LinuxMint.com.ru

Dja писал(а): ↑

23 окт 2023, 14:50

sasha300, я прост пользуюсь верой Но у меня кейсы.
С томами думаю будет аналогично
2023-10-23_14-49.png

Только сейчас дошел первый посыл - а действительно, если домашняя директория, допустим "user", будет зашифрована с помощью VeraCrypt, то как система поймет, что при загрузке надо подождать и только тогда, после монтирования директории, брать конфиги?
Пойду-ка я изучать про пароль на GRUB..

sasha300 писал(а): ↑

23 окт 2023, 14:35

Нее, два пользователя - усложнение процесса, придерживаюсь правила Макилроя (Философия Unix):

Ну вообще, разделение пользователей это нормальная практика и ни разу не усложнение. И при чем тут эти правила
А вот шифрование это усложнение себе жизни в случае чего

sasha300, Как всегда - неправильная постановка задачи тянет за собой попытки решать ее непредусмотренными биологией средствами.

1. Никакой пароль (простой или сложный) пользователя, обычного или root, сам по себе не является защитой информации на "ушедшем" носителе. Т.е. если ноут сопрут - что есть эти пароли, что нет - никакой разницы. Вообще никакой - достаточно загрузится с live и сбросить, причем доступ то уже есть - даже без этого. Или можно даже запустить систему в монопольном режиме через командную строку grub во время загрузки. Пароль пользователя - это про удаленный доступ и разграничение прав в уже работающей системе. А не когда есть физический доступ к железу.

2. Если нужно защищать только ключи SSH - пароль можно поставить непосредственно на сам ключ.

3. Если на диске и другая ценная информация, которая не должна попасть в чужие руки ни при каких обстоятельствах - решением может быть только шифрование.

sasha300 писал(а): ↑

23 окт 2023, 15:03

Пойду-ка я изучать про пароль на GRUB..

Практически бессмысленно. Это "крючочек на калитке" который можно даже снаружи открыть если руку протянуть.
Просто не дает систему грузить полному чайнику. Котрый даже Live загрузить с флешки не умеет.

slant писал(а): ↑

23 окт 2023, 16:13

Т.е. если ноут сопрут - что есть эти пароли, что нет - никакой разницы.

Ну там еще Joplin + Simplenote, вобщем понятно, разворачиваюсь в другом направлении..

slant писал(а): ↑

23 окт 2023, 16:13

Практически бессмысленно. Это "крючочек на калитке" который можно даже снаружи открыть если руку протянуть

Блин, ну тогда VeraCrypt (не понятен результат, надо тестить), либо юзать LUKS с переустановкой системы.
Вобщем вывод из данного трабла - впредь, на ноутбуки, которые часто идут за пределы квартиры, надо ставить систему с шифрованием домашней директории

sasha300 писал(а): ↑

23 окт 2023, 16:46

надо ставить систему с шифрованием

Надо носить во внутреннем кармане компактный внешний диск с системой .

а можно создать кейс, запихнуть ключи в него и его уже зашифровать верой (создать, зашифровать, смонтировать, запихнуть)

symon2014 писал(а): ↑

23 окт 2023, 17:10

sasha300 писал(а): ↑

23 окт 2023, 16:46

надо ставить систему с шифрованием

Надо носить во внутреннем кармане компактный внешний диск с системой .

Вот только не понятно, что делать с этим диском, когда сижу в машине и требуется подрубиться к какому-то серваку.

Dja писал(а): ↑

23 окт 2023, 17:55

а можно создать кейс, запихнуть ключи в него и его уже зашифровать верой

один раз увидел словосочетание "кейс" ладно, думаю, глюк, но сейчас понял, что идет подмена понятий. Том, раздел, контейнер - да, но кейс это малеха не то. Как в мультике: "как вы яхту назовете, так она и поплывет.."

sasha300 писал(а): ↑

23 окт 2023, 21:41

один раз увидел словосочетание "кейс" ладно, думаю, глюк, но сейчас понял, что идет подмена понятий.

В какой-то мере. Тут речь о файле-контейнере - veracrypt для них хорошо подходит, и нет риска так накосячить, как это регулярно случается с желающими зашифровать всю систему или домашний каталог через LUKS.
Т.к. оно от системы получается несколько независимо - то "кейс". В смысле - "чемодан бронированный". Открываешь его только когда содержимое нужно (т.е. монтируешь контейнер через veracrypt), пароль будет отдельный, от пользовательского независимый.

sasha300 писал(а): ↑

23 окт 2023, 21:41

один раз увидел словосочетание "кейс" ладно, думаю, глюк, но сейчас понял, что идет подмена понятий. Том, раздел, контейнер - да, но кейс это малеха не то. Как в мультике: "как вы яхту назовете, так она и поплывет.."

