Нахрена нужен пароль суперпользователя и на вход в систему

если это довольно просто обойти?

Почитал тут, как восстановить (пользуюсь Опенсусе). Винде доверия нет. Линукс тоже.

Это все к вопросу о защите информации.

Serrrgey:
если это довольно просто обойти?

Почитал тут, как восстановить (пользуюсь Опенсусе). Винде доверия нет. Линукс тоже.

Это все к вопросу о защите информации.

И как же восстановить пароль рута?

В линуксе сразу во время установки можно сходу закриптовать домашний каталог, это для упитанных домохозяек, которые одной рукой режут салат, другой лениво ставят убунту, смотря при этом сериал, пароль суперюзера тут вообще нах..
Смысл в чем - в декриптованном виде файло живет только в оперативе, а на винте будет ахинея и всякая фигня.
Все конфиги у линуха в текстовых файлах - сам бог Ктулху велел глобально закриптовать такой бардак, дабы отвадить всяких ведомственных и пр. поганцев с LiveCD шляться по каталогам как у себя дома.

Не проще ли воспользоваться виртуалкой - закриптовать целиком созданный диск средствами виртуальной машины, затем накатить туда линукс, а внутри линукса создать диск-контейнер средствами TrueCrypt 7.1a - для всяких паролей, документов и пр.
Переносить на другой комп - запросто, бекапить тоже без проблем, еще одну копию виртуалки можно положить на полку вместе с внешним диском.
Можно безопасно для здоровья потерять этот виртуальный диск при транспортировке, без знания как и что там было сделано - бесполезный хлам.
Если хост погрызут черви или тупо сдохнет hdd - восстановить все нажитое непосильным трудом - дело нескольких минут.
Для всех снаружи - как бы беспалевная винда, сиськи на обоях, рюшечки и туповатый юзер, а по факту можно реально работать на любой платформе, поддерживающую данную виртуалку.
Разумеется это только один из вариантов, их великое множество..
Такого удобства разумеется не будет при установке OS на железо, сдохло там чего, потом думай что успел потерять.
Лично мне больше нравится варианты с закладками, кто полезет не зная фишки - сам все и сотрет))
И да, для ленивых, услышите слово битлокер - смело посылайте провокатора нах, лучше конечно его отпи.. ть физически, желательно ногами, развелось б.. ъ неучей егэшных..
Чем сильнее и неистовей будет уровень бешенства - тем сильнее вас будут уважать окружающие потом..

А насчет доверия к линуксу - с Ubuntu был "грандиозный" скандал со строкой поиска в вывиглазной Unity.
По факту - всего навсего сборщик статистики для рекламы.
Нех юзать марсианский интерфейс, есть куда более человеческие оболочки.
Если сравнивать линукс с тем во что сейчас превращены 7-8.1-10 - это небо и земля.
Можно конечно заюзать всякие подобия типа "национальной OS" на основе линукс, сколько их там уже набралось, но доморощенные тоталитарные закладки пугают гораздо больше чем всякие анб-фбр-цру.
А если хочется кристальной чистоты - собирайте сам дистриб из сырцов или заюзайте гентушные бесконечные "сборки мира" - все левое г.. но выпилит компиллятор при сборке.
Кто хочет жить тот живет, а кто не хочет.. , щас жизнь такая, надо выделять время и учится, дабы вовремя предотвратить или минимизировать возможный вред здоровью.

Если сравнивать линукс с тем во что сейчас превращены 7-8.1-10 - это небо и земля.

что нынче модно пользовать? Я как-то puppy-linux`ом озадачивался, чисто за минимализм. Но потом забил

Самый человечный это Mint, убунта скурвилась. А реальные пацаны смотрят на предыдущую сентенцию как а дикое гонево и юзают FreeBsd.

Обожаю разговоры ламеров.. .

убунта скурвилась

в смысле?

И как же восстановить пароль рута?

https://habrahabr.ru/post/54103/

Originally posted by Serrrgey:

если это довольно просто обойти?

