В пакете Cryptsetup (https://gitlab.com/cryptsetup/cryptsetup), применяемом для настройки шифрования дисковых разделов в Linux, выявлена уязвимость (http://hmarco.org/bugs/CVE-2016-4484/CVE-2016-4484_cryptsetu...) (CVE-2016-4484 (https://security-tracker.debian.org/tracker/CVE-2016-4484)), позволяющая получить доступ в командную оболочку начального загрузочного окружения initramfs или Dracut с правами пользователя root. Проблема вызвана ошибкой в коде скрипта разблокировки системных разделов и проявляется только при использовании LUKS (Linux Unified Key Setup) для шифрования разделов.
Для эксплуатации уязвимости достаточно нажать и удерживать клавишу Enter в ответ на запрос ввода пароля для доступа к зашифрованным разделам. после чего root shell. После примерно 70 секунд удерживания Enter пользователь будет выброшен в root shell загрузочного окружения. Атака хорошо повторяема и не зависит от настроек или системного окружения. Несмотря на то, что полный доступ предоставляется только в окружении начальной загрузки initramfs или Dracut, а диски остаются зашифрованы, атакующий имеет возможность скопировать, изменить или вывести из строя содержимое дисков. Для атаки требуется физический доступ к системе, но не исключаются и варианты удалённой эксплуатации облачных окружений.
Проблема вызвана неверной обработкой превышения лимита на максимальное число попыток ввода пароля - вместо бесконечного зацикливания и предложения выполнить перезагрузку, осуществлялся выход из скрипта проверки, что при отсутствии подключенных разделов приводило к выводу root shell. В настоящее время обновления пакета Cryptsetup в дистрибутивах пока не выпущены. В качестве временной меры защиты, можно настроить в grub загрузку ядра с параметром "panic" (в GRUB_CMDLINE_LINUX_DEFAULT добавить "panic=5" и запустить grub-install), после чего загрузочный скрипт инициирует перезагрузку вместо вывод root shell.URL: http://openwall.com/lists/oss-security/2016/11/14/13
Новость: http://www.opennet.me/opennews/art.shtml?num=45492
>Для атаки требуется физический доступ к системеНу как обычно
Опять новость о прикольной беге. Все как в старых виндах: нажал эскейп в окне входа - залогинился код админом :)По факту конечно кто шифрует диски, тот знает что у него все хорошо, даже если физический доступ и рут шелл
Я не знаю, что у меня всё хорошо. Более того меня волнуют следующие моменты
1) Как сменить пароль на зашифрованный диск?
2) Как забутать удалённо машину, если она ребутнулась (например свет пропадал на ночь) не топая ножками и при этом сохранив секурность?
3) Если зашифрован раздел с данными пользователя (encryptfs) - как сменить ему пароль? В /etc/passwd пароль то меняется штатными средствами, но профиль пользователя перестаёт монтироваться.
1. Читать мануал, luksAddKey/luksRemoveKey/luksChangeKey
2. Если есть уверенность, что не скомпрометирован физический доступ, то черех iLO/IPMI/iDRAC
3. Не пользуюсь, но совет тут общий - читай маны. Не хочешь маны - читай гугл. Не хочешь гугл - бери метлу, иди работать.
Спасибо. Как-то затупил и слёту про LUKS не нашёл был.
iLO/IPMI/iDRAC - сугубо аппаратные решения, не всегда они доступны.
А вот Dropbear SSH видимо оно, даже гуглится сразу https://stinkyparkia.wordpress.com/2014/10/14/remote-unlocki.../
Осталось encryptfs для хомяка забороть
ecryptfs-add-passphrase подойдёт? Ещё можно через смену домашнего каталога с новым паролем.
1) По методу Симпсона. Пункт один - подойти, пункт два - сменить. Это конечно, если ты адекват и использовал LUKS. Там мастер-ключ от раздела хранится на нём же зашифрованный паролем пользователя. Смена пароля = расшифровать мастер-ключ старым паролем + зашифровать новым. Это же позволяет иметь много паролей от одного раздела.
2) Если физически машина под твоим контролем, то Dropbear SSH в загрузочном образе. Если нет, то у тебя нет и не будет секурности. Вообще.
3) ХЗ, я этим не пользуюсь.
> Как забутать удалённо машину, если она ребутнулась (например свет пропадал на ночь) не топая ножками и при этом сохранив секурность?Если нужна реальная секурность, то никак.
