Вопросы Теги

Ubuntu: Если кто-либо может получить корневую подсказку без пароля, разве который не ставит под угрозу брелок для ключей гнома?

Вот проект bash/zsh сценария, который печатает все, что Вы хотите. Это работает только на обновляемые пакеты, не на любой новый пакет, который установлен из-за измененных зависимостей. Это не работает правильно на безопасность или стабильные обновления. И если http://packages.debian.org/changelogs/ не актуален (не включает версию, к которой мог бы быть обновлен), она печатает все записи журнала изменений. Другая проблема (или функция, если Вы хотите), что она печатает записи на двоичный пакет, не на исходный пакет. Поэтому Вы, вероятно, получаете дублирования. Вы видите, существует много комнаты для улучшений. Этому нужно apt-show-versions установленный.

#!/bin/bash
FLAVOURS=(main contrib non-free)
TEMPFILE=$(mktemp)
trap "rm -f $TEMPFILE; exit" SIGHUP SIGINT SIGTERM

apt-show-versions -u | while read PACKAGE A B FROM C TO ; do
         PACKAGE=${PACKAGE%%/*}
         SOURCEPACKAGE=$(dpkg-query -W -f '${Source}' $PACKAGE)
         SOURCEPACKAGE=${SOURCEPACKAGE%% *}
         SOURCEPACKAGE=${SOURCEPACKAGE:-$PACKAGE}
         PREFIX=${SOURCEPACKAGE:0:1}
         if expr match $SOURCEPACKAGE "lib.*" > /dev/null ; then
            PREFIX=${SOURCEPACKAGE:0:4}
         fi      
         echo Changelog for $PACKAGE from $FROM to $TO
         for i in $FLAVOURS ; do
                if wget -q "http://packages.debian.org/changelogs/pool/$i/$PREFIX/$SOURCEPACKAGE/current/changelog.txt" -O $TEMPFILE ; then
                    dpkg-parsechangelog --since "$FROM" --to "$TO" -l$TEMPFILE | sed -e "1,/Changes:/d"
                    break   
                fi      
         done    
         echo    
   done
rm $TEMPFILE

Если Вам не нужна вся информация автоматизированным способом, можно использовать пользовательский интерфейс aptitude. Там Вы видите, какие пакеты могут быть обновлены, и Вы получаете соответствующий журнал изменений с новыми записями, выделенными путем нажатия C.

5
17.03.2013, 12:02
1 ответ

Это верно, что кому-то, у кого есть физический доступ к Вашим аппаратным средствам, нельзя мешать получить доступ к системе. В большинстве случаев я думал бы все, что необходимо сделать, заменить /etc/passwd и теперь это взламывается. Я предполагаю, что это немного более хитро, если вся файловая система вне ядра шифруется. Я полагаю, что это возможно, но я не сделал этого; возможно, кто-то еще вмешается.

Получение корневого доступа к системе, однако, не обязательно позволяет Вам дешифровать что-либо и все.

Я не пользователь брелоков для ключей, но если, как Вы говорите, Ваша зашифрованная папка будет смонтирована и дешифрована входом в систему, который не очень безопасен вообще от этой перспективы, то начиная с получения корневого доступа обойдет тот механизм.

Я действительно шифрую вещи; к сожалению, я делаю это программно, таким образом, у меня нет программного обеспечения конечного пользователя для рекомендации, но я могу обрисовать в общих чертах некоторые понятия (и я уверен, что существует программное обеспечение конечного пользователя для этого, если Вы смотрите; надо надеяться, эта информация поможет Вам понять то, для чего это и как использовать его). Решительно зашифрованные данные требуют ключа, который является видом просто действительно большого пароля - например, если бы Вы генерировали ключи SSH прежде (точно та же самая идея), они обычно - 2 048 битов, которые были бы 292 символами ASCII. Это означает, что существует:

2^(2048) = 32317006071311007300714876688669951960444102669715484032130345427524655138867890893197201411522913463688717960921898019494119559150490921095088152386448283120630877367300996091750197750389652106796057638384067568276792218642619756161838094338476170470581645852036305042887575891541065808607552399123930385521914333389668342420684974786564569494856176035326322058077805659331026192708460314150258592864177116725943603718461857357598351152301645904403697613233287231227125684710820209725157101726931323469678542580656697935045997268352998638215525166389437335543602135433229604645318478604952148193555853611059596230656

возможный такие ключи. Теперь, если Вы имели дом, полный компьютеров, и могли бы так или иначе делать попытку к грубой силе чего-то зашифрованного с ключом как этот 1000000 раз в секунду, существует 60*60*24*365=31536000 секунды через год и так самое длинное, которое это должно взять для взламывания, шифрование: 1024765540059329252305773613922816842987192499673880138005147939736322144180234997881697152826069046920621447264139333444131137720398621292969563431838162199411176983996099571656208705935744929819763370065451153230491889226364147519084160779378366643536962387494809266961173766220860787944176572777902409485093681297237073262959315537372037338116951294879703261608251067330385153244179994740939199418574870520229058971285573863444899516498656960438980771601765830518363954994635344042527812713309592956293713298473385906108764499884354345453308129324880686692782919058638686093522275450436077758547560046

годы. Конечно, существуют, я верю намного лучшим стратегиям, чем грубая сила, но даже если Вы сокращаете то время фактором миллиарда, не задерживать дыхание.