Почитал тут, как восстановить (пользуюсь Опенсусе). Винде доверия нет. Линукс тоже.

Это все к вопросу о защите информации.

Обычно все эти пароли исключительно чтобы пока ушёл от компа кошка боссу не позвонила или ребёнка малолетняя что-то нужное не удалила.
От доступа толкового и мотивированного человека, имеющего время на покопаться - не спасут.

Да и любые пароли и физические методы защиты крайне плохо защищают от терморектального криптоанализа

Так что сначала стоит определиться с моделью угроз и от этого уже строить модель защиты.

------
Жизнь хороша, если есть ППШ!

Да и любые пароли и физические методы защиты крайне плохо защищают от терморектального криптоанализа

только терминальный доступ к машине в другой стране
с локальной машины под гостем

Originally posted by почти аноним:

только терминальный доступ к машине в другой стране
с локальной машины под гостем

И чем это поможет от терморектального криптоанализа?!

Точно также расскажете и покажете, как заходить, что вводить, что запускать

------
Жизнь хороша, если есть ППШ!

И чем это поможет от терморектального криптоанализа?!
Точно также расскажете и покажете, как заходить, что вводить, что запускать

чтобы что-то показать, про это надо спросить.
а чтобы про сто-то спросить, про это надо знать.

если у вас на компе ничего кроме гигов порнухи нет, что с вас спрашивать?
паяльник и прочее - если крепко уверен, что есть, но прячет, иначе не по-пацански это, беспредел сплошной.

Originally posted by почти аноним:

чтобы что-то показать, про это надо спросить.
а чтобы про сто-то спросить, про это надо знать.

если у вас на компе ничего кроме гигов порнухи нет, что с вас спрашивать?
паяльник и прочее - если крепко уверен, что есть, но прячет, иначе не по-пацански это, беспредел сплошной.

Так собственно об этом и был запрос в постинге #9 - нужна модель угроз, от которой и можно отталкиваться в построении модели защиты.

Если априорно утверждается, что никто ничего не знает - то можно и на домашнем компе под Win10 нерезанной работать: мелкософт навряд ли будет устанавливать Вашу личность и кому-то сливать инфу о том, что именно у Вас на компе хранится, а остальные по Вашей модели угроз и так не знают

------
Жизнь хороша, если есть ППШ!

Во первых не надо владеть информацией которую захотят добывать методом терморектального криптоанализа
Во вторых нужно криптование как в SecurStar когда криптуется весь жесткий диск, при включении компа появляется надпись "invalid system disk" или как то так а при вводе пароля система начинает нормальную загрузку
В третьих нужен пароль для входа под принуждением чтобы удалялось всё нах
В четвертых повторяем то что во первых

почти аноним:

... иначе не по-пацански это, беспредел сплошной.

И многих остоновит эти устаревшие рыцарские замашки?

Так собственно об этом и был запрос в постинге #9 - нужна модель угроз, от которой и можно отталкиваться в построении модели защиты.
Если априорно утверждается, что никто ничего не знает - то можно и на домашнем компе под Win10 нерезанной работать:

подозревать - одно. придут по наводке и увидят зашифрованный диск.
али не увидят никакого диска - есть разница?

Во вторых нужно криптование как в SecurStar когда криптуется весь жесткий диск, при включении компа появляется надпись "invalid system disk" или как то так а при вводе пароля система начинает нормальную загрузку
В третьих нужен пароль для входа под принуждением чтобы удалялось всё нах

рассказывали историю: торгаша поймали, привязали к дереву и молча, без вопросов выкололи глаз. за второй он все отдал сам.

И многих остоновит эти устаревшие рыцарские замашки?

это была шутка. время отморозков.

Originally posted by почти аноним:

подозревать - одно. придут по наводке и увидят зашифрованный диск.
али не увидят никакого диска - есть разница?

Разумеется.
Потому очередной раз повторю - рисуйте модель угроз.

Если допускается приход полуграмотных пентов без внятной доказухи и без изъятия на дополнительные исследования - хватит и шифровки диска, косящей под сбой (как предлагали выше).