>> Если нужна реальная секурность, то никак.iLo чем не устраивает?
>>> Если нужна реальная секурность, то никак.
> iLo чем не устраивает?Прошивку покажите. И да, у меня знакомые разработчики IPMI firmware по крайней мере есть.
> iLo чем не устраивает?Да вот понимаешь, жила была фирма супермикро. И запалилась на инженерном логине в таких вещах. Ну конечно же они случайно забыли, вы ничего не подумайте.
Dropbear SSH решит часть проблем
Причем количество слотов вроде 8
Смотри
http://youngblog.hoster-ok.com/smena-parolya-na-zashifrovann.../
> 2) Как забутать удалённо машину, если она ребутнулась (например свет пропадал на
> ночь) не топая ножками и при этом сохранив секурность?Юзай deo encrypt. Серверы будут бутаться по ssl ключам.
Это еще какая-то проприетарная куйня, по типу http-ss и прочих ie-ee?
> 1) Как сменить пароль на зашифрованный диск?Штатными средствами.
> 2) Как забутать удалённо машину, если она ребутнулась (например свет пропадал на ночь) не топая ножками и при этом сохранив секурность?
UPS (Uninterruptible Power Supply) и/или SecureBoot.
> 3) Если зашифрован раздел с данными пользователя (encryptfs) - как сменить ему пароль? В /etc/passwd пароль то меняется штатными средствами, но профиль пользователя перестаёт монтироваться.
Не использовать encryptfs.
Безопасность всегда подразумевает какой-то компромисс с удобством, и этот случай не исключение.
>> 2) Как забутать удалённо машину, если она ребутнулась (например свет пропадал на ночь)
>> не топая ножками и при этом сохранив секурность?
> UPS (Uninterruptible Power Supply) и/или SecureBoot.?!
UPS как раз и нужен, чтобы электричество не пропадало. А SecureBoot (при соблюдении некоторого списка условий и допущений) может гарантировать загрузку доверенного ядра.
> UPS как раз и нужен, чтобы электричество не пропадало.Для этого при "на ночь" в условиях обычно нужен уже дизель-генератор -- хотя для одной машинки, конечно, может хватить и горки батареек.
> А SecureBoot (при соблюдении некоторого списка условий и допущений)
> может гарантировать загрузку доверенного ядра.По крайней мере без весьма неприятных условий или глупых допущений -- максимум загрузчика. Ну, насколько я в теме: http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO
> Для этого при "на ночь" в условиях обычно нужен уже дизель-генератор -- хотя для одной машинки, конечно, может хватить и горки батареек.Безопасность — это всегда компромисс с удобством. Тем, кому действительно надо, у тех и дизель есть, и избычтность электропитания, и бдящая охрана. А локалхост можно и вручную.
> По крайней мере без весьма неприятных условий или глупых допущений -- максимум загрузчика.
Проверка подписи ядра тоже доступна, и уже давно. Первая же ссылка из гугла, например: http://kroah.com/log/blog/2013/09/02/booting-a-self-signed-l.../.
>> По крайней мере без весьма неприятных условий или глупых допущений
>> -- максимум загрузчика.
> Проверка подписи ядра тоже доступна, и уже давно.Попробуйте.
Зачем пробовать? На двух серверах поднял, хоть и не без бубна, и оно уже год работает. Ну и с обновлениями ядра тоже своя специфика.
> Для этого при "на ночь" в условиях обычно нужен уже дизель-генератор --
> хотя для одной машинки, конечно, может хватить и горки батареек.Olimex тут как-то писали что их сервер даунлоадов остался last man^W server standing. Отработав 6 часов без электричества. Батареечкой выступил прозаичный 3000 ma*h литиевый аккумулятор - такие в 7" планшеты обычно ставят. Что они использовали как сервер даунлоадов - несложно догадаться :).
Если есть физический доступ, то ты не можешь быть уверен, что все хорошо.
1. Подменяем Cryptsetup.
2. Ждем пока кто-нибудь введет пароль в подмененный Cryptsetup.
3. ???
4. PROFIT!
> Опять новость о прикольной беге. Все как в старых виндах: нажал эскейп в окне входа - залогинился код админом :)Да, удобно было. Пользователям. А под линуксами аналогично, только нужно быть усердней: 28 раз нажать "забой", и всё - grub сдался и пропустил. Было тут ровно 11 месяцев назад: https://www.opennet.me/opennews/art.shtml?num=43536
это полный привет... Любой ребенок может взять мой ноутбук и "взломать" его
Ребнок первым делом отломает экран.
