Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Alex Muntada]

Pedro:

> alguna guia que recomanis o sabries explicar breument com fer
> lo de entrar xifrar disc i desbloquejar-lo amb el llapis USB?

En teoria és fàcil utilitzant l'ordre «cryptsetup luksAddKey».

Fa poc em vaig assabentar que el GRUB té suport per luks i que
és possible configurar el xifrat del disc sencer sense tenir
el /boot fora, però no he pogut provar-ho encara:

http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/
http://www.pavelkogan.com/2015/01/25/linux-mint-encryption/

Salut!
Alex

Re: Debian 8.8 a debian 9 problemes amb nou nucli 4.9.0-3-amd64

[Marcfp Gmail]

Joan jo estic amb jessie, vaig provar d'actualitzar i vaig veure bugs en el 
grub i no recordo quins altres paquets vaig cancelar l'actualització...
No em corre pressa, a més ara m'arriben dims de ram així ho veuré diferent fent 
un upgrade de sistema i de ram... 

On 19 de juny de 2017 22:30:23 CEST, Joan  wrote:
>M'esteu treient les ganes d'actualitzar...
>
>De fet, per prudència sempre penso que és millor esperar uns dies, un
>mes... perquè quan es llença la nova versió, els testadors deuen passar
>a ser moltíssims i potser és més fàcil que arreglin coses d'aquestes...
>
>Joan
>
>El Sun, 18 Jun 2017 19:12:41 +0200
>Josep Lladonosa  va escriure:
>
>> 2017-06-18 17:32 GMT+02:00 Jaume Barceló :
>> 
>> > Després de l'actualització (*) el nucli 4.9.0-3-amd64 no em llista
>> > els usuaris. Em queda amb un fons de pantalla i no puc fer res.
>> > Reiniciant i triant el nucli antic 3.16.0-4-amd64 puc entrar. Tinc
>> > arrencada dual win10/debian EFI/grub
>> >
>> 
>> A mi m'ha passat, en Ubuntu, però, que determinades versions de
>nuclis
>> tenen errades amb temes gràfics i aleshores no s'inicialitzen bé i,
>> bé no apareix entorn gràfic (sobretot entorns amb nvidia), bé els
>> gràfics es tornen lents apareixent errors de coredump al dmesg.
>> Efectivament passant a una altra compilació de nucli es resol el
>> tema...
>> 
>> Salutacions,
>> Josep
>> 
>> 
>> 
>> 
>> >
>> > Algun suggeriment?
>> >
>> 
>> Reportar el bug i esperar a una següent versió de nucli? :-/
>> 
>> 
>> >
>> > (*) http://nerea.cat/gnu/debian9.txt
>> >
>> > --
>> > Salut i força!
>> >
>> 
>> 
>> 
>
>
>
>-- 
>Joan Cervan i Andreu
>http://personal.calbasi.net
>
>"El meu paper no és transformar el món ni l'home sinó, potser, el de
>ser útil, des del meu lloc, als pocs valors sense els quals un món no
>val la pena viure'l" A. Camus
>
>i pels que teniu fe:
>"Déu no és la Veritat, la Veritat és Déu"
>Gandhi

-- 
Sent from my Android device with K-9 Mail. Please excuse my brevity.

Re: Debian 8.8 a debian 9 problemes amb nou nucli 4.9.0-3-amd64

[Alex Muntada]

Jaume Barceló:

> Després de l'actualització (*) el nucli 4.9.0-3-amd64 no em
> llista els usuaris. Em queda amb un fons de pantalla i no puc
> fer res. Reiniciant i triant el nucli antic 3.16.0-4-amd64 puc
> entrar. Tinc arrencada dual win10/debian EFI/grub

Jo em vaig trobar amb què l'entorn gràfic de GNOME no arrencava
a l'ordinador de la feina, que vaig reinstal·lar amb Debian 9
el passat divendres. Ho vaig resoldre activant el repositori de
non-free i instal·lant el paquet firmware-amd-graphics, que conté
el suport per la tarja gràfica. Pot ser que et passi quelcom
similar?

Salut!
Alex

Re: Instal·lar Debian 9 de cero... Es recomanable encriptar les particions?

[Narcis Garcia]

La pega que té aquest mètode de xifrar només un directori de dades és
que els temporals queden fora. És a dir, si en obrir un document
l'aplicació en crea una còpia temporal a /tmp o /var/cache o qualsevol
altre lloc imprevist. Aquest comportament també el tenen les aplicacions
de Mozilla en obrir fitxers.


