[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[riminilug-general] Criptare partizioni e files con Luks

To: RiminiLUG - General <riminilug-general@xxxxxxxxxxxx>
Subject: [riminilug-general] Criptare partizioni e files con Luks
From: Ivan Tarozzi <itarozzi@xxxxxxxxx>
Date: Thu, 18 Jan 2018 10:02:46 +0100
Authentication-results: in41.mail.ovh.net; dkim=fail reason="verification failed; unprotected key" header.d=gmail.com header.i=@gmail.com header.b=MD2FuFu8; dkim-adsp=none (unprotected policy); dkim-atps=neutral
Authentication-results: in47.mail.ovh.net; dkim=pass reason="2048-bit key; unprotected key" header.d=gmail.com header.i=@gmail.com header.b=MD2FuFu8; dkim-adsp=pass; dkim-atps=neutral
Delivered-to: ml_collector_general@xxxxxxxxxxxx
Delivered-to: mailing list riminilug-general@xxxxxxxxxxxx
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025; h=from:subject:to:message-id:date:user-agent:mime-version :content-language; bh=82dnY7EA2G3rWo7jTNC1BClXXOt3FiZqG9AiXaRHT9I=; b=MD2FuFu8N6USDn0LBMVoWgRaqGWT9nhIShagXWMwBP6ZtySkf54mAJOFx3bHj1KHGD ucfy1hh4zuQidnDkexyr9k/NQPFBN4Jfoxky7GkMtENZaj1fNDMpWWg4s2fpwSLRZvDK LnncWRBnkTv9DQo1wZ3HrgqvQn3tTiMwKGf2dsFwKpu1FFPagtF237PBha8jshFSHbAb INEWgcQkSN0+CaXMCa2j77V6M7r2aVy8XGd71JEqxjYlG0f7RKLv7Wmq7V5J9uxXgT1t AyXsezJa5cN9YRUT6yUkxv6NnaLfmrsw6pfI9SKWZ1x8I2k02DTUnB/GyGeM7lrARWBV d0CA==
List-help: <mailto:riminilug-general-help@riminilug.it>
List-post: <mailto:riminilug-general@riminilug.it>
List-subscribe: <mailto:riminilug-general-subscribe@riminilug.it>
List-unsubscribe: <mailto:riminilug-general-unsubscribe@riminilug.it>
Mailing-list: contact riminilug-general-help@xxxxxxxxxxxx; run by ezmlm
Reply-to: riminilug-general@xxxxxxxxxxxx
User-agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Thunderbird/52.4.0

Ciao a tutti,

nel canale Telegram dell'associazione sono stati scambiati alcuni messaggi a commento della serata dell'altra sera tenuta da Gabriele Zappi e riguardante privacy e sicurezza, oltre i meritati complimenti ;)

Qui link alle note del presidente sulla serata:

http://www.riminilug.it/prima-serata-su-privacy-e-sicurezza-informatica/

Il fondo a quella pagina troverete anche il link per scaricare l'esito degli esami del presidente, visto che i partecipanti alla serata non possono rimanere con il dubbio :)

A beneficio di tutti riassumo qui i punti salienti delle note e vi invito a partecipare alla discussione in questa ML, in cui è più semplice tenere ordinate le discussioni :)

Q:
Abbiamo visto che la password di root la posso resettare se non proteggo bios e GRUB.
Ma se (sfiga.... ma tanto capita) mi dimentico la password del bios o del GRUB ci sono modi per resettarla ?
Della serie: rischio di rendere effettivamente inutilizzabile un pc?

R:
Se ancora non hai blindato il bios, puoi entrare con una Live e andare a modificare direttaemente il /boot/grub[2]/grub.cfg accedendo direttamente al disco, togliere le voci "set superuser, e password_pbkdf2 ...", riavviare normalmente e rimettere a posto la configurazione del grub a tuo piacimento.