если ребёнок может взять твой ноут, то он в любом случае может получить рута, просто прописав в грубе init=/bin/bash или, если корень тоже зашифрован, свичнуться в инитрамфс или какое-нибудь грубово рескью. ну или просто вытащить твой винтэта ошибка не расшифровывает раздел, она просто спихивает тебя в шелл
Согласен с вами. Данные это не скомпрометирует. А если злоумышленник имеет в распоряжении бук и 70+ секунд на эксплуатацию этой уязвимости, он уже имеет полный доступ к винту. Хотябы методом его тыринга. Так что да. Не так уж и страшно.
Если все носители зашифрованы ключом с количеством символов 40+,
то пусть тырят. Только для этого 70 секунд маловато будет.
Или просто выдрать носители и бежать.
> Если все носители зашифрованы ключом с количеством символов 40+,А чем не угодили 10-12 символов? PBKDF2/bcrypt вкупе с банальной комбинаторикой подсказывают, что если "не хватит" 12-и символов, то и 40+ не сильно помогут.
> . Только для этого 70 секунд маловато будет.
Обычно достаточно открутить один винт крепления крышки на дне/c боку ноута и выдернуть хард. Частенько таким же образом можно добавить оперативку.
А вот "взять две отвертки, открутить 10 винтов, снять крышку, открутить еще 4, вынуть хард" -- такую "дружественность" к пользователю любят в яблоках делать :)
У пароля есть такая характеристика как стойкость/качество.
Так вот, если вы берете 40 символов, состоящих только
из строчных букв и цифр, то его стойкость чуть выше 200 bit
Ежели вы выберети все символы (строчные и прописные, цифры,
минус, пробел, подчеркивание, спец символы), то это
где выше 256 bitВыдернуть диск это самое простое, но кто высказался
о копировании инфы, и тут нужен значительный временной задел.
> У пароля есть такая характеристика как стойкость/качество.
> Так вот, если вы берете 40 символов, состоящих только
> из строчных букв и цифр, то его стойкость чуть выше 200 bit
>>> 36**124738381338321616896
>>> 36**40178689910246017054531432477289437798228285773001601743140683776L
Это конечно, на первый взгляд, впечатляет -- однако беру я не только строчные, но и прописные, т.к. запомнить их не так уж сложно, а количество возможных комбинаций увеличивает заметно
62**12 = 3226266762397899821056 ;)Так вот, если посчитать, то чтобы перебрать все пароли хотя бы в течении года:
>>> 62**12/(365*24*60*60.0)102 304 247 919 771
>>>36**12/(365*24*60*60.0)
150 253 086 577
>>> 62**10/(365*24*60*60.0)
26 614 008 303
выходит, что даже при использовании "жалких" 10 символов -- придется перебирать 26 миллиардов паролей в секунду. А ведь PBKDF2 никто не отменял, так что удачи переборщикам -- те, кто могут себе позволить "просадить" такие ресурсы, скорее всего и смогут задействовать несколько другие методы "криптоанализа" ;)> Так вот, если вы берете 40 символов,
> Ежели вы выберети все символы (строчные и прописные, цифры,
> минус, пробел, подчеркивание, спец символы), то это где выше 256 bitА еще, в реальном мире у пароля есть такая характеристика, как запоминаемость простым пользователем без бумажки и прочих вспомогательных средств ;). И я что-то сомневаюсь, что пароли из 40 спецсимволов/цифр и т.д к таким относятся. Ну а использование набора слов/предложения все таки немного другое и там считать стойкость вот так вот, "в лоб" подсчитывая количество комбинаций символов, не катит.
Не говоря о том, что встроить все эти спецсимволы "запоминаемым" способом тоже не так просто.
Все определяется ценой вопроса.
Никто не будет тратить 100 р за инфу в 1 р.
По впоросу длины пароля, так достаточно
запомнить 1 мастер-пароль, а дальше либо
свой алгоритм образования паролей на основе
него либо использование его для менеджера паролей.
И таки радужные таблицы никто не отменял, если
вдруг захочется словами писать.
https://ru.wikipedia.org/wiki/Радужная_таблица
Вычислительный мощности нынче не малые.
> Все определяется ценой вопроса.
> Никто не будет тратить 100 р за инфу в 1 р.Предлагаю подсчитать цену на нужные ресурсы для подбора 26 мрд. паролей в секунду в течении года ;).
Кстати, тут вот
https://gitlab.com/cryptsetup/cryptsetup/wikis/FrequentlyAsk...
уже считали (возможно, сферических коней в вакууме - в детали я не вчитывался).
С дефолтным количество итераций PBKDF2 == 100 000
The table above then becomes:
Passphrase entropy Cost to break
50 bit EUR/USD 600k
55 bit EUR/USD 20M
60 bit EUR/USD 600M
65 bit EUR/USD 20B
70 bit EUR/USD 600B
75 bit EUR/USD 20T
10и значный пароль с прописными/строчными и цифрами:
62^10 ~= 2^59
12 знаков ~= 2^71
т.е. классическое https://xkcd.com/538/> И таки радужные таблицы никто не отменял, если
> вдруг захочется словами писать.
> https://ru.wikipedia.org/wiki/Радужная_таблица
> Вычислительный мощности нынче не малые.О каких радужных таблицах при использовании PBKDF2 в целом (соль) и в сабже (количество итераций привязанно ко времени, т.е. вариирует в зависимости от мощности конкретной машины) в частности, может идти речь?
Вот тут чуток инфы
https://ru.wikipedia.org/wiki/Сложность_пароля
Интересно сработает если /boot тоже зашифрован, когда grub запрашивает пароль?
Пароль Grub легко удалить, если есть любой livecd. Примонтировал /boot, удалил из grub.cfg нужные строки, перезагрузился и все готово, но это если Grub находится на не зашифрованном разделе, иначе труба....
> Интересно сработает если /boot тоже зашифрован, когда grub запрашивает пароль?*если /boot тоже зашифрован*
а как вы с этим живёте ? кто его расшифровывает ?
пароль груба не относится к шифрованию бута
>> Интересно сработает если /boot тоже зашифрован, когда grub запрашивает пароль?
> *если /boot тоже зашифрован*
> а как вы с этим живёте ? кто его расшифровывает ?
> пароль груба не относится к шифрованию бутавидимо ответ тут https://www.opennet.me/openforum/vsluhforumID3/109646.html#19
"grub2 умеет открыть LUKS"
А что означает
while true; do 100; done
?Что такое 100?
сто
а 3*100 ?
> если /boot тоже зашифрованЭто как сделать? Первый раз слышу о таком.
Граб2 умеет работать c LUKS, дебиан прям с инсталлятора шифрует без проблем /boot и ставит grub2.
Хм.. На вирт машине прям сегодня посмотрю. Хотя остаюсь при совем мнении, что boot нужно убирать на внешний носитель.
> Хм.. На вирт машине прям сегодня посмотрю. Хотя остаюсь при совем мнении,
> что boot нужно убирать на внешний носитель.и ещё надо как-то убеждаться что биос машины первый в цепочке загрузчик читает именно с вашего нужного внешнего носителя (я пока не знаю как бы это делать нормально кроме как каждый раз вызывать меню выбора "откуда грузимся")
>> Хм.. На вирт машине прям сегодня посмотрю. Хотя остаюсь при совем мнении,
>> что boot нужно убирать на внешний носитель.
> и ещё надо как-то убеждаться что биос машины первый в цепочке загрузчик
> читает именно с вашего нужного внешнего носителя (я пока не знаю
> как бы это делать нормально кроме как каждый раз вызывать меню
> выбора "откуда грузимся")В БИОСе можно явно указать - грузится с внешнего носителя. Указать с какого именно в большенстве случаев не получится, но в некоторых есть профили загрузки.
> В БИОСе можно явно указать - грузится с внешнего носителя.В результате атакующему остается лишь без палива сунуть мелкую флешку показывающую логин-промпт похожий на ваш - и для вас дело полная шляпа.
> и ещё надо как-то убеждаться что биос машины первый в цепочке загрузчик
> читает именно с вашего нужного внешнего носителя (я пока не знаю
> как бы это делать нормально кроме как каждый раз вызывать меню
> выбора "откуда грузимся")Интел уже убедился. Что первым неизбежно запускается ME (management engine) и проверяет что BIOS правильный. Чтобы вы случайно не соскочили с их услуг по причинению пользы и нанесению добра.
