Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Narcis Garcia]

__
I'm using this express-made address because personal addresses aren't
masked enough at this list's archives. Mailing lists service
administrator should fix this.
El 21/06/17 a les 15:26, Alex Muntada ha escrit:
> Narcis Garcia:
> 
>> No aporta gaire avantatge que sigui el GRUB o que sigui initram
>> el desbloquejador de l'encriptat, comparats amb si l'arrencada
>> és de disc dur o externa (USB).
> 
> No hi estic d'acord. Això evita que el contingut de /boot es pugui
> modificar sense que el sistema operatiu hagi arrencat. Si tens el
> /boot en un disc extern, sense xifrar, no tens cap garantia que
> no hagi estat modificat.
> 
> La diferència rau en què modificar un ramdisk i afegir un script
> que capturi la contrasenya és trivial i en canvi substituir el
> grub per un de diferent que faci el mateix no ho és gens. D'aquí
> que no estigui d'acord amb la teva afirmació.
> 
> Ara bé, si vols tenir el /boot en un disc extern i també xifrat,
> aleshores d'acord.
> 
>> Al cap i a la fi parlem de programari que ha de ser fora de
>> l'encriptat per tal que la BIOS o EFI l'executi.
> 
> En aquest cas, potser també et pot interessar signar digitalment
> el GRUB perquè l'EFI verifiqui la signatura en l'arrencada.
> 
> Salut,
> Alex
> 

Posats a distingir la dificultat entre manipular el /boot i el GRUB, (o
la confiança que es dispositi en EFI), hi ha una manera molt més segura:
L'arrencada externa en un CD-R. De ben segur que ningú no te la
modifica, i a partir de CD (que desbloquegi LUKS) saltes a l'inici
normal de l'ordinador.

És una llàstima que el mercat estigui arraconant la possibilitat de
gravar mitjans de només lectura.

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Alex Muntada]

Narcis Garcia:

> No aporta gaire avantatge que sigui el GRUB o que sigui initram
> el desbloquejador de l'encriptat, comparats amb si l'arrencada
> és de disc dur o externa (USB).

No hi estic d'acord. Això evita que el contingut de /boot es pugui
modificar sense que el sistema operatiu hagi arrencat. Si tens el
/boot en un disc extern, sense xifrar, no tens cap garantia que
no hagi estat modificat.

La diferència rau en què modificar un ramdisk i afegir un script
que capturi la contrasenya és trivial i en canvi substituir el
grub per un de diferent que faci el mateix no ho és gens. D'aquí
que no estigui d'acord amb la teva afirmació.

Ara bé, si vols tenir el /boot en un disc extern i també xifrat,
aleshores d'acord.

> Al cap i a la fi parlem de programari que ha de ser fora de
> l'encriptat per tal que la BIOS o EFI l'executi.

En aquest cas, potser també et pot interessar signar digitalment
el GRUB perquè l'EFI verifiqui la signatura en l'arrencada.

Salut,
Alex

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Narcis Garcia]

No aporta gaire avantatge que sigui el GRUB o que sigui initram el
desbloquejador de l'encriptat, comparats amb si l'arrencada és de disc
dur o externa (USB).
Al cap i a la fi parlem de programari que ha de ser fora de l'encriptat
per tal que la BIOS o EFI l'executi.



__
I'm using this express-made address because personal addresses aren't
masked enough at this list's archives. Mailing lists service
administrator should fix this.
El 20/06/17 a les 16:03, Alex Muntada ha escrit:
> Pedro:
> 
>> alguna guia que recomanis o sabries explicar breument com fer
>> lo de entrar xifrar disc i desbloquejar-lo amb el llapis USB?
> 
> En teoria és fàcil utilitzant l'ordre «cryptsetup luksAddKey».
> 
> Fa poc em vaig assabentar que el GRUB té suport per luks i que
> és possible configurar el xifrat del disc sencer sense tenir
> el /boot fora, però no he pogut provar-ho encara:
> 
> http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/
> http://www.pavelkogan.com/2015/01/25/linux-mint-encryption/
> 
> Salut!
> Alex
> 

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Alex Muntada]

Pedro:

> alguna guia que recomanis o sabries explicar breument com fer
> lo de entrar xifrar disc i desbloquejar-lo amb el llapis USB?

En teoria és fàcil utilitzant l'ordre «cryptsetup luksAddKey».

Fa poc em vaig assabentar que el GRUB té suport per luks i que
és possible configurar el xifrat del disc sencer sense tenir
el /boot fora, però no he pogut provar-ho encara:

http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/
http://www.pavelkogan.com/2015/01/25/linux-mint-encryption/

Salut!
Alex

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Narcis Garcia]

La pega que té aquest mètode de xifrar només un directori de dades és
que els temporals queden fora. És a dir, si en obrir un document
l'aplicació en crea una còpia temporal a /tmp o /var/cache o qualsevol
altre lloc imprevist. Aquest comportament també el tenen les aplicacions
de Mozilla en obrir fitxers.


__
I'm using this express-made address because personal addresses aren't
masked enough at this list's archives. Mailing lists service
administrator should fix this.
El 19/06/17 a les 21:46, Lluís Gili ha escrit:
> jo el que he fet és xifrar (amb luks, cryptsetup) un sol directori i posar-hi 
> tot el sensible allà, enllaçant-ho des d'on toqui, posant la mateixa 
> contrasenya al xifrat i a l'usuari pots fer que es munti automàticament quan 
> inicies sessió a l'entorn gràfic (amb libpam-mount)
> així tens el que vols xifrat sense necessitat de posar una contrasenya extra 
> ni penalitzar el rendiment
> 
> 
> El dilluns, 19 de juny de 2017, a les 10:32:18 CEST, Sergi Blanch-Torné va 
> escriure:
>> Hola,
>>
>> Els xifrats en disc depenen de què vulguis protegir (el threat model).
>>
>> Com be comenta el Narcís, xifrar el disc dur deixa la partició boot
>> sense xifrar. Es necessària per poder carregar el kernel i que aquest et
>> demani la frase de pas per poder accedir al volum xifrat. Cas que sigui
>> sense frase de pas perquè el boot està en un stick, un ha de guardar-los
>> separats quan l'ordinador estar apagat.
>>
>> Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador
>> parar. Únicament. Estaries protegint la modificació dels binaris. Però
>> compte amb l'exposició del kernel.
>>
>> En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb
>> l'ordinador engegat i per tant amb la partició xifrada montada.
>>
>> De forma no excloent, però que té implicacions de performance, és
>> utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries
>> protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de
>> tenir present que root, tot i que no pot montar el teu home, si que hi
>> pot accedir si l'usuari ha fet login.
>>
>> Després hi ha una tercera via, útil per exemple per discs durs externs,
>> que serien eines com encfs, en les que hom monta una estructura de
>> directoris sota demanda. Té els seus pros i contres també.
>>
>> /Sergi.
>>
>> Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per
>> aprendre...
>>
>> On 19/06/17 09:31, Narcis Garcia wrote:
>>> La manera en què jo ho he vist fer és deixar connectada la memòria USB
>>> durant la instal·lació, i allotjar-hi allà la partició de /boot sense
>>> encriptar.
>>> D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal
>>> la memòria USB per arrencar-ne, que és la que demana contrasenya per
>>> seguir l'inici del sistema. Això si, convé que la memòria USB romangui
>>> connectada per a que sigui coherent amb les actualitzacions de nucli i
>>> gestor d'arrencada.
>>>
>>> De tota manera, aquesta externalització de l'arrencada és una mesura més
>>> aviat orientada a evitar una vulnerabilitat molt i molt específica:
>>> Que algú volgués manipular l'arrencada de l'ordinador per després deixar
>>> que tu el tornis a fer servir i que es desi la contrasenya que escrius,
>>> i així en un «següent robatori» recuperar aquesta dada.
>>> Si no necessites protegir-te d'aquest cas concret, pots prescindir de
>>> memòria USB i col·locar el /boot al mateix disc dur.
>>>
>>>
>>> __
>>> I'm using this express-made address because personal addresses aren't
>>> masked enough at this list's archives. Mailing lists service
>>> administrator should fix this.
>>>
>>> El 19/06/17 a les 01:37, Pedro ha escrit:
 Josep,

 tens alguna guia que recomanis o sabries explicar breument com fer lo
 de entrar xifrar disc i desbloquejar-lo amb el llapis USB?

 podríem considerar que el punt de partida més habitual és una debian
 instal·lada amb el xifrat de disc com suggereix l'instal·lador.

