска в УЕФИ.
Останется - унести и выкинуть.

[AlekseyUbuntu]

Свой личный ноутбук - самое простое решение. Пришёл-поработал-ушёл.

И на обед с собой носить?