Поэтому если вы пользуетесь писюком свежее 2010 года на чипсетах от интел - вы можете ожидать вполне конкретный уровень безопасноти... интела. От вас и ваших систем. Ну а то что ME может все перепатчить, поменять настройки BIOS и даже операционку переставить при том что это доступно по сети и даже невозможно зафайрволить - дичайший баян.
> Граб2 умеет работать c LUKS, дебиан прям с инсталлятора шифрует без проблем
> /boot и ставит grub2.проблема в том что загрузочный сектор винчестера доступен для подмены при возможности загрузится с ливсидюка
но в принципе для умеренного уровня паранои наверно достаточно будет настроить биос на загрузку с определённого винта и пароль на биос
надо посмотреть как там груб умеет с LUKS, пропустил эту возможность
И что вы получите на выходе при подмене?
Невозможность открыть?
> И что вы получите на выходе при подмене?
> Невозможность открыть?кейлогер вписанный в функциональность стандартного загрузочного сектора
(но наверно скрытая камера или микрофон+анализ звука клавиш будут удобнее для заинтересованных лиц)
Уже тут договорились, что /бут
на внешнем носителе.
Камеры конечно бывают маленькими,
но чем меньше, тем меньше разрешение.
Вопрос питания и коммуникаций.
Все это скрыть.. ну надо быть сильно невнимательным.
А как этот grub запустится, если он сам зашифрован будет? Или шифруется не веcь /boot, а только ядро и initrd?
> А как этот grub запустится, если он сам зашифрован будет? Или шифруется
> не веcь /boot, а только ядро и initrd?груб запускается с мбр и ко, дальше предположительно он умеет спросить пароль и открыть зашифрованный раздел (зашифрована не вся поверхность, там ещё технические структуры типо таблицы разделов и прочего, в этом объёме пускатель груба и лежит)
> с правами пользователя root.Как они получаются? Ну в шелл сбрасывает - может быть, но как под рутом? Нихрена не понятно ((
>> с правами пользователя root.
> Как они получаются? Ну в шелл сбрасывает - может быть, но как
> под рутом? Нихрена не понятно ((аналогично этому
init=/bin/bash
и получаешь инитрдешный шел под рутом + зашифрованные винчестеры
Это валидно при условии что бутлоадер согласен тебя пустить в продвинутости. Тот же grub умеет пароль просить при этом. Не то чтобы это сильная защита, но если атакующий ограничен во времени - это немного стопорнет атакующего. Хотя если он сможет загрузиться с другого носителя - эта линия защиты будет расплющена.Чтобы менять настройки BIOS было нельзя - бывает пароль на BIOS. А на него бывает AWARD_SW, после ввода которого менять их становится таки можно. И прочие management engine.
> получить доступ в командную оболочку начального загрузочного окруженияЭто в принципе не уязвимость как таковая. Зашифрованные данные остаются зашифрованными. А доступ к остальным разделам при наличии доступа к железу - дело времени.
> Это в принципе не уязвимость как таковая. Зашифрованные данные остаются зашифрованными.Тем не менее, атакующий может подпихнуть приблуду которая ему сольет твой пароль при этом. И если у атакуюшего выдастся минутка когда ты отошел посцать - можно зажать энтер, подпихнуть приблуду, отвалить в туман и сделать вид что так и было. А вот дальше атакующий уже знает как все это расшифровывать, извини.
> добавить "panic=5" и запустить grub-installupdate-grub не катит?
Это больше на закладку похоже.
> обычно без шифрования оставляется раздел /bootдо кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?
>> обычно без шифрования оставляется раздел /boot
> до кого-то ещё не дошло что /boot должен быть на флешке (в
> формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен
> и настроен на загрузку с определённой флешки а все винчестеры целиком
> и полностью зашифрованы ?ладно, ладно
для умеренного уровня паранои наверно достаточно будет настроить биос на загрузку с определённого винта и пароль на биос + цельношифрованный диск + шифрованный бут + груб2 с умением стартануть с LUKS
и опечатанный корпус компа чтоб не сняли винт/не ребутнулись в ливсидюк и не заменили загрузочный сектор винта
Опечатанный корпус предотвращает бесконтрольный доступ, а не сам доступ.
Что вам дает замена загрузочного сектора? Уже сказано, что boot вынесен на внешний носитель.