 Gràcies!

 2017-06-18 21:11 GMT+02:00 Josep Lladonosa :
> 2017-06-18 19:47 GMT+02:00 Jordi Boixader :
>> Hola,
>>
>> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és
>> recomanable
>> encriptar les particions. Tant al Portàtil com al Sobretaula.
>>
>> - Només és per si em roben el Disc Dur que no hi puguin accedir?
>
> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar
> contrasenya (o un llapis usb amb una clau) per iniciar sistema.
>
>> - O també si un Hacker m'entra des d'Internet al trobar-ho tot
>> encriptat
>> no podrà fer res?
>
> Quan inicies el sistema i entres la clau secreta per poder desencriptar
> el
> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho
> fa
> gràcies a alguna vulnerabilitat bé 

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Lluís Gili]

jo el que he fet és xifrar (amb luks, cryptsetup) un sol directori i posar-hi 
tot el sensible allà, enllaçant-ho des d'on toqui, posant la mateixa 
contrasenya al xifrat i a l'usuari pots fer que es munti automàticament quan 
inicies sessió a l'entorn gràfic (amb libpam-mount)
així tens el que vols xifrat sense necessitat de posar una contrasenya extra 
ni penalitzar el rendiment


El dilluns, 19 de juny de 2017, a les 10:32:18 CEST, Sergi Blanch-Torné va 
escriure:
> Hola,
> 
> Els xifrats en disc depenen de què vulguis protegir (el threat model).
> 
> Com be comenta el Narcís, xifrar el disc dur deixa la partició boot
> sense xifrar. Es necessària per poder carregar el kernel i que aquest et
> demani la frase de pas per poder accedir al volum xifrat. Cas que sigui
> sense frase de pas perquè el boot està en un stick, un ha de guardar-los
> separats quan l'ordinador estar apagat.
> 
> Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador
> parar. Únicament. Estaries protegint la modificació dels binaris. Però
> compte amb l'exposició del kernel.
> 
> En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb
> l'ordinador engegat i per tant amb la partició xifrada montada.
> 
> De forma no excloent, però que té implicacions de performance, és
> utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries
> protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de
> tenir present que root, tot i que no pot montar el teu home, si que hi
> pot accedir si l'usuari ha fet login.
> 
> Després hi ha una tercera via, útil per exemple per discs durs externs,
> que serien eines com encfs, en les que hom monta una estructura de
> directoris sota demanda. Té els seus pros i contres també.
> 
> /Sergi.
> 
> Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per
> aprendre...
> 
> On 19/06/17 09:31, Narcis Garcia wrote:
> > La manera en què jo ho he vist fer és deixar connectada la memòria USB
> > durant la instal·lació, i allotjar-hi allà la partició de /boot sense
> > encriptar.
> > D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal
> > la memòria USB per arrencar-ne, que és la que demana contrasenya per
> > seguir l'inici del sistema. Això si, convé que la memòria USB romangui
> > connectada per a que sigui coherent amb les actualitzacions de nucli i
> > gestor d'arrencada.
> > 
> > De tota manera, aquesta externalització de l'arrencada és una mesura més
> > aviat orientada a evitar una vulnerabilitat molt i molt específica:
> > Que algú volgués manipular l'arrencada de l'ordinador per després deixar
> > que tu el tornis a fer servir i que es desi la contrasenya que escrius,
> > i així en un «següent robatori» recuperar aquesta dada.
> > Si no necessites protegir-te d'aquest cas concret, pots prescindir de
> > memòria USB i col·locar el /boot al mateix disc dur.
> > 
> > 
> > __
> > I'm using this express-made address because personal addresses aren't
> > masked enough at this list's archives. Mailing lists service
> > administrator should fix this.
> > 
> > El 19/06/17 a les 01:37, Pedro ha escrit:
> >> Josep,
> >> 
> >> tens alguna guia que recomanis o sabries explicar breument com fer lo
> >> de entrar xifrar disc i desbloquejar-lo amb el llapis USB?
> >> 
> >> podríem considerar que el punt de partida més habitual és una debian
> >> instal·lada amb el xifrat de disc com suggereix l'instal·lador.
> >> 
> >> Gràcies!
> >> 
> >> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa :
> >>> 2017-06-18 19:47 GMT+02:00 Jordi Boixader :
>  Hola,
>  
>  Vull reinstal·lar la Debian 9 des de cero i em pregunto si és
>  recomanable
>  encriptar les particions. Tant al Portàtil com al Sobretaula.
>  
>  - Només és per si em roben el Disc Dur que no hi puguin accedir?
> >>> 
> >>> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar
> >>> contrasenya (o un llapis usb amb una clau) per iniciar sistema.
> >>> 
>  - O també si un Hacker m'entra des d'Internet al trobar-ho tot
>  encriptat
>  no podrà fer res?
> >>> 
> >>> Quan inicies el sistema i entres la clau secreta per poder desencriptar
> >>> el
> >>> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
> >>> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho
> >>> fa
> >>> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que
> >>> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema
> >>> operatiu/aplicacions tenien...
> >>> 
>  Perdoneu la meva ignorància...
>  
>  Salut
> >>> 
> >>> --
> >>> --
> >>> Salutacions...Josep
> >>> --