Если планируется изъятие машинки на тщательный анализ, но не планируется работа с провайдером - тут уже шифрованый диск плохой помощник, а вот удалённая машина проканает.

Правда, сам факт хождения на удалённую машину найти тоже не так уж сложно, попросив логи у провайдера. Даже если ВПН - один хрен, факт хождения будет виден очень хорошо.

Если предполагается приход пентов, с изъятием машинки и данных СОРМа у провайдера - возможно, будет рулить снова локальный диск с системой физического уничтожения, если, конечно, предполагается, что будет время кнопочку жмякнуть. Зато потом уже никакой даже терморектальный криптоанализ не поможет восстановить содержимое. Правда, владелец может очень сильно пожалеть об отсутствии подобной возможности...

И так далее и тому подобное, разные сценарии атак - разные способы защиты.

------
Жизнь хороша, если есть ППШ!

azulen:
Обожаю разговоры ламеров...

Сказал ламер экстраверт с огромным ЧСВ

ПОЗВОЛЬТЕ ВСЕМ ПОЯСНИТЬ.

Замечательная штука, конечно, всякие Таилс и Труекрипт (у меня есть, правда не пользуюсь - прятать особо нечего).

Однако, вышеуказанные программы не особо помогают от просмотра папок "ЗАКЛАДКИ". Там может быть весьма интересная информация, для иных лиц. До пустим по подозрению в какой то хрени (мелочевка, сову на глобус натянуть пытаются, а вы фактически не виновны)) возбудили УД. Компы домашние изъяли, а у вас в закладках, к примеру:

- сайты оппозиционеров и прочих кавказ-центров (хренли такого, от любопытства всякое читаешь);
- сайты, где учат делать яды, или ВВ, оружие и т.п. фигня (какому ганзовцу не интересно что-то из этого списка?);
- сайты с литературой по выживанию, ухода от слежки, освобождению от наручников, бампингу и подобной (довольно интересной тематики).

И вот, одна из групп закладок попадает на глаза дознавателю.. . Ага! Да он ЗЛОДЕЙ! И швейная машинка делопроизводства шьет с удвоенной скоростью.

А так, нет доступа в мой комп. СОВСЕМ НЕТ! И терморектальный криптоанализ тут не катит, ибо знают, что по факту вы не виновны, просто так получилось, а палку срубить надо, дело зарывать не кошерно. Если по факту виновен, тут и Труекрипт не поможет.

В общем поняли мысль? - избежать (ттт) произвола.

Как понял, пароли в Винде и Линуксах - хрень.

Остается уповать на железячный пароль на HDD ноутбука

По-моему топик-стартер просто троллит пациентов палаты. "К линуксу у него доверия нет, поэтому он использует OpenSuse"

Та ни.. . Даст Виндовс 45!

Серьезно, нет доверия в плане защиты от посторонних глаз.

Serrrgey:

Остается уповать на железячный пароль на HDD ноутбука

Нет. Единственное, на что можно уповать - это на стойкую криптографию.

Что касается папки с закладками браузера - в вашей домашней директории есть папка .mozilla или что-то похожее. Увидеть ее можно при помощи ls -a. В этой папке хранится конфигурация браузера и прочие относящиеся к нему вещи.
Давайте рассмотрим такой сценарий: после загрузки конфигурация в папке .mozilla указывает на сайты типа http://lukoshko.net , https://www.smeshariki.ru и прочую детскую порнографию. Затем вы из консоли, при помощи команды mount и какой-то матери монтируете в этот каталог файловую систему, скорее всего созданную в файле и закриптованую, содержащую совсем другие настройки и закладки. В результате файлы, находящиеся в каталоге, никуда не исчезают, но становятся временно недоступными до размонтирования. В случае изъятия жесткого диска в каталоге будут следы посещения смешариков и т.п.

Нет. Единственное, на что можно уповать - это на стойкую криптографию.

