Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?
La pega que té aquest mètode de xifrar només un directori de dades és que els temporals queden fora. És a dir, si en obrir un document l'aplicació en crea una còpia temporal a /tmp o /var/cache o qualsevol altre lloc imprevist. Aquest comportament també el tenen les aplicacions de Mozilla en obrir fitxers. __ I'm using this express-made address because personal addresses aren't masked enough at this list's archives. Mailing lists service administrator should fix this. El 19/06/17 a les 21:46, Lluís Gili ha escrit: > jo el que he fet és xifrar (amb luks, cryptsetup) un sol directori i posar-hi > tot el sensible allà, enllaçant-ho des d'on toqui, posant la mateixa > contrasenya al xifrat i a l'usuari pots fer que es munti automàticament quan > inicies sessió a l'entorn gràfic (amb libpam-mount) > així tens el que vols xifrat sense necessitat de posar una contrasenya extra > ni penalitzar el rendiment > > > El dilluns, 19 de juny de 2017, a les 10:32:18 CEST, Sergi Blanch-Torné va > escriure: >> Hola, >> >> Els xifrats en disc depenen de què vulguis protegir (el threat model). >> >> Com be comenta el Narcís, xifrar el disc dur deixa la partició boot >> sense xifrar. Es necessària per poder carregar el kernel i que aquest et >> demani la frase de pas per poder accedir al volum xifrat. Cas que sigui >> sense frase de pas perquè el boot està en un stick, un ha de guardar-los >> separats quan l'ordinador estar apagat. >> >> Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador >> parar. Únicament. Estaries protegint la modificació dels binaris. Però >> compte amb l'exposició del kernel. >> >> En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb >> l'ordinador engegat i per tant amb la partició xifrada montada. >> >> De forma no excloent, però que té implicacions de performance, és >> utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries >> protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de >> tenir present que root, tot i que no pot montar el teu home, si que hi >> pot accedir si l'usuari ha fet login. >> >> Després hi ha una tercera via, útil per exemple per discs durs externs, >> que serien eines com encfs, en les que hom monta una estructura de >> directoris sota demanda. Té els seus pros i contres també. >> >> /Sergi. >> >> Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per >> aprendre... >> >> On 19/06/17 09:31, Narcis Garcia wrote: >>> La manera en què jo ho he vist fer és deixar connectada la memòria USB >>> durant la instal·lació, i allotjar-hi allà la partició de /boot sense >>> encriptar. >>> D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal >>> la memòria USB per arrencar-ne, que és la que demana contrasenya per >>> seguir l'inici del sistema. Això si, convé que la memòria USB romangui >>> connectada per a que sigui coherent amb les actualitzacions de nucli i >>> gestor d'arrencada. >>> >>> De tota manera, aquesta externalització de l'arrencada és una mesura més >>> aviat orientada a evitar una vulnerabilitat molt i molt específica: >>> Que algú volgués manipular l'arrencada de l'ordinador per després deixar >>> que tu el tornis a fer servir i que es desi la contrasenya que escrius, >>> i així en un «següent robatori» recuperar aquesta dada. >>> Si no necessites protegir-te d'aquest cas concret, pots prescindir de >>> memòria USB i col·locar el /boot al mateix disc dur. >>> >>> >>> __ >>> I'm using this express-made address because personal addresses aren't >>> masked enough at this list's archives. Mailing lists service >>> administrator should fix this. >>> >>> El 19/06/17 a les 01:37, Pedro ha escrit: Josep, tens alguna guia que recomanis o sabries explicar breument com fer lo de entrar xifrar disc i desbloquejar-lo amb el llapis USB? podríem considerar que el punt de partida més habitual és una debian instal·lada amb el xifrat de disc com suggereix l'instal·lador. Gràcies! 