LinuxMint.com.ru

я тут поломал систему с экспериментами, завтра (а уже сегодня) выводы напишу..

sasha300 писал(а): ↑

29 окт 2023, 01:07

я тут поломал систему

Это хороший признак...

rogoznik писал(а): ↑

28 окт 2023, 17:26

sasha300 писал(а): ↑
Вчера, 08:58
через visudo даю пользователю admin доступ к sudo

На самом деле эксперименты шли не с учетками: user и admin, а с user1 и user2. Учетку admin создать не удалось. Это к тому, почему мне пришлось использовать visudo.

На ноуте для тестов доигрался до того, что при входе, отображалась только одна учетка, а поле для ввода пароля не было. При нажатии на enter опять появлялось это окно и так циклично. Но это была финальная стадия экспериментов, поэтому выводы были уже сделаны:

• пароль на GRUB не ставлю. И дело даже не в том, что он легко обходится, а в том, что соотношение удобство/зашита должно быть сбалансированным

• пользователю установлен простейший пароль, домашняя директория не зашифрована

• на жестком дистке выделяется 20-30 ГБ. под раздел. Сам раздел в формате ext4, с помощью VeraCrypt создаю дисковый зашифрованный том, туда размещаю программы, содержащие личные данные, назовем их "приватные программы". Проги в формате appimage

• ssh ключи имеют парольную защиту и находятся по дефолтному пути

Что получаю:

• приватные программы находяться в контейнере, скрыты от посторонних глаз

• нет мазохизма с вводом сложного пароля. Я любитель экспериментировать и часто работаю с командами, требующих sudo привилегий

Недостатки:

• если потребуется запустить хоть одну приватную программу, то придется подключать контейнер, вводя сложный пароль.

На мой взгляд это лучше, чем ставить на аккаунт сложный пароль.

sasha300 писал(а): ↑

29 окт 2023, 23:11

на жестком дистке выделяется 20-30 ГБ. под раздел. Сам раздел в формате ext4, с помощью VeraCrypt создаю дисковый зашифрованный том

А почему выбран именно том, а не файловый?

Dja писал(а): ↑

30 окт 2023, 08:54

файловый

Файловый том имеет ряд недостатков:
- можно ненароком удалить
- он виден; даже если файл скрыть, то при беглом просмотре возникает резонный вопрос: что за файл, который весит 20-30 ГБ.?

sasha300 писал(а): ↑

30 окт 2023, 09:27

он виден; даже если файл скрыть, то при беглом просмотре возникает резонный вопрос: что за файл, который весит 20-30 ГБ.?

Действительно. Раздел же невидимый - его никто не видит, и ни у кого не возникает вопрос - а что это за раздел.

rogoznik писал(а): ↑

30 окт 2023, 10:12

ни у кого не возникает вопрос - а что это за раздел.

я про то, что он скрыт, понятное дело, что при изучении может возникнуть такой вопрос. Но вдруг, к примеру, не правильно был разбит диск.
ИМХО дисковый контейнер лучше, чем файловый

sasha300 писал(а): ↑

30 окт 2023, 11:05

я про то, что он скрыт

Где? Как? От кого? Чем он "невидимее" чем скрытый файл?

rogoznik писал(а): ↑

30 окт 2023, 11:11

sasha300 писал(а): ↑

30 окт 2023, 11:05

я про то, что он скрыт

Где? Как? От кого? Чем он "невидимее" чем скрытый файл?

Ну скрытый файл легко отображается в том же Thunar нажатием Ctrl+H. А вот раздел для VeraCrypt не будет виден в том же Thunar, пока его не примонтируешь.
Речь не о том, что его данный раздел можно легко обнаружить с помощью того же Gparted, а в том, что не примонтированный раздел менее заметен, нежели скрытый файл на 20-30 гигабайт.

sasha300, а ты данные от кого прячешь? От домохозяйки или от человека, который целенаправленно ищет информацию на твоем ноуте?
Если первое - то все твои телодвижения нафиг не нужны.
Если второе - хоть раздел, хоть скрытый файл будут найдены в течении минуты после запуска ноута.

sasha300 писал(а): ↑

30 окт 2023, 21:13

нежели скрытый файл

Я вот создаю нескрытые

rogoznik писал(а): ↑

31 окт 2023, 08:22

а ты данные от кого прячешь? От домохозяйки

Просто файл можно по запаре удалить, а раздел нет.

rogoznik писал(а): ↑

31 окт 2023, 08:22

от человека, который целенаправленно ищет информацию

При таком раскладе инфа не должна храниться на компе от слова совсем. Невозможно взломать то, чего нет.
Ноут должен выступать как клиент, а вся инфа на выделенном (а не на виртуальном) VDS, причем в другой стране, а связь с этим сервером через приватный vpn. А там как раз должен быть сложный пароль, зашифрованная домашняя директория, подключена двух-трехфакторная авторизация, причем без задействования номера мобильного телефона, но это совсем другая история..