Где вы хотите его найти и заменить?
> Что вам дает замена загрузочного сектора? Уже сказано, что boot вынесен на
> внешний носитель.есть два варианта
1) бут на внешнем + загрузка явно с этого внешнего + необходимость во флешке + "защита машины/биоса от чужих лап" (а то перепрошьют биос на версию с кейлогером)
2) бут внутри полностью шифрованного винчестера + груб2 умеющий с LUKS + загрузка явно с этого винчестера + "защита машины/биоса от чужих лап" (а то перепрошьют биос на версию с кейлогером И/ИЛИ загрузочный сектор винчестера на версию с кейлогером)получается что второй вариант не требует флешки при одинаковых уязвимостях к "физическому доступу"
как я понимаю достоинство первого варианта - возможность открывать винт по паролю+ключу, а не только по паролю
достоинство второго - отсутствие флешки
В чем достоинство отсуствия флешки?
Вы на 100% контролируете защиту boot,
без всякого его шифрования.Вариант 3:
Установка ОС на внешний носитель с полнодисковым шифрованием.
(USB3.0, размер носителя не проблема).
> В чем достоинство отсуствия флешки?не потерять через дырку в кармане
> Вы на 100% контролируете защиту boot, без всякого его шифрования.
а чем вообще вариант груб2+luksboot на винчестере плох ?
> Вариант 3:
> Установка ОС на внешний носитель с полнодисковым шифрованием.
> (USB3.0, размер носителя не проблема).мы так договоримся до убунтутелефона в кармане, а вместо компа у нас теперь будет юсб-хаб с винтом+клавомышкой и монитор по hdmi
Если за шифрованный диск +/- можно быть спокойным, то с /boot не все однозначно.
Вдруг потом выснится какая то уязвимость, которую противник знал, а вы нет?
Примеров таких полно.Что касается ОС на внешнем носителе, так а что вы теряете?
В производительности? Не уверен. На ПК где приложением требуется
серьезные ресурсы, врядли содержится информация, которую нужно защищать.
Или вы что неправильно организовали в совем рабочем процессе/месте.
> до кого-то ещё не дошло что /boot должен быть на флешке (в
> формфакторе позволяющим её быстро съесть и ещё быстрее переварить)Благородный дон происходит от крокодилов???
> Благородный дон происходит от крокодилов???Вроде бы, переваривать пластик не умеют даже крокодилы. Многие пластики достаточно устойчивы к химии. И RoHS конечно RoHS'ом но применяемые в электронной промышленности материалы все-таки не сказать что полезны для здоровья.
>до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?А ещё надо быстро подключится по удаленке при пропававшем инете и съесть флешку без запивки, по чесноку что-бы было. )))
А винчестеры заминировать и взорвать при первой опасности или появлении таракана разведчика. )))
>>до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?
> А ещё надо быстро подключится по удаленке при пропававшем инете и съесть
> флешку без запивки, по чесноку что-бы было. )))
> А винчестеры заминировать и взорвать при первой опасности или появлении таракана разведчика.
> )))Нечего хранить инфу на удаленной машине.
И да, заминировать. При отключении питания срабатывает механический взрыватель.
>>>до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?
>> А ещё надо быстро подключится по удаленке при пропававшем инете и съесть
>> флешку без запивки, по чесноку что-бы было. )))
>> А винчестеры заминировать и взорвать при первой опасности или появлении таракана разведчика.
>> )))
> Нечего хранить инфу на удаленной машине.
> И да, заминировать. При отключении питания срабатывает механический взрыватель.зачем ? вроде пока LUKS не ломали... достаточно винчестер открывать по ключу (с паролем) и ключик уничтожать - пусть отапливают вселенную ломая, людям же надо получать зарплату
а про то что в брянском болоте запрятан бекап ключика забывать под гипнозом заранееили вы считаете что ваш пароль уже соснифили (скрытой камерой) и теперь пришли уже за винчестером ?
Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине?
Тот кто получил к ней доступ с запущенной ОС, получил доступ к инфе
в открытом виде.
> Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине?