2017-06-18 21:11 GMT+02:00 Josep Lladonosa : > 2017-06-18 19:47 GMT+02:00 Jordi Boixader : >> Hola, >> >> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és >> recomanable >> encriptar les particions. Tant al Portàtil com al Sobretaula. >> >> - Només és per si em roben el Disc Dur que no hi puguin accedir? > > Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar > contrasenya (o un llapis usb amb una clau) per iniciar sistema. > >> - O també si un Hacker m'entra des d'Internet al trobar-ho tot >> encriptat >> no podrà fer res? > > Quan inicies el sistema i entres la clau secreta per poder desencriptar > el > sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja > accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho > fa > gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que > l
Re: Debian 8.8 a debian 9 problemes amb nou nucli 4.9.0-3-amd64
M'esteu treient les ganes d'actualitzar... De fet, per prudència sempre penso que és millor esperar uns dies, un mes... perquè quan es llença la nova versió, els testadors deuen passar a ser moltíssims i potser és més fàcil que arreglin coses d'aquestes... Joan El Sun, 18 Jun 2017 19:12:41 +0200 Josep Lladonosa va escriure: > 2017-06-18 17:32 GMT+02:00 Jaume Barceló : > > > Després de l'actualització (*) el nucli 4.9.0-3-amd64 no em llista > > els usuaris. Em queda amb un fons de pantalla i no puc fer res. > > Reiniciant i triant el nucli antic 3.16.0-4-amd64 puc entrar. Tinc > > arrencada dual win10/debian EFI/grub > > > > A mi m'ha passat, en Ubuntu, però, que determinades versions de nuclis > tenen errades amb temes gràfics i aleshores no s'inicialitzen bé i, > bé no apareix entorn gràfic (sobretot entorns amb nvidia), bé els > gràfics es tornen lents apareixent errors de coredump al dmesg. > Efectivament passant a una altra compilació de nucli es resol el > tema... > > Salutacions, > Josep > > > > > > > > Algun suggeriment? > > > > Reportar el bug i esperar a una següent versió de nucli? :-/ > > > > > > (*) http://nerea.cat/gnu/debian9.txt > > > > -- > > Salut i força! > > > > > -- Joan Cervan i Andreu http://personal.calbasi.net "El meu paper no és transformar el món ni l'home sinó, potser, el de ser útil, des del meu lloc, als pocs valors sense els quals un món no val la pena viure'l" A. Camus i pels que teniu fe: "Déu no és la Veritat, la Veritat és Déu" Gandhi
Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?
jo el que he fet és xifrar (amb luks, cryptsetup) un sol directori i posar-hi tot el sensible allà, enllaçant-ho des d'on toqui, posant la mateixa contrasenya al xifrat i a l'usuari pots fer que es munti automàticament quan inicies sessió a l'entorn gràfic (amb libpam-mount) així tens el que vols xifrat sense necessitat de posar una contrasenya extra ni penalitzar el rendiment El dilluns, 19 de juny de 2017, a les 10:32:18 CEST, Sergi Blanch-Torné va escriure: > Hola, > > Els xifrats en disc depenen de què vulguis protegir (el threat model). > > Com be comenta el Narcís, xifrar el disc dur deixa la partició boot > sense xifrar. Es necessària per poder carregar el kernel i que aquest et > demani la frase de pas per poder accedir al volum xifrat. Cas que sigui > sense frase de pas perquè el boot està en un stick, un ha de guardar-los > separats quan l'ordinador estar apagat. > > Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador > parar. Únicament. Estaries protegint la modificació dels binaris. Però > compte amb l'exposició del kernel. > > En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb > l'ordinador engegat i per tant amb la partició xifrada montada. > > De forma no excloent, però que té implicacions de performance, és > utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries > protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de > tenir present que root, tot i que no