Не знаю, как другие ноуты (не интересовался другими серьезными брендами), а у IBM ThinkPad коронная фишка - зверский пароль в БИОС на жесткий диск (даже если изъять и воткнуть в другой комп - не войти). Т.к. нынче Леново, не знаю, сохранили ли они эту фичу. По этому и заинтересовался паролями ОС ОС.

Что касается папки с закладками браузера

Вот и хочется, чтобы не было доступа ВООБЩЕ к компу и закладкам.

почти аноним:

чтобы что-то показать, про это надо спросить.
а чтобы про сто-то спросить, про это надо знать.

если у вас на компе ничего кроме гигов порнухи нет, что с вас спрашивать?
паяльник и прочее - если крепко уверен, что есть, но прячет, иначе не по-пацански это, беспредел сплошной.

так можно же всех подозрительно сытых отлавливать и проводя термоэпиляцию паяльной лампой распрашивать про биткоины и клиентбанки с яндексденьгами. и неважно есть у вас там чтото кроме порнухи или нет, выяснится что нет иль сотрете сознательно - сразу в овраг, администрить тама червяков. а если чото покажете то есть шансы оставшимися семью пальцами еще пожить. немножко хотяб.

Serrrgey:

Вот и хочется, чтобы не было доступа ВООБЩЕ к компу и закладкам.

чего мешает через реестр отредактировать пути хранения закладок и временных файлов на виртуальный диск или вообще флешку шифрованную? с ключем в виде файла а не цифирок и буковок. расшифровывать можно до следующих динозавров.

Originally posted by Serrrgey:

Труекрипт (у меня есть, правда не пользуюсь

Originally posted by Serrrgey:

По этому и заинтересовался паролями ОС ОС.

трукрипт же позволяет ОСь зашифровать, да и браузер какой нить портабельный можно из контейнера запускать, там и закладки будут

да и браузер какой нить портабельный можно из контейнера запускать, там и закладки будут

Интересная мысль! Надо будет подумать. Только вот поддержит ли это линукс, уж больно через одно место все в нем сделано %)

Проект Truecrypt загнулся при загадочных обстоятельствах. На смену ему пришел Veracrypt. Я бы сейчас Truecrypt использовать не стал. Хоть аудит и не нашел критических косяков это не значит, что их нет.

Originally posted by Serrrgey:

Вот и хочется, чтобы не было доступа ВООБЩЕ к компу и закладкам.

Ну ежели модель угроз это проверка компа полуграмотными пентами - то таки криптографически закрытый HDD это Ваш выбор.
При этом ИМХО доверия к криптографии куда больше, чем к системным настройкам любого типового ноута - у последних 99.99% что есть мастерключ и, соответственно, при интересе органов этот ключ найдут и используют.

В опенсорцовых криптозащитах ВРОДЕ БЫ мастерключей нет. Но тут надо конкретный продукт смотреть и выбирать, по конкретике не подскажу, ибо не слежу постоянно...

------
Жизнь хороша, если есть ППШ!

LazyOne:
Проект Truecrypt загнулся при загадочных обстоятельствах. На смену ему пришел Veracrypt. Я бы сейчас Truecrypt использовать не стал. Хоть аудит и не нашел критических косяков это не значит, что их нет.

ВЕЕРНО !!!

В линухе шифрование диска реализованно изначально через такую опу что можно эту опу подменить и достать все файло
Есть даже статья на эту тему, на практике не проверял.

В винде есть то же шифрование файлов, и есть даже какие то фишки что можно шифровать как то по хитрому а не по дефолту как есть с виндовыми ключами.
И с вот этими измененными сертификатами для шифрования уже повышается криптостойкость
На практике сам лично ни чего такого не делал, интересовался когда то давным давно просто.

P.S. Давно уже усвоил что на компе вообще ни чего нельзя хранить что может повлиять на спокойствие
Винт / флешку подключил, поработал, отключил и убрал подальше.
Перепотрашить квартиру что бы найти флешку это надо очень постараться.

Информацию небольшого обьема можно всегда запихать в фильм...

