Quais são as permissões certas para configurar para tornar os arquivos ilegíveis, a menos que seja o meu principal usuário acessando-os?

Navegue suas respostas
0

Basicamente eu não criptografei minha partição Linux (Debian) ao instalá-la.

No entanto, eu encontrou uma maneira de criptografar pelo menos a pasta home, então, em teoria, eu poderia colocar tudo lá, o que eu quero ter certeza de que não é acessível se meu computador for roubado, etc.

No entanto, existem determinadas pastas (/ etc, / bin, / var, ..) que, com certeza, não podem ser movidas para a pasta principal para criptografá-las também. Dado que com o meu usuário (!="Root") eu tenho acesso root (mas ao inserir a senha para cada su (do) ), eu estava pensando em limitar o acesso ao sensitive arquivo / pastas, permitindo que apenas meu usuário principal (mesmo sem su (do)) os acesse somente após o login no KDE e, ao mesmo tempo, assegurando que nenhuma outra parte do sistema seja quebrada.

É possível? (talvez que chmod etc)

Alos, não tenho certeza de quais pastas devem conter dados de aplicativos e outras informações confidenciais 'por padrão' ?

    
por dragonmnl 06.01.2016 / 16:43

1 resposta

3

As permissões protegem apenas contra outros usuários do sistema, que acessam o sistema por meio de software normal. Eles são totalmente inúteis contra alguém que tenha acesso ao hardware, apenas a criptografia pode proteger contra isso. Definir permissões é como escrever "segredo" em um envelope; ele funciona se o sistema operacional for a única entidade que está manipulando o envelope, mas não se o invasor tiver roubado o envelope.

Locais onde os arquivos confidenciais provavelmente acabarão incluem principalmente:

  • a área de troca;
  • /tmp (se não estiver na RAM);
  • /var/tmp (mas poucos programas escrevem lá);
  • e-mail e impressora (e possivelmente outros) carretéis em /var/spool ;
  • possivelmente algumas informações em /etc , como senhas de Wifi.

É difícil garantir a cobertura de todos os arquivos confidenciais; para estar seguro, você precisa criptografar todos os /var . Além do mais, não há uma maneira simples (nem uma maneira moderadamente avançada) de colocar os arquivos do sistema sob o ecryptfs: o ecryptfs é fundamentalmente orientado para criptografar os arquivos de um único usuário. Embora não seja matematicamente impossível, eu não recomendaria tentar, a menos que você saiba o que fazer quando ele quebrar (e ele irá quebrar); é uma dessas coisas se você precisar perguntar, e não fazer. Eu não faria isso, eu criptografaria todo o sistema.

Você pode criptografar o sistema após a instalação, mas não é fácil. A idéia básica para inicializar a partir de mídia de resgate, encolher a partição existente para abranger menos do que todo o disco, movê-lo para o final do disco, criar um contêiner criptografado no início agora livre do disco, criar um volume LVM nele crie um sistema de arquivos, mova os arquivos da área de texto plano, redimensione o volume de texto simples para pequeno (~ 200 MB), mova /boot para o volume de texto sem formatação, estenda o contêiner criptografado eo volume LVM para o disco inteiro, faça alguma troca espaço novamente, amplie o sistema de arquivos, monte o volume de texto sem formatação em /boot , reinstale o Grub e gere novamente o initramfs. (Espero não ter esquecido nada…)

Se você estiver preocupado com arquivos confidenciais fora de sua casa, a reinstalação provavelmente seria mais fácil.

Um compromisso mais fácil seria tornar /home um volume criptografado, em vez de criptografar sua casa como uma árvore de diretórios. (Isso também pode melhorar um pouco o desempenho.) A ideia básica é:

  1. Inicialize a partir da mídia de resgate.
  2. Reduz o sistema de arquivos existente e contém a partição ( ext2resize , parted ).
  3. Crie um volume dmcrypt no espaço liberado ( cryptsetup ).
  4. Crie dois volumes LVM no volume dmcrypt ( pvcreate , vgcreate , lvcreate × 2), um para swap ( mkswap ) e um para /home ( mkfs ).
  5. Monte o volume para /home e mova /home .
  6. Atualize /etc/fstab e /etc/crypttab .
  7. Agora você pode mover outros diretórios sensíveis (por exemplo, spool de impressora) para /home e criar um link simbólico para segui-los.
  8. Para proteger os arquivos confidenciais que você acabou de apagar, limpe o livre espaço no volume de texto simples .
por 07.01.2016 / 01:51

Tags

Script de shell para listar as primeiras ou últimas n linhas de um arquivo Comparando valores em uma mesma string [closed]