__
I'm using this express-made address because personal addresses aren't
masked enough at this list's archives. Mailing lists service
administrator should fix this.
El 19/06/17 a les 21:46, Lluís Gili ha escrit:
> jo el que he fet és xifrar (amb luks, cryptsetup) un sol directori i posar-hi 
> tot el sensible allà, enllaçant-ho des d'on toqui, posant la mateixa 
> contrasenya al xifrat i a l'usuari pots fer que es munti automàticament quan 
> inicies sessió a l'entorn gràfic (amb libpam-mount)
> així tens el que vols xifrat sense necessitat de posar una contrasenya extra 
> ni penalitzar el rendiment
> 
> 
> El dilluns, 19 de juny de 2017, a les 10:32:18 CEST, Sergi Blanch-Torné va 
> escriure:
>> Hola,
>>
>> Els xifrats en disc depenen de què vulguis protegir (el threat model).
>>
>> Com be comenta el Narcís, xifrar el disc dur deixa la partició boot
>> sense xifrar. Es necessària per poder carregar el kernel i que aquest et
>> demani la frase de pas per poder accedir al volum xifrat. Cas que sigui
>> sense frase de pas perquè el boot està en un stick, un ha de guardar-los
>> separats quan l'ordinador estar apagat.
>>
>> Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador
>> parar. Únicament. Estaries protegint la modificació dels binaris. Però
>> compte amb l'exposició del kernel.
>>
>> En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb
>> l'ordinador engegat i per tant amb la partició xifrada montada.
>>
>> De forma no excloent, però que té implicacions de performance, és
>> utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries
>> protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de
>> tenir present que root, tot i que no pot montar el teu home, si que hi
>> pot accedir si l'usuari ha fet login.
>>
>> Després hi ha una tercera via, útil per exemple per discs durs externs,
>> que serien eines com encfs, en les que hom monta una estructura de
>> directoris sota demanda. Té els seus pros i contres també.
>>
>> /Sergi.
>>
>> Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per
>> aprendre...
>>
>> On 19/06/17 09:31, Narcis Garcia wrote:
>>> La manera en què jo ho he vist fer és deixar connectada la memòria USB
>>> durant la instal·lació, i allotjar-hi allà la partició de /boot sense
>>> encriptar.
>>> D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal
>>> la memòria USB per arrencar-ne, que és la que demana contrasenya per
>>> seguir l'inici del sistema. Això si, convé que la memòria USB romangui
>>> connectada per a que sigui coherent amb les actualitzacions de nucli i
>>> gestor d'arrencada.
>>>
>>> De tota manera, aquesta externalització de l'arrencada és una mesura més
>>> aviat orientada a evitar una vulnerabilitat molt i molt específica:
>>> Que algú volgués manipular l'arrencada de l'ordinador per després deixar
>>> que tu el tornis a fer servir i que es desi la contrasenya que escrius,
>>> i així en un «següent robatori» recuperar aquesta dada.
>>> Si no necessites protegir-te d'aquest cas concret, pots prescindir de
>>> memòria USB i col·locar el /boot al mateix disc dur.
>>>
>>>
>>> __
>>> I'm using this express-made address because personal addresses aren't
>>> masked enough at this list's archives. Mailing lists service
>>> administrator should fix this.
>>>
>>> El 19/06/17 a les 01:37, Pedro ha escrit:
 Josep,

 tens alguna guia que recomanis o sabries explicar breument com fer lo
 de entrar xifrar disc i desbloquejar-lo amb el llapis USB?

 podríem considerar que el punt de partida més habitual és una debian
 instal·lada amb el xifrat de disc com suggereix l'instal·lador.

 Gràcies!

 2017-06-18 21:11 GMT+02:00 Josep Lladonosa :
> 2017-06-18 19:47 GMT+02:00 Jordi Boixader :
>> Hola,
>>
>> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és
>> recomanable
>> encriptar les particions. Tant al Portàtil com al Sobretaula.
>>
>> - Només és per si em roben el Disc Dur que no hi puguin accedir?
>
> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar
> contrasenya (o un llapis usb amb una clau) per iniciar sistema.
>
>> - O també si un Hacker m'entra des d'Internet al trobar-ho tot
>> encriptat
>> no podrà fer res?
>
> Quan inicies el sistema i entres la clau secreta per poder desencriptar
> el
> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja
> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho
> fa
> gràcies a alguna vulnerabilitat bé