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Narcis Garcia]

Vull fer notar que, amb això de l'arrencada externa, en Sergi t'està
diferenciant entre: que la contrassenya es demani per al teclat, o que
la contrassenya estigui emmagatzemada a l'arrencada externa, ambdós
casos compatibles amb iniciar d'una memòria USB.

Tot això es perquè el (preguntador &) desbloquejador del disc dur ha de
ser programari sense encriptar encara.



__
I'm using this express-made address because personal addresses aren't
masked enough at this list's archives. Mailing lists service
administrator should fix this.
El 19/06/17 a les 10:32, Sergi Blanch-Torné ha escrit:
> Hola,
> 
> Els xifrats en disc depenen de què vulguis protegir (el threat model).
> 
> Com be comenta el Narcís, xifrar el disc dur deixa la partició boot
> sense xifrar. Es necessària per poder carregar el kernel i que aquest et
> demani la frase de pas per poder accedir al volum xifrat. Cas que sigui
> sense frase de pas perquè el boot està en un stick, un ha de guardar-los
> separats quan l'ordinador estar apagat.
> 
> Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador
> parar. Únicament. Estaries protegint la modificació dels binaris. Però
> compte amb l'exposició del kernel.
> 
> En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb
> l'ordinador engegat i per tant amb la partició xifrada montada.
> 
> De forma no excloent, però que té implicacions de performance, és
> utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries
> protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de
> tenir present que root, tot i que no pot montar el teu home, si que hi
> pot accedir si l'usuari ha fet login.
> 
> Després hi ha una tercera via, útil per exemple per discs durs externs,
> que serien eines com encfs, en les que hom monta una estructura de
> directoris sota demanda. Té els seus pros i contres també.
> 
> /Sergi.
> 
> Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per
> aprendre...
> 
> On 19/06/17 09:31, Narcis Garcia wrote:
>> La manera en què jo ho he vist fer és deixar connectada la memòria USB
>> durant la instal·lació, i allotjar-hi allà la partició de /boot sense
>> encriptar.
>> D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal
>> la memòria USB per arrencar-ne, que és la que demana contrasenya per
>> seguir l'inici del sistema. Això si, convé que la memòria USB romangui
>> connectada per a que sigui coherent amb les actualitzacions de nucli i
>> gestor d'arrencada.
>>
>> De tota manera, aquesta externalització de l'arrencada és una mesura més
>> aviat orientada a evitar una vulnerabilitat molt i molt específica:
>> Que algú volgués manipular l'arrencada de l'ordinador per després deixar
>> que tu el tornis a fer servir i que es desi la contrasenya que escrius,
>> i així en un «següent robatori» recuperar aquesta dada.
>> Si no necessites protegir-te d'aquest cas concret, pots prescindir de
>> memòria USB i col·locar el /boot al mateix disc dur.
>>
>>
>> __
>> I'm using this express-made address because personal addresses aren't
>> masked enough at this list's archives. Mailing lists service
>> administrator should fix this.
>> El 19/06/17 a les 01:37, Pedro ha escrit:
>>> Josep,
>>>
>>> tens alguna guia que recomanis o sabries explicar breument com fer lo
>>> de entrar xifrar disc i desbloquejar-lo amb el llapis USB?
>>>
>>> podríem considerar que el punt de partida més habitual és una debian
>>> instal·lada amb el xifrat de disc com suggereix l'instal·lador.
>>>
>>> Gràcies!
>>>
>>> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa :


 2017-06-18 19:47 GMT+02:00 Jordi Boixader :
>
> Hola,
>
> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable
> encriptar les particions. Tant al Portàtil com al Sobretaula.
>
> - Només és per si em roben el Disc Dur que no hi puguin accedir?


 Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya 
 (o
 un llapis usb amb una clau) per iniciar sistema.


>
> - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat
> no podrà fer res?


 Quan inicies el sistema i entres la clau secreta per poder desencriptar el
 sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
 accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa
 gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que
 l'intrús mantindria l'accés a tot el sistema de fitxers que sistema
 operatiu/aplicacions tenien...

>
>
> Perdoneu la meva ignorància...
>
> Salut




 --
 --
 Salutacions...Josep
 --
>>>
>>
> 

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Sergi Blanch-Torné]

Hola,

Els xifrats en disc depenen de què vulguis protegir (el threat model).

Com be comenta el Narcís, xifrar el disc dur deixa la partició boot
sense xifrar. Es necessària per poder carregar el kernel i que aquest et
demani la frase de pas per poder accedir al volum xifrat. Cas que sigui
sense frase de pas perquè el boot està en un stick, un ha de guardar-los
separats quan l'ordinador estar apagat.

Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador
parar. Únicament. Estaries protegint la modificació dels binaris. Però
compte amb l'exposició del kernel.

En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb
l'ordinador engegat i per tant amb la partició xifrada montada.

De forma no excloent, però que té implicacions de performance, és
utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries
protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de
tenir present que root, tot i que no pot montar el teu home, si que hi
pot accedir si l'usuari ha fet login.

Després hi ha una tercera via, útil per exemple per discs durs externs,
que serien eines com encfs, en les que hom monta una estructura de
directoris sota demanda. Té els seus pros i contres també.

/Sergi.

Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per
aprendre...

On 19/06/17 09:31, Narcis Garcia wrote:
> La manera en què jo ho he vist fer és deixar connectada la memòria USB
> durant la instal·lació, i allotjar-hi allà la partició de /boot sense
> encriptar.
> D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal
> la memòria USB per arrencar-ne, que és la que demana contrasenya per
> seguir l'inici del sistema. Això si, convé que la memòria USB romangui
> connectada per a que sigui coherent amb les actualitzacions de nucli i
> gestor d'arrencada.
> 
> De tota manera, aquesta externalització de l'arrencada és una mesura més
> aviat orientada a evitar una vulnerabilitat molt i molt específica:
> Que algú volgués manipular l'arrencada de l'ordinador per després deixar
> que tu el tornis a fer servir i que es desi la contrasenya que escrius,
> i així en un «següent robatori» recuperar aquesta dada.
> Si no necessites protegir-te d'aquest cas concret, pots prescindir de
> memòria USB i col·locar el /boot al mateix disc dur.
> 
> 
> __
> I'm using this express-made address because personal addresses aren't
> masked enough at this list's archives. Mailing lists service
> administrator should fix this.
> El 19/06/17 a les 01:37, Pedro ha escrit:
>> Josep,
>>
>> tens alguna guia que recomanis o sabries explicar breument com fer lo
>> de entrar xifrar disc i desbloquejar-lo amb el llapis USB?
>>
>> podríem considerar que el punt de partida més habitual és una debian
>> instal·lada amb el xifrat de disc com suggereix l'instal·lador.
>>
>> Gràcies!
>>
>> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa :
>>>
>>>
>>> 2017-06-18 19:47 GMT+02:00 Jordi Boixader :

 Hola,

 Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable
 encriptar les particions. Tant al Portàtil com al Sobretaula.

 - Només és per si em roben el Disc Dur que no hi puguin accedir?
>>>
>>>
>>> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya (o
>>> un llapis usb amb una clau) per iniciar sistema.
>>>
>>>

 - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat
 no podrà fer res?
>>>
>>>
>>> Quan inicies el sistema i entres la clau secreta per poder desencriptar el
>>> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
>>> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa
>>> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que
>>> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema
>>> operatiu/aplicacions tenien...
>>>


 Perdoneu la meva ignorància...