Il comando update-grub da chroot su live non è necessario. Per poter ripartire, basta andare direttamente a modificare il grub.cfg in modo che non ti chieda la password. Poi una volta che sei partito normalmente, puoi andare a modificare /etc/grub.d/40_custom togliendo le voci che si riferiscono alla password (o modificarle per metterne una nuova). Quindi per consolidare queste modifiche, sì che dovrai fare update-grub (o grub-mkconfig -o /boot/grub/grub.cfg se sei su una distro RedHat-like)

se hai blindato il bios basta che monti il disco su un altro pc

Per la password del bios basta togliere la batteria tampone sulla scheda madre, oppure se provvista il jumper per il reset

Q
se ho installato mint o Ubuntu senza cifrare ne il filesystem ne la cartella home c'è un modo per farlo in un secondo momento? Scusa ma ieri sera non sono riuscito a venire. Ed avrei avuto tanto piacere. E magari condividere la partizione di home tra Ubuntu e mint che sono sullo stesso HD

R
Per quanto riguarda l'encryption di tutto il filesystem, specie se è il filesystem di / è un casino... toccherebbe partire con una live, backuppare il tutto, ricreare il filesystem con luks a mano e ripristinare magari dal backup... detto tra noi, sarebbe meglio reinstallare. Ovviamente il discorso è diverso se hai intenzione di crittografare una filesystem su una partizione secondaria.

Per quanto riguarda la home directory, il discorso è più semplice... una volta che hai installato i pacchetti necessari, sia ubuntu, che mint (e Debian naturalmente) mettono a disposizione un utility che ti permette di migrare la tua home su una home crittografata... mi pare migrate-home-ecrypt, qualcosa del genere. Aspetta che ti trovo un link senza che debba riscrivere tutto da capo.

questo potrebbe essere un buon punto di partenza per migrare la home, in una home cifrata: https://www.howtogeek.com/116032/how-to-encrypt-your-home-folder-after-installing-ubuntu/

Q:
Gabo, un dubbio: se ho la home cifrata, quando accedo viene decifrata e montata al logon e smontata al logoff; se invece ho tutte la partizione del so cifrata, viene decifrata in tempo reale ?

R:
In realtà in entrambi i casi i Cipher lavorano in tempo reale. La differenza sta solo nel fatto che per la home cifrata, una volta che fai il logoff, il filesystem crittografato si smonta (o almeno dovrebbe!), mentre per per il s.o. cifrato, il filesystem rimane visibile e utilizzabile fino allo shutdown o il riavvio.

non sono sicuro che anche la partizione home venga decifrata in tempo reale in quanto se ci fai caso, viene monatata al login dell'utente (ed è per questo che altri utenti sulla macchina possono avere accesso a tutti i dati, se hanno i permessi idonei).
Non ho mai provato la cifratura di tutto il filesystem, come prestazioni mi aspetterei che venga decifrata e montata al boot, ma non avendolo mai visto non sono certo.
In tempo reale io intendo all'accesso del file.

Scusami, ma quando hai il mount attivo della tua partizione montata, e scrivi un file nella tua home, che tu "vedi" in chiaro, chi credi che esegua la cifratura sul file fisico nella partizione su cui opera il mount (anzi il fusermount, dato che in questo caso ecryptfs usa fuse)?
Certo che avviene in tempo reale, ma a te è completamente trasparente.

Spero di aver copiato tutto bene e non aver fatto casino!

Ivan

Follow-Ups:
- Re: [riminilug-general] Criptare partizioni e files con Luks
  - From: foss
- Re: [riminilug-general] Criptare partizioni e files con Luks
  - From: Gabriele Zappi

Prev by Date: [riminilug-general] Domani martedì 16 gennaio 2018, ore 21: prima lezione su privacy, sicurezza informatica ed altro
Next by Date: Re: [riminilug-general] Criptare partizioni e files con Luks
Previous by thread: [riminilug-general] Domani martedì 16 gennaio 2018, ore 21: prima lezione su privacy, sicurezza informatica ed altro
Next by thread: Re: [riminilug-general] Criptare partizioni e files con Luks
Index(es):
- Date
- Thread