Новая тема   Ответить

 x123p
В общем решил я немного разобраться как же защитить свою собственную рабочую станцию от взломов, а главное от каких-либо утечек информации даже при физическом доступе к ней. Поставил Linux Ubuntu, Всё остальное снёс (null форматированием). Для работы в сети буду юзать OVPN. Но как защитить разделы? Как защитить пароли (или их лучше вообще не хранить)?

Советуйте и давайте составим некий мануал и рекомендации?
Заранее благодарен за конструктивные ответы.
PS: За ответы в стиле да не парься ты и кому ты нах сдался буду наказывать, прошу меня заранее за это извинить.

 Leng
Ставь Truecrypt, создавай том нужного размера и всё важное храни на нём.

Папки с настройками/логами программ, критичных к безопасности (например для Skype и Pidgin это папки .Skype и .purple), переноси на truecrypt-овский том из домашней папки, оставляя взамен символические ссылки на новое местоположение папок. Таким образом, при отключенном томе, в запущенных программах, у которых "родные" папки были на шифрованном томе, будут себя вести, как запущенные в первый раз - без настроек и логов. Правда это справедливо не для всех программ, некоторые хранят свои данные в разных местах "хомяка", но для скайпа и пиджина это справедливо.

Профиль Thunderbirda, можно также перенеси из ~/.mozilla-thunderbird на шифрованный том, а в ~/.mozilla-thunderbird/profiles.ini исправь значение Path= на новый путь до профиля. В случае, если том, где находится профиль тандербирда будет отключен, то почтовик будет ругаться, что мол уже запущена другая копия программы

Ну и конечно, шифрованный том нужно будет монтировать постоянно под одним и тем же номером слота(колонка Slot при подключении), т.к. этот номер является частью имени папки, куда монтируется том, например /media/truecrypt5 для слота номер 5

Кроме приватности, в плюс пойдет то, что шифрованный том можно носить на флешке, а так же - быстро и безболезненно продолжить работу после переустановки убунты или на новой машине.

 sh00ter
Leng: так и делаю.
точно так же профайл фаерфокса можно хранить на криптодиске.

Что под линух можно посоветовать по поводу пассов - не знаю :-\ а вот под виндой юзаю PWAgent , база которого тоже лежит на криптодиске , как и он сам.

 x123p
А где храняться ключи-пароли для Truecrypt? И второй вопрос как быть с Бекапами, куда их ложить?

И кто что думает по этому поводу: http://tldp.org/HOWTO/Disk-Encryption-HOWTO/index.html

 Leng
xp-ViT писал:
В голове, где ж еще можно хранить пароль?
xp-ViT писал:
После окончания работы с трукриптом отключаешь том и бекапиш файл тома куда угодно, благо это один файл, который может называться как угодно.
xp-ViT писал:
Зачем тебе лишний гимор?

 fetish_art
Поставь puppy на флешку и будет вся твоя операционка плюс инфа (в обьеме флешки) всегда с тобой.

 dushik
а что будет если весь свой home в truecrypt засунуть?

 x123p
fetish_art писал:
Вариант, но как бы не считаю надёжным его: Флешку можно потерять, флешку могут украсть или в конце концов изьять.
Но за коммент спасибо.

 Leng
dushik писал:
Если том с хомяком будет подключаться перед логином, то всё будет замечательно.
http://ubuntuforums.org/showthread.php?t=1014891

 Stek
Х.з. зачем так гемороиться.

Имхо ставим чистую винду на диск С, на диск D кидаем truecrypt и даем контейнер, в котором и храним документы и прочее. В этом же контейнере держим portable версии софта.

Бакапы решаются простым копированием контейнера. Да и просто кинув контейнер на флешку, можно открыть его на другом компе и продолжить комфортную работу, весь софт то при нас, со всеми настройками.

Если диск стащат - то кроме голой винды, там ничего не будет, ну и контейнера, который без паяльника и твоей задницы не открыть. Хотя если засунуть в винду кейлогер .... но и линукс так же поиметь можно.

Тогда выход LiveCD + контейнер, не удобно конечно, тормознуто, но надежно. Если LiveCD через флешку или usbHDD пускать, то в общем будет быстро.

 lega_cobra
У линукса совершенно замечательное криптование на уровне ядра без какого-либо внешнего софта.

 Dr.Syshalt
Любой дистрибутив современный при установке предлагает криптовать партиции. Надо только кастомный сетап сделать. Нахуй там трукрипт нужен? Можно закриптовать вообще все, вплоть до свопа (что есть, вообще-то, хорошая мысль)

 Dr.Syshalt
Stek писал:

Не всякий. Линукс, загружающийся через Trusted GRUB c TPM, с SELinux настроенным так, что запуск экзешников-скриптов разрешен только из определенных директориев, куда установить можно только рутом, де-факто иммунен и к любым троянам, даже бутовым. У линукса на пару порядков больше возможностей по завинчиванию гаек.

 x123p
lega_cobra: Просьба рассказать про то как настроить все и как пользовать по правильному. Интересует именно рассказ-инструкция как это засетапить и как оно олжно работать. Скорее всего оптимальным вариантом будет когда есть шифрованная область а ключиком к ней служит флешка с ключиками.

PS: Да я параноик.

 lega_cobra
Под убунтой это будет, по видимому, так (нет, к сожалению под рукой убунты). Делаешь от рута.

1. Выделяешь партишку для работы, где все будет лежать. Можно и файл сделать, но лучше партишку. Например, /dev/hdb1

2. Придумываешь длинный пароль, который будешь помнить всегда.

3. Загружаешь нужные модули:
modprobe aes
modprobe cryptoloop

Заодно желательно добавить в /etc/modules две строки:
aes
cryptoloop

4. Сетапишь с паролем:
losetup -e aes-256 /dev/loop1 /dev/hdb1
Оно спросит пароль, набираешь придуманый в п.2. Не забудь. Потом поменять нельзя будет.

5. Форматишь в нужную тебе файловую систему, например:
mkfs.ext3 /dev/loop1

6. Монтируешь:
mount /dev/loop1 /usr2

Все. Потом после загрузки выполняешь две команды 4 и 6. Каждый раз. Желательно все делать под каким-либо командером, который не оставляет history на диске. В этом случае на открытой части не бует вообще каких-либо следов о том, что ты криптуешь раздел. Со стороны это будет всего-лишь неформатированый раздел.

А вообще, есть целый ряд способов криптования разделов. Тут можно почитать:

С наворотами:
http://www.felipe-alfaro.org/blog/2006/08/19/encrypted-home-on-ubuntu-using-cryptoloop/

Кошерные методы, включая LUKS с dm-crypt:
https://help.ubuntu.com/community/EncryptedFilesystems