Защита .buntu

[myr4ik07]

Меня интересует защита от livecd и прочего проникновения в учетную запись.
Ну, был шифрован /home после чего с livecd я не смог подключится к домашней директории, но я же смог подключится к /, а значит без проблем смогу с помощью livecd изменить пароль и зайти уже с новым паролем в загруженную систему, а так же в папку /home.
А если шифровать все и вся - / тогда livvecd не прокатит? И это будет безопасно?
И тогда вспомнить о пароле на загрузчику, так с помощью livecd я тоже смогу загрузиться и спокойно изменить пароль, что в итоге тоже даст результат открытия и / & /home, а значит вопрос, самый безопасный выход в этом случаи это будет шифрование / ? Или еще есть какие то премудрости?
Подскажите, объясните, намекните. Спасибо.
P.S. Пожалуйста, по существу, а не балаган не о чем. (типа не включай компьютер)

[Kernel ops]

ответ совершенно без балагана.
1. в LXF читал, что где-то реально появилась возможность шифровать / (или в ubuntu, или в ответвлении вроде минта). точно не помню.
2. если сервер - это вообще не зачем, т.к. руткит запущенный из под пользователя будет иметь полный доступ к фс независимо от того, зашифровали вы её или нет. ну а если вы боитесь что с live cd найдут эротику что-то ваше, то да - / можно зашифровать. но снижение скорости загрузки может стать ощутимым.

[Pavel798]

Для того, что действительно нужно защитить, советую использовать Truecrypt.
Он работает шустро, удобен, и взламывается только паяльником или утюгом.

[myr4ik07]

ответ совершенно без балагана.
1. в LXF читал, что где-то реально появилась возможность шифровать / (или в ubuntu, или в ответвлении вроде минта). точно не помню.
2. если сервер - это вообще не зачем, т.к. руткит запущенный из под пользователя будет иметь полный доступ к фс независимо от того, зашифровали вы её или нет. ну а если вы боитесь что с live cd найдут эротику что-то ваше, то да - / можно зашифровать. но снижение скорости загрузки может стать ощутимым.

Тогда значит правильно, шифрование / даст безопасность? Ведь только с помощью / можно изменить пароль пользователей?!
Пользователь решил продолжить мысль 25 Октября 2012, 09:36:59:

Для того, что действительно нужно защитить, советую использовать Truecrypt.

Я знаком с truecrypt, только знаком с шифрование контейнера но не системы.
А подскажите каким образом будет осуществляться загрузка с шифрованием / с помощью truecrypt, значит будет сначала запрошен пароль truecrypt-ом, а потом уже будет виден загрузчик grub или каким образом это будет происходить?
Пользователь решил продолжить мысль 25 Октября 2012, 09:39:10:Может есть дельная, проверенная инструкция по поводу шифрования / обычными средствами?
Помогите пожалуйста найти ее.
Ведь с truecrypt вроде, как бы не углубляясь посмотреть, все понятно, хотя кто его знает, может и к этому, если есть проверенная инструкция, буду благодарен.

[Pavel798]

Вот,  вроде бы, нормальный русскоязычный мануал:
http://truecrypt.org.ua/docs

Сам никогда систему не шифровал, только контейнеры.

[myr4ik07]

Вот,  вроде бы, нормальный русскоязычный мануал:
http://truecrypt.org.ua/docs

Спасибо, такое я находил. Надеюсь найдутся ответы на мои вопросы.
А не подскажите каким образом происходит загрузка с таким шифрованием? (Понимаю, что не шифровали систему, но все же, может знаете)

Пользователь решил продолжить мысль 25 Октября 2012, 16:28:01:Меня вот дополнительно интересует, а как зашифровать с linux системный, / раздел коль функции такой то нету, для windows truecrypt такая функция существует, видел сам, а в linux truecrypt не вижу.
Пользователь решил продолжить мысль 25 Октября 2012, 16:35:35:Подумать логически, то truecrypt не применим в linux кроме шифрование контейнеров и разделов отличающиеся от / & /home ведь как же они будут подключатся если в linux свой способ монтирования, а truecrypt тоже "захочет" как то, на пример смонтировать /home или / да и grub, короче truecrypt должен быть очень глубоко монтировать в систему linux, что бы это можно было осуществить или я ошибаюсь? Ведь truecrypt это отдельный продукт, а не составляющая linux ядра или подключаемого модуля или еще чего то там умного заумного.
При загрузке windows все проще вот из-за этого truecrypt применим для шифрования системы в windows.
Какие ваши мысли?

[Pavel798]

Мне кажется, это всё уже обсуждалось.
Ещё раз: мне кажется оптимальным шифровать не систему, а данные.
В то же время, зашифровать систему тоже возможно, с помощью костыля, верёвочной петли и палки

Вот ссылки:
http://habrahabr.ru/post/91948/
https://forum.ubuntu.ru/index.php?topic=140734.0

[ArcFi]

myr4ik07,
https://help.ubuntu.ru/wiki/%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D0%B2%D1%81%D0%B5%D0%B3%D0%BE_%D0%B4%D0%B8%D1%81%D0%BA%D0%B0

[Sly_tom_cat]

Установщик 12.10 может поставит и / на шифрованный раздел - нешифрованным остается только /boot. Но там и нет ничего секретного. Парольную фразу на каждой загрузке нужно вводить - без нее - ничего кроме /boot не прочитаешь.


Кроме того - мне не совсем понятно - как с LiveCD/USB ломать шифрованный хомяк? Поменять пароль пользователю - можно - но новый пароль не подойдет для открытия кейринга, где лежит парольная фраза от хомяка. Т.е. хакнув пользователя в корне - хомяк все равно не поимеешь.

[Spect]

Есть "встроенные" средства шифрования, по 12.04 было в альтернате-версиях -LVM+LUKS. Много тем на форумt есть про это.
https://forum.ubuntu.ru/index.php?topic=195410.msg1473390#msg1473390
https://forum.ubuntu.ru/index.php?topic=184642.msg1466859#msg1466859

[ArcFi]

как с LiveCD/USB ломать шифрованный хомяк?

Воткнуть троян.

[Kernel ops]

arcfi,
да, но тогда нужно будет ждать пока пользователь залогинится, и из под вошедшего пользователя компилировать устанавливать троян. а если вы украли hdd?

[myr4ik07]

О, много информации получил. Начинаю изучать. Спасибо. Несомненное возникнут вопросы у меня, надеюсь искренние на вашу помощь в ответах и советах, спасибо еще раз.
А меня вот заинтересовало шифрование при установке, так вот буквально пару дней назад устанавливал новую 12.10 xubuntu и не видел там шифрование всей системы, я буду очень благодарен за подсказку, что я пропустил при установке, что не увидел метку для шифрования.

[ArcFi]

да, но тогда нужно будет ждать пока пользователь залогинится, и из под вошедшего пользователя компилировать устанавливать троян. а если вы украли hdd?

Не надо ничего красть.
Достаточно загрузиться с livecd и внедрить малварь в любой системный скрипт или подменить бинарник.

[Kernel ops]

arcfi,
а если / зашифрован?