Originally posted by Arkan137:

Винт / флешку подключил, поработал, отключил и убрал подальше.
Перепотрашить квартиру что бы найти флешку это надо очень постараться.

Если этот процесс проводится не 1 раз в 10 лет, а ежедневно, то к потайному месту в квартире будет тропка протоптана
Проще говоря, найти будет нетрудно...

------
Жизнь хороша, если есть ППШ!

тогда уж недорогой сетевой накопитель в подвале.
монтировать в папку смешариков, как подсказали выше.

При этом ИМХО доверия к криптографии куда больше, чем к системным настройкам любого типового ноута - у последних 99.99% что есть мастерключ и, соответственно, при интересе органов этот ключ найдут и используют.

статья где-то была, что во всех платах производства китая встроен виртуальный гипервизор. и ваша система всегда работает как виртуальная машина, доступ к которой имеют китайцы.

почти аноним:
тогда уж недорогой сетевой накопитель в подвале.
монтировать в папку смешариков, как подсказали выше.

статья где-то была, что во всех платах производства китая встроен виртуальный гипервизор. и ваша система всегда работает как виртуальная машина, доступ к которой имеют китайцы.

это как? не передавая и не принимая никаких пакетов из Китая? пакеты то невидимыми не бывают, на фаирволе все видны. на сторонем внешнем фаирволе тоесть. давно бы скандал был..

почти аноним:

статья где-то была, что во всех платах производства китая встроен виртуальный гипервизор. и ваша система всегда работает как виртуальная машина, доступ к которой имеют китайцы.

Ну вообще то IPMI присутствует только в серверных платах а они не из дешманских.
К тому же это отключается в бивисе
К тому же сервера за натами расположены

А нефиг вместе с драйверами всякую херь устанавливать

==

А вообще если честно то браузеры сами троянят по хлеще всего остального
Firefox и Chrome особенно
Opera постукивает но не так в наглую
Yandex браузер вообще ФеСеБешная стучалка

Так что тут обложили по всем фронтам...

P.S.
Один комп для работы, другой для интернета...

А вообще если честно то браузеры сами троянят по хлеще всего остального
Firefox и Chrome особенно
Opera постукивает но не так в наглую
Yandex браузер вообще ФеСеБешная стучалка

Так что тут обложили по всем фронтам...

Мозилла-да, тупит падла! Причем тупила и когда инет был помедленней, и компы. Теперь и то и то побыстрее, а все равно тупит.

На что переходить? Привык к мозилле и тысячи закладок в ней. Хрен за неделю перенесешь в новый.

Заякорюсь, люблю срачи по информационной безопасности ведущиеся не профессионалами.

Остается уповать на железячный пароль на HDD ноутбука

У интересующихся обязательно найдется донор на который переставят блины с вашего hdd.
Криптовать нужно все целиком но это сразу злобное палево.
А насчет удаления инфы - думаю все в курсе насколько легко и быстро удаленное с hdd можно вернуть назад
Юзайте шредеры или низкоуровневый формат для поддержания чистоты и личной гигиены.
SSD в этом плане будет получше, причем намного, но расслабляться не стоит.
Аналогично и с флешками - настоятельно советую создавать криптоконтейнеры и маскировать их под окружающий хлам.
Как по мне - лучше, безопасней и удобней работать внутри закриптованного контейнера с обязательной чисткой временных директорий и буфера, а еще лучше делать то же самое но внутри закриптованной виртуалки - наружу ничего не вылезет.
Всякие полумеры вроде ловли блох в кеше браузера и гаданием на временных файлах - это наивно.
Любопытства ради попробуйте заюзать на постоянку тот же шредер и удалять файло допустим в 7 проходов, по предлагаемому алгоритму, это ад и треш, особенно если удаляемого хлама много и(или) он состоит из файлов большого размера))

А по поводу ламерства - именно так все и должно выглядеть со стороны, даже пароли желательны с орфографическими ошибками - последствия егэ))