pot montar el teu home, si que hi > pot accedir si l'usuari ha fet login. > > Després hi ha una tercera via, útil per exemple per discs durs externs, > que serien eines com encfs, en les que hom monta una estructura de > directoris sota demanda. Té els seus pros i contres també. > > /Sergi. > > Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per > aprendre... > > On 19/06/17 09:31, Narcis Garcia wrote: > > La manera en què jo ho he vist fer és deixar connectada la memòria USB > > durant la instal·lació, i allotjar-hi allà la partició de /boot sense > > encriptar. > > D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal > > la memòria USB per arrencar-ne, que és la que demana contrasenya per > > seguir l'inici del sistema. Això si, convé que la memòria USB romangui > > connectada per a que sigui coherent amb les actualitzacions de nucli i > > gestor d'arrencada. > > > > De tota manera, aquesta externalització de l'arrencada és una mesura més > > aviat orientada a evitar una vulnerabilitat molt i molt específica: > > Que algú volgués manipular l'arrencada de l'ordinador per després deixar > > que tu el tornis a fer servir i que es desi la contrasenya que escrius, > > i així en un «següent robatori» recuperar aquesta dada. > > Si no necessites protegir-te d'aquest cas concret, pots prescindir de > > memòria USB i col·locar el /boot al mateix disc dur. > > > > > > __ > > I'm using this express-made address because personal addresses aren't > > masked enough at this list's archives. Mailing lists service > > administrator should fix this. > > > > El 19/06/17 a les 01:37, Pedro ha escrit: > >> Josep, > >> > >> tens alguna guia que recomanis o sabries explicar breument com fer lo > >> de entrar xifrar disc i desbloquejar-lo amb el llapis USB? > >> > >> podríem considerar que el punt de partida més habitual és una debian > >> instal·lada amb el xifrat de disc com suggereix l'instal·lador. > >> > >> Gràcies! > >> > >> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa : > >>> 2017-06-18 19:47 GMT+02:00 Jordi Boixader : > Hola, > > Vull reinstal·lar la Debian 9 des de cero i em pregunto si és > recomanable > encriptar les particions. Tant al Portàtil com al Sobretaula. > > - Només és per si em roben el Disc Dur que no hi puguin accedir? > >>> > >>> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar > >>> contrasenya (o un llapis usb amb una clau) per iniciar sistema. > >>> > - O també si un Hacker m'entra des d'Internet al trobar-ho tot > encriptat > no podrà fer res? > >>> > >>> Quan inicies el sistema i entres la clau secreta per poder desencriptar > >>> el > >>> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja > >>> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho > >>> fa > >>> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que > >>> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema > >>> operatiu/aplicacions tenien... > >>> > Perdoneu la meva ignorància... > > Salut > >>> > >>> -- > >>> -- > >>> Salutacions...Josep > >>> --
(deb-cat) Fwd: Debian 9 'Stretch' released
He fet un esborrany de comunicat públic a partir de la versió anterior: http://wiki.gilug.org/index.php/Alliberament_de_Debian_9 Extraient novetats destacables: - Que millora la seguretat de la sessió gràfica. - Que millora la verificació del programari original, i es modernitza el programari de xifratge (GPG), especialment útil a les comunicacions. - Que millora la compatibilitat amb ordinadors antics (UEFI-32) - Que s'inclou la nova versió de molt programari conegut, com per exemple LibreOffice 5 o PHP 7. Missatge reenviat Assumpte: Debian 9 "Stretch" released Reenviat-Data: Sun, 18 Jun 2017 06:26:39 + (UTC) Reenviat-De: debian-annou...@lists.debian.org Data: Sat, 17 Jun 2017 20:22:36 -1000 De: Ana Guerrero Lopez A: debian-annou...@lists.debian.org The Debian Project https://www.debian.org/ Debian 9 "Stretch" released pr...