> Тот кто получил к ней доступ с запущенной ОС, получил доступ к
> инфе
> в открытом виде.ну это если говорить о вариантах с чтением памяти через перестановку после жидкого азота или ещё какими техническими средствами (говорят Thunderbolt имеет прямой доступ к памяти, или какой взлом запущенных на машине сервисов)
тут уж никакие зашифрованные винчестеры не помогут, так что речь идёт только о варианте когда желающий не может получить доступ внуторь рабочей расшифрованной системы, а только как простой смертный через - ввод спертого пароля
>> Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине?
>> Тот кто получил к ней доступ с запущенной ОС, получил доступ к
>> инфе
>> в открытом виде.
> ну это если говорить о вариантах с чтением памяти через перестановку после
> жидкого азота или ещё какими техническими средствами (говорят Thunderbolt имеет прямой
> доступ к памяти, или какой взлом запущенных на машине сервисов)Ещё вроде Ieee1394, которвй FireWire.
> Ещё вроде Ieee1394, которвй FireWire.А также PCI/PCIe и прочие infiniband. И таки да - есть девайсы которые сделав DMA снимают к чертям блокировку экрана с компа. Для 1394 кто-то такой PoC делал, вытряхивая винду с экрана блокировки как будто пользователь ввел верный пароль. Разумеется пароль никто не знает - приблуда просто патчит код и процесс уверен что пароль введен правильно. Потому что ему код пропатчили.
А кому мало - еще rowhammer есть. Даже, блин, rowhammer.js - даже вебстраничка может до кучи попробовать подолбить один и тот же адрес памяти. В надежде что битики перевернутся, после чего можно немного пропатчить память. Например память ядра. Убедив его сделать что-нибудь полезное атакующему. На js это конечно получается лажово и алгоритмы трансформации доступа у контролеров памяти разные. Но потенциально даже голимая вебпага может на всем что DDR3 и старее провалиться в kernel mode. Не говоря о нативных программах которые могут пытаться повысить себе привилегии гораздо наглее и потому потенциально успешнее.
В ядре линя придумывают как этот хардварный баг вкостылить в софте. Ну там например попробовать через perf monitor получать прерывания о чрезмерных cache miss и вкостыливать это со стороны ядра, чтобы такой долбеж сорвался.
> Нечего хранить инфу на удаленной машине.Как можно УДАЛИТЬ машину..?
..а, тьфу :D
>> Нечего хранить инфу на удаленной машине.
> Как можно УДАЛИТЬ машину..?
> ..а, тьфу :D//оффтоп
как-то так http://www.ua.all.biz/img/ua/catalog/1156254.jpeg
а это удаление в корзину http://itc.ua/wp-content/uploads/2014/12/22_main145-671x362.jpg
Это же русифицированная терминология - бессмысленная и бессмысленная.
Любое нововведение должно быть названо так, чтобы звучало по возможности неочевидно и по-канцелярски.
В данном случае, например, вариант "отдаленный" не вызывал бы подобных казусов, но он чересчур литературен, чтобы им кто-то всерьез пользовался. Недостаточно суконно.
Пиши ещё.
Да что писать об очевидном?
Любой человек, писавший курсовые и диплом, поневоле выучился этому странному диалекту русского языка, изобилующему деепричастиями и сложноподчиненными предложениями, скорее предназначенному не для донесения некоторой мысли до читающего, а для скрытия того факта, что никакой мысли в прочитанном тексте нет.
Принято у нас лить воду и оговаривать терминологию вместо того, чтобы сказать что-то простым бытовым языком. Понятным при беглом прочтении. Зато скорочтение процветает - вчитываться-то в тексты никакого смысла нет, главное - разглядеть те две строчки сути, которые размазаны на весь лист.
Точно в cryptsetup, а не в чьих-то кривых дистрибутивных скриптах?
Не слышу хора "systemd-mkinitrdd!".
Тут писали что можно шифровать раздел /boot
Не поленился и решил зашифровать.
Установщик сходу заорал, что такое
делать нельзя.
"Это невозможно, так как системный загрузчик
не сможет загрузить ядро и initrd" (дословно)Что делается не так?
Инсталлятор 8.6 перестал давать такое делать. Надо 8.5. Предположу, что 8.5 не проверяет есть ли бут на незашифрованном разделе.
Но ведь это же уязвимость в инициализационных скриптах дебиана, а никак не в cryptsetup.
16.11.2016 в ветке debian testing обновлены пакеты cryptsetup,cryptsetup-bin.
Может ли система подписей UEFI-прошива -> загрузчик -> ядро обеспечить защиту от подмены ядра?
