-
Fototrend
Mára a ProHardver!/IT.News Fórum is nagylétszámú Linuxban jártas taggal büszkélkedhet. Nehéz szinteket felállítani egy olyan rendszer ismeretében, ami annyira sokrétű, hogy teljesen szinte lehetetlen megismerni minden egyes részét. Azt azonban mindenki tudja, hogy kezdő-e vagy sem. Elsősorban nekik szólnak az alábbiak, de érdemes mindenkinek elolvasnia, mint útjelző táblát.
Új hozzászólás Aktív témák
-
válasz
Dißnäëß
#26987
üzenetére
Elkeserítelek: amikor szoftveres disk encryptiont használsz, a master password mindig a memóriában van és megfelelő csillagállás esetén kinyerhető. Másik támadási módszer lehet, ha úgy módosítják a LUKS-ért felelős forráskódot, hogy írja ki egy pendrive-ra a jelszót.
Szoftveres disk encryption esetén esetleg használhatod a Kali nuke opcióját, Google segít megtalálni.
Ha ennyire biztonságban akarod tudni az adataidat, használj hardveres titkosítású háttértárat. Ez esetben (feltehetően) csak NSA és tsa az ellenfeleid, a megfertőzött firmware-eken keresztül.
-
Frawly
veterán
válasz
Dißnäëß
#26987
üzenetére
Valószínűleg előbb akarja elérni a logikai köteteket, mint hogy a LUKS-ot fel tudta volna oldani. Azt még tudni kéne mi alatt csinálod, mert nekem ezzel csak olyan disztrókon van tapasztalatom, amelyek nem crypttabot, hanem initramfs-t használnak.
Egyébként nem értem miért akarsz titkosítást, ha nem akarsz jelszót beírni. Annak pont az lenne a lényege, hogy jelszót kelljen beírni, és jelszó nélkül más ne tudja megnyitni. Lehet elvileg, hogy valami USB drive-ról húzza be a titkosításhoz használt kulcsot, de azzal később a támadó dolgát is megkönnyíted, mert elég lesz neki azt a drive-ot megszerezni, kicsit olyasmi, mint a lábtörlő alá a kulcsot odakészíteni. Jelszónál csak a te fejedben van meg a kulcs, nem létezik fizikai könnyítés, hogy hozzá lehessen férni az adatokhoz. Tudom, kényelmetlen minden bootkor meg minden egyes felcsatoláskor jelszót bekörmölgetni, de az adatbiztonság és a kényelem kölcsönösek kizárja egymást. A crypttab sem jobb megoldás.
A random adatokkal felülírás nem kötelező, azt csak azért szokták használni, hogy ne lehessen adatmintázatok alapján a titkosítást támadni. De SSD-knél a TRIM úgyis felfedi, hogy mely szektorok nincsenek használatban, szóval ez úgyis bukó lesz, meg HDD-knél is egy idő után, mikor telepakolod titkosított adattal, egy nagy pszeudórandom adathalmaznak látszik az egész, úgyhogy nem tudnak visszakövetkeztetni adatmintázatra. Így ez a dd if=/dev/random inkább paranoia, mint a HDD több menetben legyalulása.
Én mióta SSD-ket használok, nem használok többé LUKS-t. A TRIM miatt így is, úgy is támadható lenne, meg az SSD-nek nem tesz jót, hogy dugig van adattal (TRIM nélkül úgy érzi az SSD vezérlője, hogy minden szektorban lévő adat hasznos adat, és a wear leveling ellehetetlenül). LVM-et meg csak azért használtam korábban is, hogy az összes kötetet egyszerre, egy jelszóval lehessen feloldani. Így SSD-ken a hardveres öntitkosítást használom ATA jelszóval, ez transzparens az OS-ek számára és az SSD élettartamára sincs negatív befolyással. Igaz cserébe elméletileg kevésbé biztonságos, mint a LUKS, de a gyakorlatban nem olvastam még olyanról, hogy megtörték volna. Meg az SSD hardveres öntitkosításának a másik veszélye, hogy ha elfelejted a jelszót, kizárod magad a meghajtóból és többé nem lehet leoldani róla (mert nem csak az adatok biztonságát szolgálja, hanem lopás elleni védelmet is nyújt), ki kell dobni (a gyártó, NSA sem tudja leoldani róla a jelszót, nincs kiskapu, meg backdoor). LUKS-nál csak újrahúzol mindent szoftveresen, és max. csak az adatokat bukod, ha nem volt backupod.
-
bambano
titán
válasz
Dißnäëß
#26987
üzenetére
"Namost, hiába van titkosítás után logikailag az LVM szint,": nem értem, amiket írtok. a luks az a disk manageren használt titkosítási rendszerből egy titkosítási fajta.
tehát nincs olyan, hogy luks-lvm, két okból sem: az egyik egy blokk-eszköz menedzser, a másik meg egy titkosítási módszer.másrészt mivel dm-cryptet használ, ami az lvm része, ezért fogalmilag lehetetlen a luksot betenni az lvm alá.
tehát ha úgy használod, ahogy le van írva, akkor raid-lvm-luks-lvm a sorrend.
szerintem raid-re lvm-et kell tenni, majd az lvm-en kiosztott köteteket kell luks-szal titkosítani. ha nem akarod bootoláskor kézzel beírni a jelszót, akkor a crypttab-ba bele kell írni, és kész. mondjuk akkor rögtön semmi értelme lesz az egésznek, mert minek titkosítod, ha adod mellé a jelszót...
Új hozzászólás Aktív témák
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- Autóápolás, karbantartás, fényezés
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Filmvilág
- Szeged és környéke adok-veszek-beszélgetek
- One otthoni szolgáltatások (TV, internet, telefon)
- Intel Dual Core 2000 felhasználók barátságos offolós topikja
- HP notebook topic
- Mielőbb díjat rakatnának a görögök az olcsó csomagokra az EU-ban
- Audi, Cupra, Seat, Skoda, Volkswagen topik
- További aktív témák...
- Új, bontatlan World of Warcraft gyűjtői kiadások
- Microsoft licencek KIVÉTELES ÁRON AZONNAL - UTALÁSSAL IS AUTOMATIKUS KÉZBESÍTÉS - Windows és Office
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - Automata kézbesítés utalással is!
- Kaspersky, McAfee, Norton, Avast és egyéb vírusírtó licencek a legolcsóbban, egyenesen a gyártóktól!
- Windows 10 11 Pro Office 19 21 Pro Plus Retail kulcs 1 PC Mac AKCIÓ! Automatikus 0-24
- ÁRGARANCIA!Épített KomPhone Ryzen 7 7700X 32/64GB RAM RTX 5070 12GB GAMER PC termékbeszámítással
- iKing.Hu - Apple iPhone 14 Plus - Yellow - Használt, karcmentes
- BESZÁMÍTÁS! MSI B450M R7 5700X 16GB DDR4 512GB SSD RTX 3060 12GB Rampage SHIVA Chieftec 600W
- AKCIÓ! "ÚJ" Microsoft Surface 5 13,5 notebook - i5 1235U 8GB RAM 256GB SSD Intel Iris Xe IGP 27% áfa
- Bomba ár! Lenovo X1 Yoga 2nd - i7-7G I 8GB I 256SSD I 14" WQHD I HDMI I W11 I CAM I Garancia!
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest