С нами с 19.05.08
Сообщения: 1894
Рейтинг: 3625
 
|
 Добавлено: 11/02/10 в 02:39 |
В общем решил я немного разобраться как же защитить свою собственную рабочую станцию от взломов, а главное от каких-либо утечек информации даже при физическом доступе к ней. Поставил Linux Ubuntu, Всё остальное снёс (null форматированием). Для работы в сети буду юзать OVPN. Но как защитить разделы? Как защитить пароли (или их лучше вообще не хранить)?
Советуйте и давайте составим некий мануал и рекомендации?
Заранее благодарен за конструктивные ответы.
PS: За ответы в стиле да не парься ты и кому ты нах сдался буду наказывать, прошу меня заранее за это извинить.
|
|
|
|
(!)Внимание Ero Advertising дополнительный Еврики от продажи рекламы. Особенно попандеров и мобилок.
|
-2
|
|
| |
Luke, yo soy tu padre
С нами с 10.02.06
Сообщения: 1012
Рейтинг: 193
|
| Добавлено: 11/02/10 в 22:33 |
Ставь Truecrypt, создавай том нужного размера и всё важное храни на нём.
Папки с настройками/логами программ, критичных к безопасности (например для Skype и Pidgin это папки .Skype и .purple), переноси на truecrypt-овский том из домашней папки, оставляя взамен символические ссылки на новое местоположение папок. Таким образом, при отключенном томе, в запущенных программах, у которых "родные" папки были на шифрованном томе, будут себя вести, как запущенные в первый раз - без настроек и логов. Правда это справедливо не для всех программ, некоторые хранят свои данные в разных местах "хомяка", но для скайпа и пиджина это справедливо.
Профиль Thunderbirda, можно также перенеси из ~/.mozilla-thunderbird на шифрованный том, а в ~/.mozilla-thunderbird/profiles.ini исправь значение Path= на новый путь до профиля. В случае, если том, где находится профиль тандербирда будет отключен, то почтовик будет ругаться, что мол уже запущена другая копия программы 
Ну и конечно, шифрованный том нужно будет монтировать постоянно под одним и тем же номером слота(колонка Slot при подключении), т.к. этот номер является частью имени папки, куда монтируется том, например /media/truecrypt5 для слота номер 5
Кроме приватности, в плюс пойдет то, что шифрованный том можно носить на флешке, а так же - быстро и безболезненно продолжить работу после переустановки убунты или на новой машине.
|
|
|
|
| |
С нами с 24.01.06
Сообщения: 252
Рейтинг: 89
|
| Добавлено: 11/02/10 в 23:58 |
Leng:  так и делаю.
точно так же профайл фаерфокса можно хранить на криптодиске.
Что под линух можно посоветовать по поводу пассов - не знаю :-\ а вот под виндой юзаю PWAgent , база которого тоже лежит на криптодиске , как и он сам.
|
|
|
|
| |
С нами с 19.05.08
Сообщения: 1894
Рейтинг: 3625
|
| Добавлено: 12/02/10 в 00:12 |
|
|
|
|
(!)Внимание Ero Advertising дополнительный Еврики от продажи рекламы. Особенно попандеров и мобилок.
|
-2
|
|
| |
Luke, yo soy tu padre
С нами с 10.02.06
Сообщения: 1012
Рейтинг: 193
|
| Добавлено: 12/02/10 в 00:30 |
| xp-ViT писал: | | А где храняться ключи-пароли для Truecrypt? |
В голове, где ж еще можно хранить пароль?
| xp-ViT писал: | | И второй вопрос как быть с Бекапами, куда их ложить? |
После окончания работы с трукриптом отключаешь том и бекапиш файл тома куда угодно, благо это один файл, который может называться как угодно.
Зачем тебе лишний гимор?
|
|
|
|
| |
культуролог-порновед
С нами с 24.06.04
Сообщения: 1784
Рейтинг: 836
|
| Добавлено: 12/02/10 в 00:58 |
Поставь puppy на флешку и будет вся твоя операционка плюс инфа (в обьеме флешки) всегда с тобой. 
|
|
|
|
| |
С нами с 22.09.04
Сообщения: 114
Рейтинг: 204
|
| Добавлено: 12/02/10 в 02:01 |
а что будет если весь свой home в truecrypt засунуть?
|
|
|
|
| |
С нами с 19.05.08
Сообщения: 1894
Рейтинг: 3625
|
| Добавлено: 12/02/10 в 02:36 |
| fetish_art писал: | | Поставь puppy на флешку и будет вся твоя операционка плюс инфа (в обьеме флешки) всегда с тобой. |
Вариант, но как бы не считаю надёжным его: Флешку можно потерять, флешку могут украсть или в конце концов изьять.
Но за коммент спасибо.
|
|
|
|
(!)Внимание Ero Advertising дополнительный Еврики от продажи рекламы. Особенно попандеров и мобилок.
|
-2
|
|
| |
Luke, yo soy tu padre
С нами с 10.02.06
Сообщения: 1012
Рейтинг: 193
|
| Добавлено: 12/02/10 в 12:42 |
|
|
|
|
| |
www.phpdevs.com
С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105
|
| Добавлено: 12/02/10 в 13:59 |
Х.з. зачем так гемороиться.
Имхо ставим чистую винду на диск С, на диск D кидаем truecrypt и даем контейнер, в котором и храним документы и прочее. В этом же контейнере держим portable версии софта.
Бакапы решаются простым копированием контейнера. Да и просто кинув контейнер на флешку, можно открыть его на другом компе и продолжить комфортную работу, весь софт то при нас, со всеми настройками.
Если диск стащат - то кроме голой винды, там ничего не будет, ну и контейнера, который без паяльника и твоей задницы не открыть. Хотя если засунуть в винду кейлогер .... но и линукс так же поиметь можно.
Тогда выход LiveCD + контейнер, не удобно конечно, тормознуто, но надежно. Если LiveCD через флешку или usbHDD пускать, то в общем будет быстро.
|
|
|
|
Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.
|
0
|
|
| |
С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144
|
| Добавлено: 12/02/10 в 14:39 |
У линукса совершенно замечательное криптование на уровне ядра без какого-либо внешнего софта.
|
|
|
|
| |
Чингачгук, вождь красноглазых
С нами с 14.05.04
Сообщения: 4744
Рейтинг: 1824
|
| Добавлено: 12/02/10 в 17:17 |
Любой дистрибутив современный при установке предлагает криптовать партиции. Надо только кастомный сетап сделать. Нахуй там трукрипт нужен? Можно закриптовать вообще все, вплоть до свопа (что есть, вообще-то, хорошая мысль)
|
|
|
|
| |
Чингачгук, вождь красноглазых
С нами с 14.05.04
Сообщения: 4744
Рейтинг: 1824
|
| Добавлено: 12/02/10 в 17:30 |
| Stek писал: |
Если диск стащат - то кроме голой винды, там ничего не будет, ну и контейнера, который без паяльника и твоей задницы не открыть. Хотя если засунуть в винду кейлогер .... но и линукс так же поиметь можно.
|
Не всякий. Линукс, загружающийся через Trusted GRUB c TPM, с SELinux настроенным так, что запуск экзешников-скриптов разрешен только из определенных директориев, куда установить можно только рутом, де-факто иммунен и к любым троянам, даже бутовым. У линукса на пару порядков больше возможностей по завинчиванию гаек.
|
|
|
|
| |
С нами с 19.05.08
Сообщения: 1894
Рейтинг: 3625
|
| Добавлено: 13/02/10 в 01:51 |
lega_cobra: Просьба рассказать про то как настроить все и как пользовать по правильному. Интересует именно рассказ-инструкция как это засетапить и как оно олжно работать. Скорее всего оптимальным вариантом будет когда есть шифрованная область а ключиком к ней служит флешка с ключиками.
PS: Да я параноик.
|
|
|
|
(!)Внимание Ero Advertising дополнительный Еврики от продажи рекламы. Особенно попандеров и мобилок.
|
-2
|
|
| |
С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144
|
| Добавлено: 13/02/10 в 04:15 |
Под убунтой это будет, по видимому, так (нет, к сожалению под рукой убунты). Делаешь от рута.
1. Выделяешь партишку для работы, где все будет лежать. Можно и файл сделать, но лучше партишку. Например, /dev/hdb1
2. Придумываешь длинный пароль, который будешь помнить всегда.
3. Загружаешь нужные модули:
modprobe aes
modprobe cryptoloop
Заодно желательно добавить в /etc/modules две строки:
aes
cryptoloop
4. Сетапишь с паролем:
losetup -e aes-256 /dev/loop1 /dev/hdb1
Оно спросит пароль, набираешь придуманый в п.2. Не забудь. Потом поменять нельзя будет.
5. Форматишь в нужную тебе файловую систему, например:
mkfs.ext3 /dev/loop1
6. Монтируешь:
mount /dev/loop1 /usr2
Все. Потом после загрузки выполняешь две команды 4 и 6. Каждый раз. Желательно все делать под каким-либо командером, который не оставляет history на диске. В этом случае на открытой части не бует вообще каких-либо следов о том, что ты криптуешь раздел. Со стороны это будет всего-лишь неформатированый раздел.
А вообще, есть целый ряд способов криптования разделов. Тут можно почитать:
С наворотами:
http://www.felipe-alfaro.org/blog/2006/08/19/encrypted-home-on-ubuntu-using-cryptoloop/
Кошерные методы, включая LUKS с dm-crypt:
https://help.ubuntu.com/community/EncryptedFilesystems
|
|
|
|
| |
