Полное шифрование системы подразумевается линукс , никакой проприетарки+ i2p.
/тред
Диски полностью забиваю рандомом, поверх делаю LUKS-контейнер с хидером в отдельном файле, чтобы невозможно было понять, чем зашифрован диск. Внутри контейнера делаю LVM-разделы, на них ставлю систему.
Собираю кастомное ядро с поддержкой только нужного оборудования, на его базе делаю минимальный initramfs c busybox, lvm, dm-crypt, dropbear. Вес ядра + initramfs получается в районе 5МБ.
Настраиваю машину на загрузку по сети, во время перезагрузки делаю туннель к мвршрутизатору, на котором стоит TFTP-сервер и отдаю нужной машине со своего ноута ядро + initramfs. Загружается мой самопальный initrd, на нем поднимается SSH-сервак. Захожу на этот сервак, кидаю в tmpfs хидер от LUKS-контейнера, через ssh-pipe передаю ключ для расшифровки контейнера. После расшифровки монтирую LVM-раздел скорнем и гружусь с него. Profit.
Получается удаленный сервак с полностью зашифрованным диском, который можно удаленно ребутить в случае необходимости. Если маски-шоу выносят оборудование из серверной, то у них нет ни ключей, ни ядра, ни хидеров, нихуя. Просто диски, на которых каша из /dev/urandom. Все.
Собираю кастомное ядро с поддержкой только нужного оборудования, на его базе делаю минимальный initramfs c busybox, lvm, dm-crypt, dropbear. Вес ядра + initramfs получается в районе 5МБ.
Настраиваю машину на загрузку по сети, во время перезагрузки делаю туннель к мвршрутизатору, на котором стоит TFTP-сервер и отдаю нужной машине со своего ноута ядро + initramfs. Загружается мой самопальный initrd, на нем поднимается SSH-сервак. Захожу на этот сервак, кидаю в tmpfs хидер от LUKS-контейнера, через ssh-pipe передаю ключ для расшифровки контейнера. После расшифровки монтирую LVM-раздел скорнем и гружусь с него. Profit.
Получается удаленный сервак с полностью зашифрованным диском, который можно удаленно ребутить в случае необходимости. Если маски-шоу выносят оборудование из серверной, то у них нет ни ключей, ни ядра, ни хидеров, нихуя. Просто диски, на которых каша из /dev/urandom. Все.
OpenBSD/Hardened Gentoo.
Можно юзать plain dm-crypt без LUKS для deniable encryption, тащем-та.
Платиновый вопрос:
Что из тобой предложенного требуют меньше ебли с консолечкой?
>у них нет ни ключей, ни ядра, ни хидеров
Но ведь и ключ, и хидер есть в оперативной памяти. Если не баки, то они их найдут, и тогда sosnooley.
Hardened gentoo, само собой. Забыл написать.
Оно и так deniable, почитай внимательней. LUKS-header не хранится на самих дисках.
Сперма.
Я понял же, что deniable, потому и написал, как сделать это проще, не оставляя лишнего компромата в виде хидера где-либо.
Что за контора?
Ты видел дуболомов, которые этим занимаются? Первое, что они сделают -- отключат сервера от розетки.
Если за тебя решат взяться серьезные люди, то такой детский сад не поможет, само собой. Они могут и свое модифицированное ядро подсунуть при загрузке сервака, а ты туда залогинишься и сам сольешь ключ и хидер. Так даже проще. Поэтому надо использовать secure boot.
OpenBSD, правда ее использование подразумевает чтение официальной документации, step-to-step-how-to-for-dcp-autists ты можешь и не найти.
>отключат сервера от розетки
Охлаждая планки памяти жидким азотом.
половины слов не понял, но скинь конфиг
Вряд-ли он скинет свой конфиг, у него все самописное. Лучше возьми в руки поисковик и вбивай все непонятные тебе слова и вникай, может научишься чему дельному. А если не осилишь, тогда оно тебе нахуй не надо, поверь.
