Vull fer notar que, amb això de l'arrencada externa, en Sergi t'està diferenciant entre: que la contrassenya es demani per al teclat, o que la contrassenya estigui emmagatzemada a l'arrencada externa, ambdós casos compatibles amb iniciar d'una memòria USB.
Tot això es perquè el (preguntador &) desbloquejador del disc dur ha de ser programari sense encriptar encara. __________ I'm using this express-made address because personal addresses aren't masked enough at this list's archives. Mailing lists service administrator should fix this. El 19/06/17 a les 10:32, Sergi Blanch-Torné ha escrit: > Hola, > > Els xifrats en disc depenen de què vulguis protegir (el threat model). > > Com be comenta el Narcís, xifrar el disc dur deixa la partició boot > sense xifrar. Es necessària per poder carregar el kernel i que aquest et > demani la frase de pas per poder accedir al volum xifrat. Cas que sigui > sense frase de pas perquè el boot està en un stick, un ha de guardar-los > separats quan l'ordinador estar apagat. > > Un xifrat a nivell de disc dur protegeix davant la situació d'ordinador > parar. Únicament. Estaries protegint la modificació dels binaris. Però > compte amb l'exposició del kernel. > > En l'altre escenari en que algú fa una incursió des de xarxa, ho fa amb > l'ordinador engegat i per tant amb la partició xifrada montada. > > De forma no excloent, però que té implicacions de performance, és > utilitzat eCryptfs per xifrar el home de cada usuari. Aquí estaries > protegint-ne les dades de cada usuari (que ho utilitzés). Però s'ha de > tenir present que root, tot i que no pot montar el teu home, si que hi > pot accedir si l'usuari ha fet login. > > Després hi ha una tercera via, útil per exemple per discs durs externs, > que serien eines com encfs, en les que hom monta una estructura de > directoris sota demanda. Té els seus pros i contres també. > > /Sergi. > > Ps: Jordi, no existeix la ignorància quan el que fas és preguntar per > aprendre... > > On 19/06/17 09:31, Narcis Garcia wrote: >> La manera en què jo ho he vist fer és deixar connectada la memòria USB >> durant la instal·lació, i allotjar-hi allà la partició de /boot sense >> encriptar. >> D'aquesta manera, el disc intern pot estar encriptat tot sencer, i cal >> la memòria USB per arrencar-ne, que és la que demana contrasenya per >> seguir l'inici del sistema. Això si, convé que la memòria USB romangui >> connectada per a que sigui coherent amb les actualitzacions de nucli i >> gestor d'arrencada. >> >> De tota manera, aquesta externalització de l'arrencada és una mesura més >> aviat orientada a evitar una vulnerabilitat molt i molt específica: >> Que algú volgués manipular l'arrencada de l'ordinador per després deixar >> que tu el tornis a fer servir i que es desi la contrasenya que escrius, >> i així en un «següent robatori» recuperar aquesta dada. >> Si no necessites protegir-te d'aquest cas concret, pots prescindir de >> memòria USB i col·locar el /boot al mateix disc dur. >> >> >> __________ >> I'm using this express-made address because personal addresses aren't >> masked enough at this list's archives. Mailing lists service >> administrator should fix this. >> El 19/06/17 a les 01:37, Pedro ha escrit: >>> Josep, >>> >>> tens alguna guia que recomanis o sabries explicar breument com fer lo >>> de entrar xifrar disc i desbloquejar-lo amb el llapis USB? >>> >>> podríem considerar que el punt de partida més habitual és una debian >>> instal·lada amb el xifrat de disc com suggereix l'instal·lador. >>> >>> Gràcies! >>> >>> 2017-06-18 21:11 GMT+02:00 Josep Lladonosa <[email protected]>: >>>> >>>> >>>> 2017-06-18 19:47 GMT+02:00 Jordi Boixader <[email protected]>: >>>>> >>>>> Hola, >>>>> >>>>> Vull reinstal·lar la Debian 9 des de cero i em pregunto si és recomanable >>>>> encriptar les particions. Tant al Portàtil com al Sobretaula. >>>>> >>>>> - Només és per si em roben el Disc Dur que no hi puguin accedir? >>>> >>>> >>>> Efectivament. Cada cop que iniciïs el sistema hauràs d'entrar contrasenya >>>> (o >>>> un llapis usb amb una clau) per iniciar sistema. >>>> >>>> >>>>> >>>>> - O també si un Hacker m'entra des d'Internet al trobar-ho tot encriptat >>>>> no podrà fer res? >>>> >>>> >>>> Quan inicies el sistema i entres la clau secreta per poder desencriptar el >>>> sistema de fitxer estàs fent que sistema operatiu i programes tinguin ja >>>> accés directe als fitxers. Així doncs, si un hacker entrés al sistema ho fa >>>> gràcies a alguna vulnerabilitat bé de sistema bé d'aplicació, pel que >>>> l'intrús mantindria l'accés a tot el sistema de fitxers que sistema >>>> operatiu/aplicacions tenien... >>>> >>>>> >>>>> >>>>> Perdoneu la meva ignorància... >>>>> >>>>> Salut >>>> >>>> >>>> >>>> >>>> -- >>>> -- >>>> Salutacions...Josep >>>> -- >>> >> >
