La pega que té aquest mètode de xifrar només un directori de dades és que els temporals queden fora. És a dir, si en obrir un document l'aplicació en crea una còpia temporal a /tmp o /var/cache o qualsevol altre lloc imprevist. Aquest comportament també el tenen les aplicacions de Mozilla en obrir fitxers.
__________ I'm using this express-made address because personal addresses aren't masked enough at this list's archives. Mailing lists service administrator should fix this. El 19/06/17 a les 21:46, Lluís Gili ha escrit: > jo el que he fet és xifrar (amb luks, cryptsetup) un sol directori i posar-hi > tot el sensible allà, enllaçant-ho des d'on toqui, posant la mateixa > contrasenya al xifrat i a l'usuari pots fer que es munti automàticament quan > inicies sessió a l'entorn gràfic (amb libpam-mount) > així tens el que vols xifrat sense necessitat de posar una contrasenya extra > ni penalitzar el rendiment > > > El dilluns, 19 de juny de 2017, a les 10:32:18 CEST, Sergi Blanch-Torné va > escriure: >> Hola, >> >> Els xifrats en disc depenen de què vulguis protegir (el threat model). >> >> Com be comenta el Narcís, xifrar el disc dur deixa la partició boot >> sense xifrar. Es necessària per poder carregar el kernel i que aquest et >> demani la frase de pas per poder accedir al volum xifrat. Cas que sigui >> sense frase de pas perquè el boot està en un stick, un ha de guardar-los >> separats quan l'ordinador estar apagat. >> >> Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador >> parar. Únicament. Estaries protegint la modificació dels binaris. Però >> compte amb l'exposició del kernel. >> >> En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb >> l'ordinador engegat i per tant amb la partició xifrada montada. >> >> De forma no excloent, però que té implicacions de performance, és >> utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries >> protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de >> tenir present que root, tot i que no pot montar el teu home, si que hi >> pot accedir si l'usuari ha fet login. >> >> Després hi ha una tercera via, útil per exemple per discs durs externs, >> que serien eines com encfs, en les que hom monta una estructura de >> directoris sota demanda. Té els seus pros i contres també. >> >> /Sergi. >> >> Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per >> aprendre... >> >> On 19/06/17 09:31, Narcis Garcia wrote: >>> La manera en què jo ho he vist fer és deixar connectada la memòria USB >>> durant la instal·lació, i allotjar-hi allà la partició de /boot sense >>> encriptar. >>> D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal >>> la memòria USB per arrencar-ne, que és la que demana contrasenya per >>> seguir l'inici del sistema. Això si, convé que la memòria USB romangui >>> connectada per a que sigui coherent amb les actualitzacions de nucli i >>> gestor d'arrencada. >>> >>> De tota manera, aquesta externalització de l'arrencada és una mesura més >>> aviat orientada a evitar una vulnerabilitat molt i molt específica: >>> Que algú volgués manipular l'arrencada de l'ordinador per després deixar >>> que tu el tornis a fer servir i que es desi la contrasenya que escrius, >>> i així en un «següent robatori» recuperar aquesta dada. >>> Si no necessites protegir-te d'aquest cas concret, pots prescindir de >>> memòria USB i col·locar el /boot al mateix disc dur. >>> >>> >>> __________ >>> I'm using this express-made address because personal addresses aren't >>> masked enough at this list's archives. Mailing lists service >>> administrator should fix this. >>> >>> El 19/06/17 a les 01:37, Pedro ha escrit: >>>> Josep, >>>> >>>> tens alguna guia que recomanis o sabries explicar breument com fer lo >>>> de entrar xifrar disc i desbloquejar-lo amb el llapis USB? >>>> >>>> podríem considerar que el punt de partida més habitual és una debian >>>> instal·lada amb el xifrat de disc com suggereix l'instal·lador. >>>> >>>> Gràcies! >>>> >>>> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa <jllad...@gmail.com>: >>>>> 2017-06-18 19:47 GMT+02:00 Jordi Boixader <id...@bergueda.org>: >>>>>> Hola, >>>>>> >>>>>> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és >>>>>> recomanable >>>>>> encriptar les particions. Tant al Portàtil com al Sobretaula. >>>>>> >>>>>> - Només és per si em roben el Disc Dur que no hi puguin accedir? >>>>> >>>>> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar >>>>> contrasenya (o un llapis usb amb una clau) per iniciar sistema. >>>>> >>>>>> - O també si un Hacker m'entra des d'Internet al trobar-ho tot >>>>>> encriptat >>>>>> no podrà fer res? >>>>> >>>>> Quan inicies el sistema i entres la clau secreta per poder desencriptar >>>>> el >>>>> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja >>>>> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho >>>>> fa >>>>> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que >>>>> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema >>>>> operatiu/aplicacions tenien... >>>>> >>>>>> Perdoneu la meva ignorància... >>>>>> >>>>>> Salut >>>>> >>>>> -- >>>>> -- >>>>> Salutacions...Josep >>>>> -- >