USB-шифрование для входа в систему Ubuntu Elementary OS Freya [закрыто]
Мне не удалось отследить источник команды scan, которую в итоге вызывает maldet, но maldet дословно передает заданный путь этому scan , поэтому я предполагаю, что что-то дальше обрабатывает эти ? как подстановочные знаки.
Предполагаемая цель подстановочных знаков в этом примере — собрать такие пути, как:
/home/user1/public_html/home/user2/public_ftp
, но не:
/home/public_html
... другими словами, чтобы требовалось наличие элемента пути между /home и /public_html или /public_anything.
Не забудьте экранировать или заключить в кавычки эти подстановочные пути к команде maldet, потому что если у вас есть какие-либо пути в форме: /home/(односимвольный) /public_(односимвольный) , например:
/home/a/public_a
, тогда ваша оболочка будет расширяться до этого (или любого из совпадающих) путей вместо передавая ? вместе с подстановочным кодом maldet. Вы можете по ошибке получить «повезло», используя эти пути без кавычек, если не существует односимвольных путей, потому что, если нет совпадающих путей (видимых оболочкой), он передаст ?- содержащий строку вместе с командой malde. Как только появятся какие-либо совпадающие пути, оболочка расширит ? на эти пути, и maldet больше не будет видеть (ваши) подстановочные знаки.
Если кто-то имеет физический доступ к вашему компьютеру, он может запускать на нем любой код, который захочет, загрузившись с альтернативного носителя. Или, если вы заперли это, они могут вытащить жесткий диск и подключить его к своему компьютеру.
Вы не можете запретить людям запускать код на вашем компьютере, если у них есть к нему доступ, но вы можете запретить им доступ к вашим данным, зашифровав их. Затем, если они получат доступ к вашему компьютеру, они увидят только зашифрованные данные и не смогут их расшифровать, если они не получат ключ шифрования.
Поскольку вы новичок в Linux, я рекомендую вам переустановить ваш дистрибутив и выбрать «шифрование всего диска» (или какое-то подобное имя) во время установки. Большинство дистрибутивов, включая elementary OS, предлагают такую возможность. Хотя можно преобразовать установку в зашифрованную, это довольно продвинуто с высоким риском удаления данных по ошибке.Поэтому убедитесь, что ваши резервные копии актуальны, и переустановите.
Самый простой способ настроить шифрование - использовать пароль. Обратной стороной пароля является то, что для обеспечения безопасности он должен быть достаточно случайным, а достаточно случайный пароль трудно запомнить. Можно было угадать пароль, который не был достаточно случайным. Хороший компромисс состоит в том, чтобы случайным образом сгенерировать парольную фразу, состоящую из нескольких слов (это намного лучше, чем обычный плохой совет l33tspe4k + пунктуация ).
Система шифрования диска Linux ( dm-crypt ) также поддерживает использование «ключевого файла». Ключевой файл - это, по сути, пароль, но он читается из файла, а не вводится на клавиатуре. Преимущество ключевого файла заключается в том, что это может быть длинный случайный мусор, который невозможно угадать (но невозможно запомнить, поэтому вы должны хранить его на смарт-карте или USB-носителе). Насколько мне известно, распространенные дистрибутивы не предлагают готового способа настройки, поэтому вам придется запускать настройку вручную. См. Инструкции в Как настроить LVM & LUKS для автоматического дешифрования раздела? или Как загрузить парольную фразу LUKS с USB-накопителя, возвращаясь к клавиатуре? .
Если вы не хотите, чтобы запоминающийся пароль, который вы создали в начале, разблокировал диск, добавьте длинный, случайный, незабываемый, но вводимый пароль в качестве другого ключа дешифрования ( cryptsetup luksAddKey / dev / sda2 'длинный случайный незабываемый, но вводимый пароль' ). Распечатайте длинный случайный незабываемый, но вводимый пароль и храните бумагу в сейфе.Проверьте, работает ли он, затем удалите запоминающийся пароль, который вы создали в начале ( cryptsetup luksRemoveKey ).
Возможность использовать USB-ключ для разблокировки дисплея, когда вы уже вошли в систему, работает иначе. В этот момент ключ шифрования диска все еще находится в памяти, все, что вам нужно сделать, это доказать компьютеру, что вы имеете право его использовать. Для этого подойдет более короткий (но все же не совсем тривиальный) пароль, потому что, если злоумышленник попытается использовать пароль, они будут ограничены тем, насколько быстро ваш компьютер принимает попытки. Это онлайн-атака, в отличие от попытки использовать ключи дешифрования, которые могут выполняться параллельно в автономном режиме на специализированном оборудовании.
Если вы все же хотите использовать USB-ключ для разблокировки компьютера, публикация в блоге, на которую вы ссылаетесь, выглядит разумным способом сделать это (я не проверил все команды подробно). Если у вас не получилось заставить его работать, я предлагаю задать более точный вопрос на этом сайте: что вы сделали (скопируйте и вставьте команды)? Каково было точное поведение (копировать-вставить все сообщения)?
Ваша система по-прежнему будет уязвима для более сложных атак. Шифрование не защищает от атак злой горничной . Для этого вам необходимо настроить безопасную загрузку. Базовое использование программного обеспечения для шифрования также не защищает от атак холодной загрузки , когда злоумышленник захватывает RAM-накопители из действующей системы и надеется прочитать ключ шифрования, который все еще где-то в ней.Существуют исправления ядра Linux , позволяющие избежать хранения ключа в ОЗУ (он хранится только в регистрах процессора, которые практически невозможно извлечь физическими средствами).