Завтра ищешь в интернете книжку Прикладная криптография. Похуй если ничего не поймешь. Затем идешь на pgpru.com и изучаешь Фонд полезных постов от корки до корки. Потом зубришь, именно, сука, вызубриваешь современные криптографические протоколы - SSL, SSH, Tor, Bitcoin, OTR, чтобы от зубов отскакивало. Когда соберёшь своё первое hardened ядро, по пути изучив синтаксис SELinux, скачиваешь и изучаешь любую систему, реализующую security by compartmentalization, рекомендую Qubes OS или Subgraph. Как переделаешь песочницу, чтобы блокировала по крайней мере 0day RCE, можешь идти дальше - тебя ждет увлекательный мир атак уровня NSA. DEFCON, Anti Evil Maid, Ring -2 rootkits. Отсос шифропанков / просто неудачников типа spinore или нечего/скрывать-хуесосов, которые сосут хуй по жизни не заставит себя ждать и уже через пол года ты будешь знать про такие пейперы, что даже Рутковская будет течь при одном их упоминании.
s/SELinux/grsecurity/
Анбшные зонды не нужны!
>стоит TFTP-сервер и отдаю нужной машине со своего ноута ядро + initramfs
Почему бы не поставить iPXE, который по https загрузит в рамдиск уже готовую ос со всеми ключами. Включил vps, загрузил сервер, выключил vps. Все.
Смотри-ка, другой вариант пасты, но на схожую тему. Сохранил.
-
Завтра ищешь в интернете документ Bitcoin: A Peer-to-Peer Electronic Cash System. Похуй если ничего не поймешь. Затем идешь на https://github.com/bitcoin/bitcoin и изучаешь код от корки до корки. Потом зубришь, именно, сука, вызубриваешь всю матчасть по асимметричному шифрованию, чтобы от зубов отскакивало. Когда сделаешь свой первый говнофорк, по пути изучив C++, скачиваешь и изучаешь любую PoS-монету, рекомендую PeerCoin или NovaCoin. Как переделаешь говно, чтобы работало на чистом PoS, можешь идти дальше — тебя ждет увлекательный мир хакерства. Бекдоры в бинарниках, 51%, нетворк-сплит. Отсос хиккующих выблядков / просто неудачников типа 360-куна или трейдеро/майнеро-хуесосов, которые сосут хуй по жизни не заставит себя ждать и уже через пол года ты будешь получать такие суммы, что любая баба будет течь при одном упоминании твоих заработков.
Прошу пардону, ходил на зутопию.
>Охлаждая планки памяти жидким азотом.
Планки они будут охлаждать разве что своими студеными былинами о том, что ордер не нужен, а если будешь рыпаться -- получишь двушечку.
Grsecurity <> SELinux. Grsecurity + Tomoyo в качестве MAC тогда уж.
А iPXE разве умеет HTTPS с сертификатами и всей фигней? Когда я смотрел последний раз, вроде не умел. Кроме того, у меня к каждому из боевых серверов был прицеплен своеобразный watchdog (копеечный китайский USB роутер, прошитый OpenWRT), который смотрел в отдельный сетевой интерфейс на серваке и заодно мог "нажимать" на машинах power & reset. А раз уж он уже есть, логично с него и грузиться, а интерфейс, смотрящий наружу, для этого вообще не использовать.
Конфиги мои ничем не помогут, там все очень специфично. Но я давно подумываю расписать это решение по шагам, чтобы кто угодно на коленке мог за один вечер повторить. Наш ответ ЧемберленуМразулиной, так сказать.
>Охлаждая планки памяти жидким азотом.
Планки они будут охлаждать разве что своими студеными былинами о том, что ордер не нужен, а если будешь рыпаться -- получишь двушечку.
Grsecurity <> SELinux. Grsecurity + Tomoyo в качестве MAC тогда уж.
А iPXE разве умеет HTTPS с сертификатами и всей фигней? Когда я смотрел последний раз, вроде не умел. Кроме того, у меня к каждому из боевых серверов был прицеплен своеобразный watchdog (копеечный китайский USB роутер, прошитый OpenWRT), который смотрел в отдельный сетевой интерфейс на серваке и заодно мог "нажимать" на машинах power & reset. А раз уж он уже есть, логично с него и грузиться, а интерфейс, смотрящий наружу, для этого вообще не использовать.