@debian.org June 17th, 2017https://www.debian.org/News/2017/20170617 After 26 months of development the Debian project is proud to present its new stable version 9 (code name "Stretch"), which will be supported for the next 5 years thanks to the combined work of the Debian Security team [1] and of the Debian Long Term Support [2] team. 1: https://security-team.debian.org/ 2: https://wiki.debian.org/LTS Debian 9 is dedicated [3] to the project's founder Ian Murdock, who passed away on 28 December 2015. 3: http://ftp.debian.org/debian/doc/dedication/dedication-9.0.txt In "Stretch", the default MySQL variant is now MariaDB. The replacement of packages for MySQL 5.5 or 5.6 by the MariaDB 10.1 variant will happen automatically upon upgrade. Firefox and Thunderbird return to Debian with the release of "Stretch", and replace their debranded versions Iceweasel and Icedove, which were present in the archive for more than 10 years. Thanks to the Reproducible Builds project, over 90% of the source packages included in Debian 9 will build bit-for-bit identical binary packages. This is an important verification feature which protects users from malicious attempts to tamper with compilers and build networks. Future Debian releases will include tools and metadata so that end-users can validate the provenance of packages within the archive. Administrators and those in security-sensitive environments can be comforted in the knowledge that the X display system no longer requires "root" privileges to run. The "Stretch" release is the first version of Debian to feature the "modern" branch of GnuPG in the "gnupg" package. This brings with it elliptic curve cryptography, better defaults, a more modular architecture, and improved smartcard support. We will continue to supply the "classic" branch of GnuPG as gnupg1 for people who need it, but it is now deprecated. Debug packages are easier to obtain and use in Debian 9 "Stretch". A new "dbg-sym" repository can be added to the APT source list to provide debug symbols automatically for many packages. The UEFI ("Unified Extensible Firmware Interface") support first introduced in "Wheezy" continues to be greatly improved in "Stretch", and also supports installing on 32-bit UEFI firmware with a 64-bit kernel. The Debian live images now include support for UEFI booting as a new feature, too. This release includes numerous updated software packages, such as: * Apache 2.4.25 * Asterisk 13.14.1 * Chromium 59.0.3071.86 * Firefox 45.9 (in the firefox-esr package) * GIMP 2.8.18 * an updated version of the GNOME desktop environment 3.22 * GNU Compiler Collection 6.3 * GnuPG 2.1 * Golang 1.7 * KDE Frameworks 5.28, KDE Plasma 5.8, and KDE Applications 16.08 and 16.04 for PIM components * LibreOffice 5.2 * Linux 4.9 * MariaDB 10.1 * MATE 1.16 * OpenJDK 8 * Perl 5.24 * PHP 7.0 * PostgreSQL 9.6 * Python 2.7.13 and 3.5.3 * Ruby 2.3 * Samba 4.5 * systemd 232 * Thunderbird 45.8 * Tomcat 8.5 * Xen Hypervisor * the Xfce 4.12 desktop environment * more than 51,000 other ready-to-use software packages, built from a bit more of 25,000 source packages. With this broad selection of packages and its traditional wide architecture support, Debian once again stays true to its goal of being the universal operating system. It is suitable for many different use cases: from desktop systems to netbooks; from development servers to cluster systems; and for database, web, or storage servers. At the same time, additional quality assurance efforts like automatic installation and upgrade tests for all packages in Debian's archive ensure that "Stretch" fulfills the high expectations that users have of a stable Debian release. A total of ten architectures are supported: 64-bit PC / Intel EM64T / x86-64 (amd64), 32-bit PC / Intel IA-32 (i386), 64-bit little-endian Motorola/IBM P
Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?
