-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
No, no, eso no es cierto, puedes encriptar todo: hasta la swap. Para mí eso no tiene sentido y es peligroso, en caso de problemas de disco: y yo soy muy paranoico en eso >:-)
¿Y cómo se hace para cifrar el root? Yo intenté poner una partición BOOT sin cifrar y el resto cifrado y me dijo que no se podía, aunque no recuerdo si fue en la anterior versión (10.2)
No se si se puede hacer con el yast, pero creo que sí. Antes había que hacerlo manualmente. Mira aquí: http://en.opensuse.org/Encrypted_Root_File_System_with_SUSE_HOWTO
Los problemas en disco te pueden aparecer tanto si la tienes cifrada como si no; lo que sí debería de haber es un sistema para restaurar la partición BOOT.
Un problema de sistema de ficheros roto cuando encima hay una capa de encriptado puede ser terrible. Si las tablas de inodos también se encriptan, y el desencriptado falla.... no quiero ni pensarlo. Las herramientas que tratan de "adivinar" cosas para reprarlas, fallarían, porque no podrán reconocer los patrones de bits. No encontrarían los inodos, por ejemplo, o las listas de ficheros.
Yo sólo encriptaría ciertas zonas: home, temp, y quizás /var/spool. El sistema lo prefiero normal, porque no le veo sentido a encriptar los programas que de todas formas están en el DVD bajable de internet.
De acuerdo, los TEMP, SWAP, LOGS, Cachés,etc. Pero para no ir picando de un sitio y de otro es más fácil cifrarlo todo.
Más simple de hacer, quizás.
Además, piensa que incluso con root encriptado te pueden hacer una trastada: lo machacan con un sistema limpio sin encriptar, y cuando tu arrancas no te das cuenta, y el sistema troyano te lee home (que ya está descifrado por tí) y lo envía via satélite a los malos malosos :-P
Pero eso ya sería mucho trabajo, además de que tienes que descifrar también la partición root y te darías cuenta de que no has metido la "frase de paso", ellos podrán meter un sistema sin cifrar, pero no pueden saber tu "frase de paso" y ahí es donde te darías cuenta de que hay algo raro.
No, el ataque consiste en reemplazar el sistema por otro que aparente igual, incluso pidiendo la contraseña. En el momento que se la das, la transmite, y como los malos clonaron tus particiones, ya pueden descifrar su copia. >:-)
No existe ningún sistema seguro al cien por cien, pero siempre se les puede poner lo más difícil posible. Es como cuando pones una puerta blindada en tu casa, pueden abrirla los cacos, pero si al lado hay una puerta que no sea blindada, ¿para qué van a perder mucho tiempo con la tuya si las de tus vecinos son más fáciles de abrir?
Claro. Pero yo me limito a encriptar una partición de datos, donde tengo cuidado de guardar las cosas "delicadas". Además, es un fijo, no un portatil.
Si eres tan paranoico, explora la preteción hardware del fabricante de discos duros, que existe. Pero ojito, que avisan que es peligrosa. Lo tienes en hdparm.
Mi ordenador portátil tiene varios sistemas de seguridad, pero no sé cómo activarlos desde Linux. Tiene un TPM, una cosa que se llama DriverLock o DiscLock o algo parecido (Te bloquea el disco por hardware) , y varias cosas más en la BIOS; desde Windows existen programas para utilizar este hardware, pero desde Linux ni idea. Es un HP Compaq nx9420.
man hdparm: --security-freeze Freeze the drive´s security settings. The drive does not accept any security commands until next power-on reset. Use this function in combination with --security-unlock to protect drive from any attempt to set a new password. Can be used stan‐ dalone, too. --security-unlock PWD Unlock the drive, using password PWD. Password is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch. THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-set-pass PWD Lock the drive, using password PWD (Set Password) (DANGEROUS). Password is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch and the applicable secu‐ rity mode with the --security-mode switch. THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-disable PWD Disable drive locking, using password PWD. Pass‐ word is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch. THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-erase PWD Erase (locked) drive, using password PWD (DANGER‐ OUS). Password is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch. THIS FEATURE IS EXPERIMEN‐ TAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-erase-enhanced PWD Enhanced erase (locked) drive, using password PWD (DANGEROUS). Password is given as an ASCII string and is padded with NULs to reach 32 bytes. The applicable drive password is selected with the --user-master switch. THIS FEATURE IS EXPER‐ IMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --user-master USER Specifies which password (user/master) to select. Defaults to master. Only useful in combination with --security-unlock, --security-set-pass, --security-disable, --security-erase or --secu‐ rity-erase-enhanced. u user password m master password THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. --security-mode MODE Specifies which security mode (high/maximum) to set. Defaults to high. Only useful in combina‐ tion with --security-set-pass. h high security m maximum security THIS FEATURE IS EXPERIMENTAL AND NOT WELL TESTED. USE AT YOUR OWN RISK. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHg30GtTMYHG2NR9URAlMMAJ9onTOV9q492o8i0uMDkZxTBMnQVwCcD4v/ TKUJOltnUIziE5+1pYmA1ak= =R+jN -----END PGP SIGNATURE-----