[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[riminilug-general] Criptare partizioni e files con Luks



Ciao a tutti,

nel canale Telegram dell'associazione sono stati scambiati alcuni messaggi a commento della serata dell'altra sera tenuta da Gabriele Zappi e riguardante privacy e sicurezza, oltre i meritati complimenti ;)

Qui link alle note del presidente sulla serata:

http://www.riminilug.it/prima-serata-su-privacy-e-sicurezza-informatica/

Il fondo a quella pagina troverete anche il link per scaricare l'esito degli esami del presidente, visto che i partecipanti alla serata non possono rimanere con il dubbio :)


A beneficio di tutti riassumo qui i punti salienti delle note e vi invito a partecipare alla discussione in questa ML, in cui è più semplice tenere ordinate le discussioni :)


Q:
Abbiamo visto che la password di root la posso resettare se non proteggo bios e GRUB.
Ma se (sfiga.... ma tanto capita) mi dimentico la password del bios o del GRUB ci sono modi per resettarla ?
Della serie: rischio di rendere effettivamente inutilizzabile un pc?

R:
Se ancora non hai blindato il bios, puoi entrare con una Live e andare a modificare direttaemente il /boot/grub[2]/grub.cfg accedendo direttamente al disco, togliere le voci "set superuser, e password_pbkdf2 ...", riavviare normalmente e rimettere a posto la configurazione del grub a tuo piacimento.

Il comando update-grub da chroot su live non è necessario. Per poter ripartire, basta andare direttamente a modificare il grub.cfg in modo che non ti chieda la password. Poi una volta che sei partito normalmente, puoi andare a modificare /etc/grub.d/40_custom togliendo le voci che si riferiscono alla password (o modificarle per metterne una nuova).  Quindi per consolidare queste modifiche, sì che dovrai fare update-grub (o grub-mkconfig -o /boot/grub/grub.cfg se sei su una distro RedHat-like)

se hai blindato il bios basta che monti il disco su un altro pc

Per la password del bios basta togliere la batteria tampone sulla scheda madre, oppure se provvista il jumper per il reset


Q
se ho installato mint o Ubuntu senza cifrare ne il filesystem ne la cartella home c'è un modo per farlo in un secondo momento? Scusa ma ieri sera non sono riuscito a venire. Ed avrei avuto tanto piacere. E magari condividere la partizione di home tra Ubuntu e mint che sono sullo stesso HD

R
Per quanto riguarda l'encryption di tutto il filesystem, specie se è il filesystem di / è un casino... toccherebbe partire con una live, backuppare il tutto, ricreare il filesystem con luks a mano e ripristinare magari dal backup... detto tra noi, sarebbe meglio reinstallare. Ovviamente il discorso è diverso se hai intenzione di crittografare una filesystem su una partizione secondaria.

Per quanto riguarda la home directory, il discorso è più semplice... una volta che hai installato i pacchetti necessari, sia ubuntu, che mint (e Debian naturalmente) mettono a disposizione un utility che ti permette di migrare la tua home su una home crittografata... mi pare migrate-home-ecrypt, qualcosa del genere. Aspetta che ti trovo un link senza che debba riscrivere tutto da capo.

questo potrebbe essere un buon punto di partenza per migrare la home, in una home cifrata: https://www.howtogeek.com/116032/how-to-encrypt-your-home-folder-after-installing-ubuntu/


Q:
Gabo, un dubbio: se ho la home cifrata, quando accedo viene decifrata e montata al logon e smontata al logoff; se invece ho tutte la partizione del so cifrata, viene decifrata in tempo reale ?

R:
In realtà in entrambi i casi i Cipher lavorano in tempo reale. La differenza sta solo nel fatto che per la home cifrata, una volta che fai il logoff, il filesystem crittografato si smonta (o almeno dovrebbe!), mentre per per il s.o. cifrato, il filesystem rimane visibile e utilizzabile fino allo shutdown o il riavvio.

non sono sicuro che anche la partizione home venga decifrata in tempo reale in quanto se ci fai caso, viene monatata al login dell'utente (ed è per questo che altri utenti sulla macchina possono avere accesso a tutti i dati, se hanno i permessi idonei).
Non ho mai provato la cifratura di tutto il filesystem, come prestazioni mi aspetterei che venga decifrata e montata al boot, ma non avendolo mai visto non sono certo.
In tempo reale io intendo all'accesso del file.

Scusami, ma quando hai il mount attivo della tua partizione montata, e scrivi un file nella tua home, che tu "vedi" in chiaro, chi credi che esegua la cifratura sul file fisico nella partizione su cui opera il mount (anzi il fusermount, dato che in questo caso ecryptfs usa fuse)?
Certo che avviene in tempo reale, ma a te è completamente trasparente.


Spero di aver copiato tutto bene e non aver fatto casino!


Ivan