Именно! Ты же ключи хочешь там хранить. Ключ - кей. Ключи - кейс ) Всё логично. Ну а так-то да... контейнер имелось ввиду

Dja писал(а): ↑

24 окт 2023, 09:11

Ключ - кей. Ключи - кейс

Не совсем. Есть ещё case studi , КЕЙС - Небольшой плоский твёрдый чемоданчик для деловых бумаг. Это больше похоже на контейнер

Подытожу вышесказанное:
В идеале, если ноут часто будет вне дома, то в идеале надо шифровать весь диск, еще на этапе установки Linux, штатными средствами операционной системы
В текущем варианте, чтобы не переустанавливать ОС:
- ставим пароль на Grub, но тогда личные записи, в случае кражи ноута, на том же Joplin, будут без защиты
- ставлю VeraCrypt, делаю контейнер (лучше дисковый, нежели файловый) и туда размещаю программы с личнымм данными, включая Firefox.

p.s.: для полного профита советую ознакомиться со статьей на Хабре: Взлом и защита шифрования дисков LUKS

sasha300 писал(а): ↑

25 окт 2023, 10:01

в идеале надо шифровать весь диск, еще на этапе установки Linux, штатными средствами операционной системы

При дальнейшем изучении вопроса, пришел к выводу, что шифрование домашней директории при простом пароле не имеет смысла, а при сложном пароле получаю гемор, так как при каждом sudo придется вводить этот сложнй пароль. Поэтому оставляю все как есть: домашняя директория не зашифрована, испльзуется простой пароль, НО:
- установливаю пароль на Grub. При утери ноута, получаю 2-3 часа форы
- в наличии дисковый контейнер VeraCrypt с нормальным паролем и туда размещаю ssh ключи, Telegram, Joplin и прочие приложения, содержащие личную информацию.
Профит!

sasha300, а по мне именно этот ответ является решением на вопрос в топике )

В чем проблема при запросе повышения привилегий вводить сложный пароль?
Эти действия нужны очень редко - обычно для обновлений и настройки системы.
Если ты постоянно что-то делаешь с повышением привилегий - ты явно что-то делаешь неправильно

Dja писал(а): ↑

27 окт 2023, 10:05

а по мне именно этот ответ является решением на вопрос в топике )

Чтобы не прыгать со второй страницы на первую, приведу ответ тут:

rogoznik писал(а): ↑

23 окт 2023, 14:03

Так и сделай.
Обычный пользователь, который не может sudo - задай ему сложный пароль.
Пользователь админ, который может sudo - задай ему пароль 1.

И пусть ssh-ключи лежат у обычного пользователя в хомяке. А при необходимости выполнения действий с повышением привилегий будет запрашиваться пароль пользователя-админа

Еще раз внимательно изучил ответ от ув. rogoznik, но у меня не складывается пазл. Позвольте обьясню, что пошло не так:
- помимо пользователя root, есть два обычных пользователя, допустим user и admin. User имеет сложный пароль, admin - простой, доп.
- через visudo даю пользователю admin доступ к sudo

Захожу в систему под пользователем user, вбиваю сложный пароль, ок, я зашел в систему.
И вдруг приспичило сделать бекап с помощью TimeShift, приложение должно запускаться с root правами.
Запускаю TimeShift и тут я ушел в ступор - приложение просит меня ввести парот от admin.
user не имеет sudo, поэтому Linux просит авторизацию от пользователя с правами рут.
Но почему от admin, а не от root?

sasha300, Создай второго пользователя с кастрированными правами.

sasha300 писал(а): ↑

28 окт 2023, 08:58

Но почему от admin, а не от root?

Патамушта. В убунту и минте по умолчанию root заблокирован. Главнюком в системе считается пользователь указанный при установке системы. Продолжайте заниматься мазохизмом далее. Это познавательно и пригодится для опыта.

sasha300 писал(а): ↑

28 окт 2023, 08:58

Запускаю TimeShift и тут я ушел в ступор - приложение просит меня ввести парот от admin.
user не имеет sudo, поэтому Linux просит авторизацию от пользователя с правами рут.
Но почему от admin, а не от root?

Потому что пользователь root по умолчанию заблокирован. Если ты его разблокировал - ССЗБ.
Пользователь созданный при установке владеет возможностью повышения привилегий, т.е. в твоем понимании admin. Этот пользователь находится в группе adm(вроде так называется группа в Ubuntu и производных) - это и позволяет использовать механизм повышения привилегий.

sasha300 писал(а): ↑

28 окт 2023, 08:58

через visudo даю пользователю admin доступ к sudo

Достаточно чтоб находился в группе adm(вроде так называется группа в Ubuntu и производных)

sasha300 писал(а): ↑

27 окт 2023, 09:08

- установливаю пароль на Grub. При утери ноута, получаю 2-3 часа форы

Гарантированной - не более 5 минут. Попытаться включить, увидеть запрос, и воткнуть вместо этого флешку с live. С учетеом того что гоится ЛЮБОЙ live дистрибутив линукса - это не такая редкость - наличие готовой флешки.
От пароля на BIOS/EFI и то больше толку будет (там хоть диск доставать придется или сбрасывать прошивку в дефолт - все разбора ноута требует).

symon2014 писал(а): ↑

28 окт 2023, 09:13

Главнюком в системе считается пользователь указанный при установке системы.

Не совсем правильно. Таковым(и) считаются пользователи из группы adm (первый пользователь при установке просто добавляется в нее автоматически), как rogoznik, говорит.
Если у текущего пользователя нет прав для повышения привилегий запрос будет о пароле того пользователя у которого такие права есть. А если их несколько - даст выбрать из списка.

Разблокировка root (установкой на него пароля) эту систему ломает.
А учетная запись где пароля нет = запрет интерактивного входа этого пользователя. Потому на системах с подобной схемой безопасности, у root пароль не установлен. Это не дает зайти от его имени - можно только поднять привилегии через sudo.
Почему вообще так сделано? Потому, что root - он один. И пароль у него тоже может быть только один. А вот админов (людей) может быть много. И иметь один пароль на всех - фигня с точки зрения безопасности. А так - у каждого админа свой собственный пароль.