Конфиги мои ничем не помогут, там все очень специфично. Но я давно подумываю расписать это решение по шагам, чтобы кто угодно на коленке мог за один вечер повторить. Наш ответ ЧемберленуМразулиной, так сказать.
>Grsecurity <> SELinux. Grsecurity + Tomoyo в качестве MAC тогда уж.
Grsecurity RBAC, не?
>по пути изучив C++
Проиграл с самого небезопасного языка.
просто оставлю это здесь.
Да, да, а еще мы все когда-нибудь умрем, значит, заботиться об информационной безопасности, да и вообще жить, бессмысленно.
Проиграл с перданувшего в лужу.
Обоснуй, епт.
Нет, просто информационная безопасность должна быть адекватной.
>предлагает обосновать отсутствие
Да, забыл про него совсем.
Некорректность поста про небезопасность крестопараши обоснуй.
Вот именно. Поэтому, не шифруя жесткий диск, руководствуясь неустойчивостью любого криптоалгоритма к паяльнику, ты рискуешь утечкой данных, в случае, если этот самый ноут у тебя банально спиздят.
iPXE умеет http://ipxe.org/crypto
>А раз уж он уже есть, логично с него и грузиться, а интерфейс, смотрящий наружу, для этого вообще не использовать.
Веб сервер можно и на ноутбуке поднять. Вопрос лишь в том, что это в сотню раз удобнее, а безопасность та же.
>А раз уж он уже есть, логично с него и грузиться, а интерфейс, смотрящий наружу, для этого вообще не использовать.
Веб сервер можно и на ноутбуке поднять. Вопрос лишь в том, что это в сотню раз удобнее, а безопасность та же.
Что обосновать? Ты перданул в лужу, что здесь обосновывать? Это ты должен подкреплять свой пердёж аргументами, если хочешь, чтобы он перестал быть пердежом.
Пизда тут советов! Только интересно, как они спасут от паяльника в жопе? Мое решение, тащемта - весь стораж - все харды должны быть упакованы в уничтожители электромагнитные. Только так инфы не найдут даже расовав паяльники по всем вам и вашим мамкам. И бекап кстати тоже должен быть в уничтожителе.
>И бекап кстати тоже должен быть в уничтожителе.
Не в уничтожителе, а зашифрован. Ключ шифрования разделён между доверенными личностями, проинструктированными выдавать тебе свои части только после того, как убедятся, что тебе ничего не угрожает.
У меня на ноутбуке нет данных, хранимых в открытом виде, утечка которых мне будет грозить чем-либо. Если у тебя они есть, ничего не мешает тебе сделать $chown -R root $chmod 700 или например просто шифровать без заебствований с хедерами в отдельных файлах и всей прочей хуйней описаной выше.
Я тебе ничего не должен. Ты предъявляешь -- ты обосновываешь.
>Если у тебя они есть, ничего не мешает тебе сделать $chown -R root $chmod 700
Толсто.
>$
Уже потоньше.
А если всем доверенным тоже присунут паяльника?
> Ты предъявляешь -- ты обосновываешь.
Всё верно. Ты предъявил, что C++ это самый небезопасный язык — ты обосновываешь.
Впрочем, ты мне ничего не должен, можешь оставаться безпруфным обоссанцем.
Тогда тебе пизда. Но ты же достаточно умён, чтобы выбрать доверенных лиц вне досягаемости присовывателей паяльника, правда?
>ты же достаточно умён, чтобы выбрать доверенных лиц вне досягаемости присовывателей паяльника
Я хуй знает, какой длины паяльник, это не было определено в оп-посте. Поэтому рассчитываю на длину паяльника, равную бесконечности.
Не самый. На уровне с C. Пруфы небезопасности C тебе тоже нужны? Ок, заходишь на http://cvedetails.com, ищешь по категории "overflow". В C++ ничто не ограничивает от написания C-стайл кода со всеми вытекающими. Да, асм не язык программирования.