 Salut
>>>
>>>
>>>
>>>
>>> --
>>> --
>>> Salutacions...Josep
>>> --
>>
> 



signature.asc
Description: OpenPGP digital signature

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Narcis Garcia]

La manera en què jo ho he vist fer és deixar connectada la memòria USB
durant la instal·lació, i allotjar-hi allà la partició de /boot sense
encriptar.
D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal
la memòria USB per arrencar-ne, que és la que demana contrasenya per
seguir l'inici del sistema. Això si, convé que la memòria USB romangui
connectada per a que sigui coherent amb les actualitzacions de nucli i
gestor d'arrencada.

De tota manera, aquesta externalització de l'arrencada és una mesura més
aviat orientada a evitar una vulnerabilitat molt i molt específica:
Que algú volgués manipular l'arrencada de l'ordinador per després deixar
que tu el tornis a fer servir i que es desi la contrasenya que escrius,
i així en un «següent robatori» recuperar aquesta dada.
Si no necessites protegir-te d'aquest cas concret, pots prescindir de
memòria USB i col·locar el /boot al mateix disc dur.


__
I'm using this express-made address because personal addresses aren't
masked enough at this list's archives. Mailing lists service
administrator should fix this.
El 19/06/17 a les 01:37, Pedro ha escrit:
> Josep,
> 
> tens alguna guia que recomanis o sabries explicar breument com fer lo
> de entrar xifrar disc i desbloquejar-lo amb el llapis USB?
> 
> podríem considerar que el punt de partida més habitual és una debian
> instal·lada amb el xifrat de disc com suggereix l'instal·lador.
> 
> Gràcies!
> 
> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa :
>>
>>
>> 2017-06-18 19:47 GMT+02:00 Jordi Boixader :
>>>
>>> Hola,
>>>
>>> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable
>>> encriptar les particions. Tant al Portàtil com al Sobretaula.
>>>
>>> - Només és per si em roben el Disc Dur que no hi puguin accedir?
>>
>>
>> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya (o
>> un llapis usb amb una clau) per iniciar sistema.
>>
>>
>>>
>>> - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat
>>> no podrà fer res?
>>
>>
>> Quan inicies el sistema i entres la clau secreta per poder desencriptar el
>> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
>> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa
>> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que
>> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema
>> operatiu/aplicacions tenien...
>>
>>>
>>>
>>> Perdoneu la meva ignorància...
>>>
>>> Salut
>>
>>
>>
>>
>> --
>> --
>> Salutacions...Josep
>> --
> 

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Pedro]

Josep,

tens alguna guia que recomanis o sabries explicar breument com fer lo
de entrar xifrar disc i desbloquejar-lo amb el llapis USB?

podríem considerar que el punt de partida més habitual és una debian
instal·lada amb el xifrat de disc com suggereix l'instal·lador.

Gràcies!

2017-06-18 21:11 GMT+02:00 Josep Lladonosa :
>
>
> 2017-06-18 19:47 GMT+02:00 Jordi Boixader :
>>
>> Hola,
>>
>> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable
>> encriptar les particions. Tant al Portàtil com al Sobretaula.
>>
>> - Només és per si em roben el Disc Dur que no hi puguin accedir?
>
>
> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya (o
> un llapis usb amb una clau) per iniciar sistema.
>
>
>>
>> - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat
>> no podrà fer res?
>
>
> Quan inicies el sistema i entres la clau secreta per poder desencriptar el
> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa
> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que
> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema
> operatiu/aplicacions tenien...
>
>>
>>
>> Perdoneu la meva ignorància...
>>
>> Salut
>
>
>
>
> --
> --
> Salutacions...Josep
> --

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Josep Lladonosa]

2017-06-18 19:47 GMT+02:00 Jordi Boixader :

> Hola,
>
> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable
> encriptar les particions. Tant al Portàtil com al Sobretaula.
>
> - Només és per si em roben el Disc Dur que no hi puguin accedir?
>

Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya
(o un llapis usb amb una clau) per iniciar sistema.



> - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat
> no podrà fer res?
>

Quan inicies el sistema i entres la clau secreta per poder desencriptar el
sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa
gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que
l'intrús mantindria l'accés a tot el sistema de fitxers que sistema
operatiu/aplicacions tenien...


>
> Perdoneu la meva ignorància...
>
> Salut
>



-- 
--
Salutacions...Josep
--