El Tuesday 08 January 2008, Carlos E. R. escribió:
Content-ID:
El 2008-01-08 a las 11:43 -0000, Doctor Nemo escribió:
No, no, eso no es cierto, puedes encriptar todo: hasta la swap. Para mí eso no tiene sentido y es peligroso, en caso de problemas de disco: y yo soy muy paranoico en eso >:-)
¿Y cómo se hace para cifrar el root? Yo intenté poner una partición BOOT sin cifrar y el resto cifrado y me dijo que no se podía, aunque no recuerdo si fue en la anterior versión (10.2)
No se si se puede hacer con el yast, pero creo que sí. Antes había que hacerlo manualmente.
Mira aquí:
http://en.opensuse.org/Encrypted_Root_File_System_with_SUSE_HOWTO
Hay que hacerlo a mano y es un rollo, necesitas un LiveCD o una llave USB ¿No comprendo por qué no se podría hacer desde el YAST si se puede hacer con la partición HOME y otras?
Los problemas en disco te pueden aparecer tanto si la tienes cifrada como si no; lo que sí debería de haber es un sistema para restaurar la partición BOOT.
Un problema de sistema de ficheros roto cuando encima hay una capa de encriptado puede ser terrible. Si las tablas de inodos también se encriptan, y el desencriptado falla.... no quiero ni pensarlo. Las herramientas que tratan de "adivinar" cosas para reprarlas, fallarían, porque no podrán reconocer los patrones de bits. No encontrarían los inodos, por ejemplo, o las listas de ficheros.
De acuerdo, pero en un ordenador portátil es muy bueno tener todo cifrado, a pesar de que pueda haber un problema de disco. Si hay algún problema y tienes copia de seguridad sólo tienes que reinstalar el sistema. Es más complicado cuando tienes un servidor porque mientras estaría el servidor sin funcionar.
Yo sólo encriptaría ciertas zonas: home, temp, y quizás /var/spool. El sistema lo prefiero normal, porque no le veo sentido a encriptar los programas que de todas formas están en el DVD bajable de internet.
De acuerdo, los TEMP, SWAP, LOGS, Cachés,etc. Pero para no ir picando de un sitio y de otro es más fácil cifrarlo todo.
Más simple de hacer, quizás.
Más simple sí que es, sobre todo para los principiantes. Se podría poner opcional y así el que quisiera lo cifraría y el que no pues no lo haría.
Además, piensa que incluso con root encriptado te pueden hacer una trastada: lo machacan con un sistema limpio sin encriptar, y cuando tu arrancas no te das cuenta, y el sistema troyano te lee home (que ya está descifrado por tí) y lo envía via satélite a los malos malosos :-P
Pero eso ya sería mucho trabajo, además de que tienes que descifrar también la partición root y te darías cuenta de que no has metido la "frase de paso", ellos podrán meter un sistema sin cifrar, pero no pueden saber tu "frase de paso" y ahí es donde te darías cuenta de que hay algo raro.
No, el ataque consiste en reemplazar el sistema por otro que aparente igual, incluso pidiendo la contraseña. En el momento que se la das, la transmite, y como los malos clonaron tus particiones, ya pueden descifrar su copia. >:-)
Dudo mucho que se lleven ni siquiera los 110 GB de la partición HOME sin darme cuenta. La cuestión es ponérselo lo más difícil posible.
No existe ningún sistema seguro al cien por cien, pero siempre se les puede poner lo más difícil posible. Es como cuando pones una puerta blindada en tu casa, pueden abrirla los cacos, pero si al lado hay una puerta que no sea blindada, ¿para qué van a perder mucho tiempo con la tuya si las de tus vecinos son más fáciles de abrir?
Claro.
Pero yo me limito a encriptar una partición de datos, donde tengo cuidado de guardar las cosas "delicadas". Además, es un fijo, no un portatil.
Pero si estás trabajando con los ficheros eso no sirve para mucho, y siempre puede quedar algún fichero temporal accesible.
Si eres tan paranoico, explora la preteción hardware del fabricante de discos duros, que existe. Pero ojito, que avisan que es peligrosa. Lo tienes en hdparm.
Mi ordenador portátil tiene varios sistemas de seguridad, pero no sé cómo activarlos desde Linux. Tiene un TPM, una cosa que se llama DriverLock o DiscLock o algo parecido (Te bloquea el disco por hardware) , y varias cosas más en la BIOS; desde Windows existen programas para utilizar este hardware, pero desde Linux ni idea. Es un HP Compaq nx9420.
man hdparm:
Demasiadas cosas experimentales, no suelen funcionar muy bien. -- Saludos. OBERON 2.6.22.13-0.3-bigsmp i686 GNU/Linux #1 SMP 2007/11/19 15:02:58 UTC