Это нарочно - это алгоритмы шифрования ядра, некоторые из которых были уполномочены (и я предполагаю, используются) американскими вооруженными силами (который, то, почему иногда существуют странные "правила экспорта" относительно них). Они являются эффективно небьющимися, период. В войне Ваш противник может потенциально получить физический доступ к Вашим аппаратным средствам, но если Ваш tish шифруется, и у них нет ключа, они застревают.

Таким образом, один очевидный и простой способ защитить зашифрованные данные по Вашему ноутбуку в случае, если это украдено, не состоит в том, чтобы оставить ключ шифрования на нем. Вместо этого Вы помещаете его на карту с интерфейсом USB.

Но что, если кто-то получает ноутбук и безотносительно с ключом на нем (так как это должно быть где-нибудь, Вы не можете запомнить его)? Вы пароль шифруете ключ. У Вас теперь есть слабое звено в цепочке, тем не менее, потому что 16 символьных паролей ASCII только имеют 2^ (7*16) = 5192296858534827628530496329220096 возможностей, означая грубую силу макс., 1 000 000 попыток/секунда являются measily 164646653302093722365 лет. Я думаю, что количество попыток в секунду должно замедлиться, хотя, потому что для тестирования взломанного ключа, они должны применить его к зашифрованным данным.

То, что я пытаюсь сказать: если дешифрование связывается с пользовательским входом в систему, да кто-либо, кто захватывает аппаратные средства, может легко взломать его. Я не знаю, на самом деле ли это, что гном делает, но вероятно, так как это не может получить Ваш пароль (это - один зашифрованный путь, видит ПРИМЕЧАНИЕ), и использование, что (если бы это могло, который был бы более умным, потому что теперь, если бы кто-то изменил пароль, Вашему входу в систему просто не удалось бы дешифровать папку, и это было бы этим). Но существуют опции, если у Вас есть материал, действительно необходимо защитить. [лампочка: может случиться так, что то, что делает гном, шифруют использование скремблированной формы (что-либо сделает), когда Вы выйдете из системы, затем дешифрует его, когда Вы входите в систему. Способ протестировать это мог бы состоять в том, чтобы зарегистрировать пользователя полностью, затем войти в систему как корень и изменить пароль пользователя с passwd username. Или Вы могли просто спросить людей гнома об этой проблеме.]

Примечание: Одним путем шифрование означает метод, который не обратим, но всегда приводит к тому же результату. Так, Вы вводите свой пароль, и он преобразовывается, и продукт того преобразования сравнивается с тем, что зарегистрировано (т.е., что зарегистрировано, не Ваш пароль!). Если они соответствуют, хороший. Но если они не делают, нет никакого способа взять то, что зарегистрировано в /etc/passwd и возвратите его в свой пароль. Это - "один путь" encrytion. Очевидно, это бесполезно для данных, потому что независимо от того, что Вы шифруете тот путь, безвозвратно потерян, но это - стандартный способ сохранить пароли (хотя я думаю некоторые крупные компании, которые должны знать лучше, такие как Apple, были на самом деле пойманы, взлом сообщения, как не сделавший это по некоторой абсурдной причине и сохраненным клиентским паролям в простом тексте).

2
27.01.2020, 20:42
  • 1
    Спасибо за Ваш подробный ответ! Я решил просто помнить свой пароль на данный момент. Возможно, я должен использовать маркер в будущем, но я, вероятно, закончил бы тем, что оставил подключенным к моему компьютеру большую часть времени, который победит цель шифрования. –  Wolfgang 17.03.2013, 15:58
  • 2
    @Wolfgang редактирования: это не должно быть на палке usb. Так или иначе моя точка № 1 здесь - то, что при использовании системы шифрования, которая использует отдельный пароль, введенный Вами и не только чем-то автоматизированным входом в систему, затем зашифрованные данные будут безопасны, даже если кто-то украдет Ваши аппаратные средства, потому что тот пароль не хранится нигде и нет ничего, что вор мог делать с этим. –  goldilocks 17.03.2013, 17:42
  • 3
    Хорошо это точно, что я хотел знать. Еще раз спасибо за то, что не были снисходительны и на самом деле ответили на мой вопрос :) –  Wolfgang 18.03.2013, 00:12

Теги

Похожие вопросы