Vull fer notar que, amb això de l'arrencada externa, en Sergi t'està diferenciant entre: que la contrassenya es demani per al teclat, o que la contrassenya estigui emmagatzemada a l'arrencada externa, ambdós casos compatibles amb iniciar d'una memòria USB. Tot això es perquè el (preguntador &) desbloquejador del disc dur ha de ser programari sense encriptar encara. __ I'm using this express-made address because personal addresses aren't masked enough at this list's archives. Mailing lists service administrator should fix this. El 19/06/17 a les 10:32, Sergi Blanch-Torné ha escrit: > Hola, > > Els xifrats en disc depenen de què vulguis protegir (el threat model). > > Com be comenta el Narcís, xifrar el disc dur deixa la partició boot > sense xifrar. Es necessària per poder carregar el kernel i que aquest et > demani la frase de pas per poder accedir al volum xifrat. Cas que sigui > sense frase de pas perquè el boot està en un stick, un ha de guardar-los > separats quan l'ordinador estar apagat. > > Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador > parar. Únicament. Estaries protegint la modificació dels binaris. Però > compte amb l'exposició del kernel. > > En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb > l'ordinador engegat i per tant amb la partició xifrada montada. > > De forma no excloent, però que té implicacions de performance, és > utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries > protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de > tenir present que root, tot i que no pot montar el teu home, si que hi > pot accedir si l'usuari ha fet login. > > Després hi ha una tercera via, útil per exemple per discs durs externs, > que serien eines com encfs, en les que hom monta una estructura de > directoris sota demanda. Té els seus pros i contres també. > > /Sergi. > > Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per > aprendre... > > On 19/06/17 09:31, Narcis Garcia wrote: >> La manera en què jo ho he vist fer és deixar connectada la memòria USB >> durant la instal·lació, i allotjar-hi allà la partició de /boot sense >> encriptar. >> D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal >> la memòria USB per arrencar-ne, que és la que demana contrasenya per >> seguir l'inici del sistema. Això si, convé que la memòria USB romangui >> connectada per a que sigui coherent amb les actualitzacions de nucli i >> gestor d'arrencada. >> >> De tota manera, aquesta externalització de l'arrencada és una mesura més >> aviat orientada a evitar una vulnerabilitat molt i molt específica: >> Que algú volgués manipular l'arrencada de l'ordinador per després deixar >> que tu el tornis a fer servir i que es desi la contrasenya que escrius, >> i així en un «següent robatori» recuperar aquesta dada. >> Si no necessites protegir-te d'aquest cas concret, pots prescindir de >> memòria USB i col·locar el /boot al mateix disc dur. >> >> >> __ >> I'm using this express-made address because personal addresses aren't >> masked enough at this list's archives. Mailing lists service >> administrator should fix this. >> El 19/06/17 a les 01:37, Pedro ha escrit: >>> Josep, >>> >>> tens alguna guia que recomanis o sabries explicar breument com fer lo >>> de entrar xifrar disc i desbloquejar-lo amb el llapis USB? >>> >>> podríem considerar que el punt de partida més habitual és una debian >>> instal·lada amb el xifrat de disc com suggereix l'instal·lador. >>> >>> Gràcies! >>> >>> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa : 2017-06-18 19:47 GMT+02:00 Jordi Boixader : > > Hola, > > Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable > encriptar les particions. Tant al Portàtil com al Sobretaula. > > - Només és per si em roben el Disc Dur que no hi puguin accedir? Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya (o un llapis usb amb una clau) per iniciar sistema. > > - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat > no podrà fer res? Quan inicies el sistema i entres la clau secreta per poder desencriptar el sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que l'intrús mantindria l'accés a tot el sistema de fitxers que sistema operatiu/aplicacions tenien... > > > Perdoneu la meva ignorància... > > Salut -- -- Salutacions...Josep -- >>> >> >
Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?
Hola, Els xifrats en disc depenen de què vulguis protegir (el threat model). Com be comenta el Narcís, xifrar el disc dur deixa la partició boot sense xifrar. Es necessària per poder carregar el kernel i que aquest et demani la frase de pas per poder accedir al volum xifrat. Cas que sigui sense frase de pas perquè el boot està en un stick, un ha de guardar-los separats quan l'ordinador estar apagat. Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador parar. Únicament. Estaries protegint la modificació dels binaris. Però compte amb l'exposició del kernel. En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb l'ordinador engegat i per tant amb la partició xifrada montada. De forma no excloent, però que té implicacions de performance, és utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de tenir present que root, tot i que no pot montar el teu home, si que hi pot accedir si l'usuari ha fet login. Després hi ha una tercera via, útil per exemple per discs durs externs, que serien eines com encfs, en les que hom monta una estructura de directoris sota demanda. Té els seus pros i contres també. /Sergi. Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per aprendre... On 19/06/17 09:31, Narcis Garcia wrote: > La manera en què jo ho he vist fer és deixar connectada la memòria USB > durant la instal·lació, i allotjar-hi allà la partició de /boot sense > encriptar. > D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal > la memòria USB per arrencar-ne, que és la que demana contrasenya per > seguir l'inici del sistema. Això si, convé que la memòria USB romangui > connectada per a que sigui coherent amb les actualitzacions de nucli i > gestor d'arrencada. > > De tota manera, aquesta externalització de l'arrencada és una mesura més > aviat orientada a evitar una vulnerabilitat molt i molt específica: > Que algú volgués manipular l'arrencada de l'ordinador per després deixar > que tu el tornis a fer servir i que es desi la contrasenya que escrius, > i així en un «següent robatori» recuperar aquesta dada. > Si no necessites protegir-te d'aquest cas concret, pots prescindir de > memòria USB i col·locar el /boot al mateix disc dur. > > > __ > I'm using this express-made address because personal addresses aren't > masked enough at this list's archives. Mailing lists service > administrator should fix this. > El 19/06/17 a les 01:37, Pedro ha escrit: >> Josep, >> >> tens alguna guia que recomanis o sabries explicar breument com fer lo >> de entrar xifrar disc i desbloquejar-lo amb el llapis USB? >> >> podríem considerar que el punt de partida més habitual és una debian >> instal·lada amb el xifrat de disc com suggereix l'instal·lador. >> >> Gràcies! >> >> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa : >>> >>> >>> 2017-06-18 19:47 GMT+02:00 Jordi Boixader : Hola, Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable encriptar les particions. Tant al Portàtil com al Sobretaula. - Només és per si em roben el Disc Dur que no hi puguin accedir? >>> >>> >>> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya (o >>> un llapis usb amb una clau) per iniciar sistema. >>> >>> - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat no podrà fer res? >>> >>> >>> Quan inicies el sistema i entres la clau secreta per poder desencriptar el >>> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja >>> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa >>> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que >>> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema >>> operatiu/aplicacions tenien... >>> Perdoneu la meva ignorància... Salut >>> >>> >>> >>> >>> -- >>> -- >>> Salutacions...Josep >>> -- >> > signature.asc Description: OpenPGP digital signature
Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?
La manera en què jo ho he vist fer és deixar connectada la memòria USB durant la instal·lació, i allotjar-hi allà la partició de /boot sense encriptar. D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal la memòria USB per arrencar-ne, que és la que demana contrasenya per seguir l'inici del sistema. Això si, convé que la memòria USB romangui connectada per a que sigui coherent amb les actualitzacions de nucli i gestor d'arrencada. De tota manera, aquesta externalització de l'arrencada és una mesura més aviat orientada a evitar una vulnerabilitat molt i molt específica: Que algú volgués manipular l'arrencada de l'ordinador per després deixar que tu el tornis a fer servir i que es desi la contrasenya que escrius, i així en un «següent robatori» recuperar aquesta dada. Si no necessites protegir-te d'aquest cas concret, pots prescindir de memòria USB i col·locar el /boot al mateix disc dur. __ I'm using this express-made address because personal addresses aren't masked enough at this list's archives. Mailing lists service administrator should fix this. El 19/06/17 a les 01:37, Pedro ha escrit: > Josep, > > tens alguna guia que recomanis o sabries explicar breument com fer lo > de entrar xifrar disc i desbloquejar-lo amb el llapis USB? > > podríem considerar que el punt de partida més habitual és una debian > instal·lada amb el xifrat de disc com suggereix l'instal·lador. > > Gràcies! > > 2017-06-18 21:11 GMT+02:00 Josep Lladonosa : >> >> >> 2017-06-18 19:47 GMT+02:00 Jordi Boixader : >>> >>> Hola, >>> >>> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable >>> encriptar les particions. Tant al Portàtil com al Sobretaula. >>> >>> - Només és per si em roben el Disc Dur que no hi puguin accedir? >> >> >> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya (o >> un llapis usb amb una clau) per iniciar sistema. >> >> >>> >>> - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat >>> no podrà fer res? >> >> >> Quan inicies el sistema i entres la clau secreta per poder desencriptar el >> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja >> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa >> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que >> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema >> operatiu/aplicacions tenien... >> >>> >>> >>> Perdoneu la meva ignorància... >>> >>> Salut >> >> >> >> >> -- >> -- >> Salutacions...Josep >> -- >