Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

To: debian-user-catalan@lists.debian.org
Subject: Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?
From: Lluís Gili <tictacbum@gmail.com>
Date: Mon, 19 Jun 2017 21:46:48 +0200
Message-id: <[🔎] 1755802.UspcfaWrNW@stretch>
In-reply-to: <[🔎] 80ba0cf2-aa71-613f-545c-a34b341b8356@gmail.com>
References: <[🔎] 1007a9ef-c4c5-98f2-dd33-3068237b4e7a@actiu.net> <[🔎] 80ba0cf2-aa71-613f-545c-a34b341b8356@gmail.com>

jo el que he fet és xifrar (amb luks, cryptsetup) un sol directori i posar-hi 
tot el sensible allà, enllaçant-ho des d'on toqui, posant la mateixa 
contrasenya al xifrat i a l'usuari pots fer que es munti automàticament quan 
inicies sessió a l'entorn gràfic (amb libpam-mount)
així tens el que vols xifrat sense necessitat de posar una contrasenya extra 
ni penalitzar el rendiment


El dilluns, 19 de juny de 2017, a les 10:32:18 CEST, Sergi Blanch-Torné va 
escriure:
> Hola,
> 
> Els xifrats en disc depenen de què vulguis protegir (el threat model).
> 
> Com be comenta el Narcís, xifrar el disc dur deixa la partició boot
> sense xifrar. Es necessària per poder carregar el kernel i que aquest et
> demani la frase de pas per poder accedir al volum xifrat. Cas que sigui
> sense frase de pas perquè el boot està en un stick, un ha de guardar-los
> separats quan l'ordinador estar apagat.
> 
> Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador
> parar. Únicament. Estaries protegint la modificació dels binaris. Però
> compte amb l'exposició del kernel.
> 
> En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb
> l'ordinador engegat i per tant amb la partició xifrada montada.
> 
> De forma no excloent, però que té implicacions de performance, és
> utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries
> protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de
> tenir present que root, tot i que no pot montar el teu home, si que hi
> pot accedir si l'usuari ha fet login.
> 
> Després hi ha una tercera via, útil per exemple per discs durs externs,
> que serien eines com encfs, en les que hom monta una estructura de
> directoris sota demanda. Té els seus pros i contres també.
> 
> /Sergi.
> 
> Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per
> aprendre...
> 
> On 19/06/17 09:31, Narcis Garcia wrote:
> > La manera en què jo ho he vist fer és deixar connectada la memòria USB
> > durant la instal·lació, i allotjar-hi allà la partició de /boot sense
> > encriptar.
> > D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal
> > la memòria USB per arrencar-ne, que és la que demana contrasenya per
> > seguir l'inici del sistema. Això si, convé que la memòria USB romangui
> > connectada per a que sigui coherent amb les actualitzacions de nucli i
> > gestor d'arrencada.
> > 
> > De tota manera, aquesta externalització de l'arrencada és una mesura més
> > aviat orientada a evitar una vulnerabilitat molt i molt específica:
> > Que algú volgués manipular l'arrencada de l'ordinador per després deixar
> > que tu el tornis a fer servir i que es desi la contrasenya que escrius,
> > i així en un «següent robatori» recuperar aquesta dada.
> > Si no necessites protegir-te d'aquest cas concret, pots prescindir de
> > memòria USB i col·locar el /boot al mateix disc dur.
> > 
> > 
> > __________
> > I'm using this express-made address because personal addresses aren't
> > masked enough at this list's archives. Mailing lists service
> > administrator should fix this.
> > 
> > El 19/06/17 a les 01:37, Pedro ha escrit:
> >> Josep,
> >> 
> >> tens alguna guia que recomanis o sabries explicar breument com fer lo
> >> de entrar xifrar disc i desbloquejar-lo amb el llapis USB?
> >> 
> >> podríem considerar que el punt de partida més habitual és una debian
> >> instal·lada amb el xifrat de disc com suggereix l'instal·lador.
> >> 
> >> Gràcies!
> >> 
> >> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa <jlladono@gmail.com>:
> >>> 2017-06-18 19:47 GMT+02:00 Jordi Boixader <idroj@bergueda.org>:
> >>>> Hola,
> >>>> 
> >>>> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és
> >>>> recomanable
> >>>> encriptar les particions. Tant al Portàtil com al Sobretaula.
> >>>> 
> >>>> - Només és per si em roben el Disc Dur que no hi puguin accedir?
> >>> 
> >>> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar
> >>> contrasenya (o un llapis usb amb una clau) per iniciar sistema.
> >>> 
> >>>> - O també si un Hacker m'entra des d'Internet al trobar-ho tot
> >>>> encriptat
> >>>> no podrà fer res?
> >>> 
> >>> Quan inicies el sistema i entres la clau secreta per poder desencriptar
> >>> el
> >>> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
> >>> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho
> >>> fa
> >>> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que
> >>> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema
> >>> operatiu/aplicacions tenien...
> >>> 
> >>>> Perdoneu la meva ignorància...
> >>>> 
> >>>> Salut
> >>> 
> >>> --
> >>> --
> >>> Salutacions...Josep
> >>> --

Reply to:

Follow-Ups:
- Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?
  - From: Narcis Garcia <debianlists@actiu.net>

References:
- Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?
  - From: Narcis Garcia <debianlists@actiu.net>
- Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?
  - From: Sergi Blanch-Torné <srgblnchtrn@gmail.com>

Prev by Date: (deb-cat) Fwd: Debian 9 'Stretch' released
Next by Date: Re: Debian 8.8 a debian 9 problemes amb nou nucli 4.9.0-3-amd64
Previous by thread: Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?
Next by thread: Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?
Index(es):
- Date
- Thread