По поводу Truecrypt, цитата:
"тот факт, что сейчас в интернете удалена даже копия сайта с 'машины времени' web.archive.org удаляют зеркала, с которых еще вчера можно было скачать эту программу.
То вывод похоже однозначный.
Эта софтина оказалась для кого-то оказалась 'слишком хорошей', что и показал аудит.
Разработчики ответили кому-то на e-mail, подтвердив потерю интереса, что битлокер хорош, и что целью была винда XP.
Что очевидно и бред и даже ложь.
Были планы по поддержке Win8 и написания модулей для UEFI.
После "потери интереса" не принимаются рыскать по всему интернету, вычищая все следы программы."

Добавлю к цитате - разработчики не просто так оставили намек про битлокер))
Кто понял откуда ветер дует, может взять с полки пирожок, это был не только интерес мелкомягих, как пытаются всё обставить..

Пользоваться Truecrypt можно - но не выше версии 7.1а(рекомендуемая), обязательно проверяйте контрольные суммы.
Кому надо ссылка: github.com
Еще раз напомню - не стоит криптовать весь железный диск, это палевно (поциент на этом этапе надежно фиксируется, паяльник втыкается в розетку, персоналу ставится задача и все лишние покидают комнату),
еще сразу лишаетесь возможности что либо исправить с загрузочно-ремонтных дисков, даже элементарно вытащить критично-важное файло если ось сдохнет, никакие доноры hdd тоже не помогут.
Такой вариант может прокатить допустим для hdd или ноута с важной инфой, если есть вероятность его потери, при условии что его владелец важная и при этом откровенно тупая мажорно-кабинетно-патологически-распи.. ская особь,
которой в обычных условиях никто бы не доверил важную миссию по транспортировке закрытой инфы))

И вообще, допустим у вас перед лицом водят хорошо разогретым паяльником, вы чувствуете тепло исходящее от жала, сотрудник убедительно рассказывают какие будут медицинские последствия после его ввода в тело.
Под давлением таких аргументом вы убедительно ходите под себя, пачкаете реквизит и в ужасе "раскалываетесь" - сдаете служивым пароль и ключевой файл от контейнера с домашней порнухой.
То что средствами софта можно создать контейнер-обманку внутри настоящего хранилища - сей факт математически недоказуемый и об этом можно нечаянно забыть, стресс понимаете ли, да и возраст уже как бы не тот, память не очень..

Это штатный вариант предусмотренный разработчиками Truecrypt.
Ничего не запрещает использовать творческий подход и др. методы, у всех свои нажористые параноидальные тараканы, чем их будет больше тем лучше.

Medved075:

это как? не передавая и не принимая никаких пакетов из Китая? пакеты то невидимыми не бывают, на фаирволе все видны. на сторонем внешнем фаирволе тоесть. давно бы скандал был..

Ну видны они и чего? Есть несколько китайских подсеток, которые постоянно тычются по всем доступным IP адресам. Где обещанный скандал?

Tor191:

У интересующихся обязательно найдется донор на который переставят блины с вашего hdd.
Криптовать нужно все целиком но это сразу злобное палево.

Крипотовать все целиком это не палево, а стандартная политика крупных корпораций. Вот не криптовать это действительно палево. Сотрудники иногда теряют ноуты.
Кроме того у правильных производителей HDD при использовании шифрования силами HDD инфа на блинах тоже шифруется. Смена контроллера не поможет.

это как? не передавая и не принимая никаких пакетов из Китая? пакеты то невидимыми не бывают, на фаирволе все видны. на сторонем внешнем фаирволе тоесть.

а чего пакеты? вот ваш хост лезет на кучу хостов по 80 порту, пока вы порно смотрите. какой из из них мониторит вас? это надо на уровне пакетов смотреть

давно бы скандал был..

кому надо - знают и учитывают. лечится перепрошивкой на чистый интеловский биос.

Ну вообще то IPMI присутствует только в серверных платах а они не из дешманских.
К тому же это отключается в бивисе

нет, это не ipmi и прочие ilo.