Fórum Root.cz
Hlavní témata => Server => Téma založeno: Petr 05. 09. 2013, 17:51:37
-
Zdravím, jde zašifrovat celý disk bez ztráty dat? Jedná se o distro Debian. Děkuji
-
Zdravím, jde zašifrovat celý disk bez ztráty dat? Jedná se o distro Debian. Děkuji
ano.
abys neztratil data tak si je zazalohujes jinam na jiny sifrovany disk.
pak si zasifrujes puvodni disk a muzes si je ze zalohy nakopirovat.
udelal jsi spravnou vec, mas zasifrovano a zazalohovano :-)
-
Jenže se jedná o systémový disk :(
-
No pocul som, ze v biose ide bezpecne zasifrovat disk..
-
Pokud neni volba v BIOSu, je mozno pouzit sifrovani fielsystemu v Linuxu, use Google :
https://www.google.com/search?q=linux+full+system+disk+encryption
-
No pocul som, ze v biose ide bezpecne zasifrovat disk..
alezi na BIOSu, zalezi na disku, jestli to umi a pak je otazka, jestli to je opravdu bezecne nebo jestli to je sracka, ktera zastavi leda tak BFU. Pak je tu jeste problem, ze nekteri vyrobci asi resi to sifrovani (respektive asi nakladani s heslem) po svem a kdyz vam treba odejde mobo, uz se k datum nedostanete. Neni to tak dlouho, co tu nekdo takto resil disk z notebooku ACER. Takze snad radsi ne anebo zalohujte dostatecne casto.
-
Důvěrnější soubory stačí mít v solidně šifrovaným souboru (např TrueCrypt). V notebooku má dále smysl řešit zabezpečení uložených hesel, cache prohlížeče, atp. To řešim přes ATA password na thinkpadu. Asi to nebude kdovíjak extra bezpečný, ale v případě ztráty/odcizení ntb. to útočníka zdrží. Zkoušeli jste se někdo vrtat ve firmwaru disku, na odstranění ATA password?
Kdyby byla řeč o korporátní bezpečnosti tak tam to chce TPM čip, ve kterém je kryptoprocesor a bezpečné úložiště klíčů (nesměj bejt uložený v paměti, sou lidi co to uměj z RAMek vytáhnout).
-
No pocul som, ze v biose ide bezpecne zasifrovat disk..
Ne, a i když jo, tak to podobně za prd jako tady nebo tady: http://www.slashgear.com/corsair-padlock-2-flash-drive-security-glitch-surfaces-2992070/ https://www.theprivacyblog.com/personal-privacy/huge-vulnerability-in-encrypted-usb-drives/
(TLDR: všechny disky od stejného výrobce se šifrují stejným klíčem. Takže stačí získat tento klíč a můžete rozšifrovat všechny disky.)
Důvěrnější soubory stačí mít v solidně šifrovaným souboru (např TrueCrypt). V notebooku má dále smysl řešit zabezpečení uložených hesel, cache prohlížeče, atp. To řešim přes ATA password na thinkpadu. Asi to nebude kdovíjak extra bezpečný, ale v případě ztráty/odcizení ntb. to útočníka zdrží. Zkoušeli jste se někdo vrtat ve firmwaru disku, na odstranění ATA password?
Jsou různé logy (ze kterých lze vytáhnout třeba tracklog - podle wifi sítí, ke kterým jsi byl připojen), dočasné soubory v /tmp /var/tmp, historie terminálu… http://linux.slashdot.org/story/12/03/08/1441215/data-breach-flaw-found-in-gnome-terminal-xfce-terminal-and-terminator
Kdyby byla řeč o korporátní bezpečnosti tak tam to chce TPM čip, ve kterém je kryptoprocesor a bezpečné úložiště klíčů (nesměj bejt uložený v paměti, sou lidi co to uměj z RAMek vytáhnout).
A už někdo vyrábí použitelné a bezpečné TPM? Funguje to v Linuxu dostatečně na to, aby to šlo použít pro SSH/GPG nebo dokonce i dm-crypt?
-
Tazatel nepise k duvod k sifrovani a co za data chce sifrovat takze jsou 2 varianty
1.
Domaci komp s hrama filmama fotkama. Pokud je to notebook tak klidne staci ATA password pokud mu ho nekdo ukradne nebo nekde zapomene data nikoho zajimat nebudou proda to do bazaru a bazarnikovy budou taky fuk a pokud je chytrejsi udela sec.erease...
Pokud je to velkej komp tak to pravdepodobne nepujde nastavit, neznam desku co to umi (neznam novej HW)
U nekterych modelu disku je odstraneni hesla vcelku jednoduche u nekterych je potreba letovat cist a programovat.
2.
Firemni komp, firemni data. zazalohovat a dm-crypt LUKS atd... pokud to nema firma nejak sjednoceny pro vsechny
-
Jo a zapomněl jsem na odkaz na hackování disku (ATA heslo by tím šlo obejít taky) http://spritesmods.com/?art=hddhack&page=1
-
Jde to udělat, kvalitní šifrování přes dm-crypt, ale bacha, ne LUKS!!! LUKS si přidává hlavičku a tento postup funguje jen když jsou obě zařízení stejně velká.
Nasetujeme si přes device mapper šifrování a pak díme dd if=/dev/sda of=/dev/mapper/<příslušný_device>. Modlíme se, abychom nic nezkazili a pokud nemáme UPS tak i aby nevypli proud. Je to ale šílená divočina a osobně bych to nedělal. :-)