>заходишь на http://cvedetails.com, ищешь по категории "overflow"
Что-то я не заметил там фильтрации по языку программирования. И тем более, сравнения разных языков программирования.
А вот маняврирования начались. Читать умеешь?
>ищешь по категории "overflow"
И смотришь, в каких приложениях найдены уязвимости и на чем они написаны. На самом деле, если бы ты писал на крестах что-то длиннее cout << "yoba" << endl, тебе не нужны были бы пруфы их "небезопасности".
Ебать вы поехавшие шизики , вам обычного шифрования не хватает с файл ключом? Удаляете файл, восстановить никто не сможет. Ну или на отдельной SD карте этот файл хранить, в случае чего сожрать её.
Это вот суда, а ваши супер хитрые методы идут нахуй.
>толсто
А что не так?
Толсто, написал же.
в чем толстота?
>$chown -R root $chmod 700
А вот представь, что ты за минуту до кражи ноута сделал sudo apt-get upgrade. Хакер может сделать sudo su и получить доступ ко всей папке, даже не зная пароля!
>sudo su
А теперь дружище, не мог бы ты подкинуть годной литературы по этой теме. Я просто составляю список годноты, чтобы организовать подразделение кулхацкеров-борцов с системой.
Что не так, манюнь?
SU(1) User Commands SU(1)
NAME
su - change user ID or become superuser
SYNOPSIS
su [options] [username]
DESCRIPTION
The su command is used to become another user during a login session. Invoked without a
username, su defaults to becoming the superuser. The optional argument - may be used to
provide an environment similar to what the user would expect had the user logged in
directly.
SUDO(8) Gentoo System Manager's Manual SUDO(8)
NAME
sudo, sudoedit — execute a command as another user
SYNOPSIS
sudo -h | -K | -k | -V
sudo -v [-AknS] [-a type] [-g group] [-h host] [-p prompt] [-u user]
sudo -l [-AknS] [-a type] [-g group] [-h host] [-p prompt] [-U user] [-u user] [command]
sudo [-AbEHnPS] [-a type] [-C num] [-c class] [-g group] [-h host] [-p prompt] [-r role]
[-t type] [-u user] [VAR=value] [-i | -s] [command]
sudoedit [-AknS] [-a type] [-C num] [-c class] [-g group] [-h host] [-p prompt] [-u user]
file ...
DESCRIPTION
sudo allows a permitted user to execute a command as the superuser or another user, as spec‐
ified by the security policy. The invoking user's real (not effective) user ID is used to
determine the user name with which to query the security policy.
>смотришь, в каких приложениях найдены уязвимости и на чем они написаны
Опять предлагаешь делать твою работу? Сам сказал:
>Ты предъявляешь -- ты обосновываешь.
— вот иди теперь, смотри приложения, составляй статистику, потом тащи её сюда, а мы посмотрим.
>если бы ты писал на крестах
Да я может вообще ни одной программы в жизни не написал и компьютера у меня нет, на твой самоотсос это не влияет.
Есть же специальный ключ, sudo -i.
>-i, --login: Run the shell specified by the target user's password database entry as a login shell.
>ходил на зутопию
Один или как? Что в итоге получил, понравилось?
Так и представляю, как решивший украсть мой ноут гопник сидит и высматривает в бинокль, когда же я сделаю судо. что мешает настроить sudoers?
Интересно, не знал, что iPXE умеет в сертификаты. Пока вижу проблему в том, что чуваки, вынесшие оборудование, получают сертификат и private key машины и смогут авторизоваться и стянуть твое ядро и initrd, если web-сервер будет всегда включен. Правда, это им не много даст. Разве что прямое доказательство того, что ты там что-то шифруешь. Ну и watchdog все равно будет нужен, чтобы аппаратно ребутнуть машину в случае чего.
Один, в зале кроме меня было человек 5 еще. Замечательный мульт, от этих ребят было бы странным ожидать чего-либо другого. На моменте "ты приходишь ко мне в дом в день свадьбы моей дочери" чуть не взоржал на весь зал.
поможите, кто чем может