перекат поста https://2ch.hk/t/res/754440.htmlпоможите, кто чем может
>>1658005 (OP)Полное шифрование системы подразумевается линукс , никакой проприетарки+ i2p./тред
Диски полностью забиваю рандомом, поверх делаю LUKS-контейнер с хидером в отдельном файле, чтобы невозможно было понять, чем зашифрован диск. Внутри контейнера делаю LVM-разделы, на них ставлю систему.Собираю кастомное ядро с поддержкой только нужного оборудования, на его базе делаю минимальный initramfs c busybox, lvm, dm-crypt, dropbear. Вес ядра + initramfs получается в районе 5МБ.Настраиваю машину на загрузку по сети, во время перезагрузки делаю туннель к мвршрутизатору, на котором стоит TFTP-сервер и отдаю нужной машине со своего ноута ядро + initramfs. Загружается мой самопальный initrd, на нем поднимается SSH-сервак. Захожу на этот сервак, кидаю в tmpfs хидер от LUKS-контейнера, через ssh-pipe передаю ключ для расшифровки контейнера. После расшифровки монтирую LVM-раздел скорнем и гружусь с него. Profit.Получается удаленный сервак с полностью зашифрованным диском, который можно удаленно ребутить в случае необходимости. Если маски-шоу выносят оборудование из серверной, то у них нет ни ключей, ни ядра, ни хидеров, нихуя. Просто диски, на которых каша из /dev/urandom. Все.
>>1658005 (OP)OpenBSD/Hardened Gentoo.
>>1658101Можно юзать plain dm-crypt без LUKS для deniable encryption, тащем-та.
>>1658104Платиновый вопрос:Что из тобой предложенного требуют меньше ебли с консолечкой?
>>1658101>у них нет ни ключей, ни ядра, ни хидеров Но ведь и ключ, и хидер есть в оперативной памяти. Если не баки, то они их найдут, и тогда sosnooley.
>>1658104Hardened gentoo, само собой. Забыл написать.>>1658107Оно и так deniable, почитай внимательней. LUKS-header не хранится на самих дисках.
>>1658122Сперма.
>>1658130Я понял же, что deniable, потому и написал, как сделать это проще, не оставляя лишнего компромата в виде хидера где-либо.
>>1658136
>>1658005 (OP)Что за контора?
>>1658125Ты видел дуболомов, которые этим занимаются? Первое, что они сделают -- отключат сервера от розетки.Если за тебя решат взяться серьезные люди, то такой детский сад не поможет, само собой. Они могут и свое модифицированное ядро подсунуть при загрузке сервака, а ты туда залогинишься и сам сольешь ключ и хидер. Так даже проще. Поэтому надо использовать secure boot.
>>1658122OpenBSD, правда ее использование подразумевает чтение официальной документации, step-to-step-how-to-for-dcp-autists ты можешь и не найти.
>>1658154>отключат сервера от розеткиОхлаждая планки памяти жидким азотом.
>>1658101половины слов не понял, но скинь конфиг
>>1658162Вряд-ли он скинет свой конфиг, у него все самописное. Лучше возьми в руки поисковик и вбивай все непонятные тебе слова и вникай, может научишься чему дельному. А если не осилишь, тогда оно тебе нахуй не надо, поверь.
>>1658282s/SELinux/grsecurity/Анбшные зонды не нужны!
>>1658101>стоит TFTP-сервер и отдаю нужной машине со своего ноута ядро + initramfsПочему бы не поставить iPXE, который по https загрузит в рамдиск уже готовую ос со всеми ключами. Включил vps, загрузил сервер, выключил vps. Все.
>>1658282Смотри-ка, другой вариант пасты, но на схожую тему. Сохранил.-Завтра ищешь в интернете документ Bitcoin: A Peer-to-Peer Electronic Cash System. Похуй если ничего не поймешь. Затем идешь на https://github.com/bitcoin/bitcoin и изучаешь код от корки до корки. Потом зубришь, именно, сука, вызубриваешь всю матчасть по асимметричному шифрованию, чтобы от зубов отскакивало. Когда сделаешь свой первый говнофорк, по пути изучив C++, скачиваешь и изучаешь любую PoS-монету, рекомендую PeerCoin или NovaCoin. Как переделаешь говно, чтобы работало на чистом PoS, можешь идти дальше — тебя ждет увлекательный мир хакерства. Бекдоры в бинарниках, 51%, нетворк-сплит. Отсос хиккующих выблядков / просто неудачников типа 360-куна или трейдеро/майнеро-хуесосов, которые сосут хуй по жизни не заставит себя ждать и уже через пол года ты будешь получать такие суммы, что любая баба будет течь при одном упоминании твоих заработков.
Прошу пардону, ходил на зутопию.>>1658159>Охлаждая планки памяти жидким азотом.Планки они будут охлаждать разве что своими студеными былинами о том, что ордер не нужен, а если будешь рыпаться -- получишь двушечку.>>1658287Grsecurity <> SELinux. Grsecurity + Tomoyo в качестве MAC тогда уж.>>1658400А iPXE разве умеет HTTPS с сертификатами и всей фигней? Когда я смотрел последний раз, вроде не умел. Кроме того, у меня к каждому из боевых серверов был прицеплен своеобразный watchdog (копеечный китайский USB роутер, прошитый OpenWRT), который смотрел в отдельный сетевой интерфейс на серваке и заодно мог "нажимать" на машинах power & reset. А раз уж он уже есть, логично с него и грузиться, а интерфейс, смотрящий наружу, для этого вообще не использовать.>>1658176>>1658162Конфиги мои ничем не помогут, там все очень специфично. Но я давно подумываю расписать это решение по шагам, чтобы кто угодно на коленке мог за один вечер повторить. Наш ответ ЧемберленуМразулиной, так сказать.
>>1658454>Grsecurity <> SELinux. Grsecurity + Tomoyo в качестве MAC тогда уж.Grsecurity RBAC, не?
>>1658436>по пути изучив C++Проиграл с самого небезопасного языка.
просто оставлю это здесь.
>>1658590Да, да, а еще мы все когда-нибудь умрем, значит, заботиться об информационной безопасности, да и вообще жить, бессмысленно.
>>1658558Проиграл с перданувшего в лужу.
>>1658600Обоснуй, епт.
>>1658598Нет, просто информационная безопасность должна быть адекватной.
>>1658612>предлагает обосновать отсутствие
>>1658556Да, забыл про него совсем.
>>1658628Некорректность поста про небезопасность крестопараши обоснуй.>>1658627Вот именно. Поэтому, не шифруя жесткий диск, руководствуясь неустойчивостью любого криптоалгоритма к паяльнику, ты рискуешь утечкой данных, в случае, если этот самый ноут у тебя банально спиздят.
>>1658454 iPXE умеет http://ipxe.org/crypto>А раз уж он уже есть, логично с него и грузиться, а интерфейс, смотрящий наружу, для этого вообще не использовать.Веб сервер можно и на ноутбуке поднять. Вопрос лишь в том, что это в сотню раз удобнее, а безопасность та же.
>>1658612Что обосновать? Ты перданул в лужу, что здесь обосновывать? Это ты должен подкреплять свой пердёж аргументами, если хочешь, чтобы он перестал быть пердежом.
Пизда тут советов! Только интересно, как они спасут от паяльника в жопе? Мое решение, тащемта - весь стораж - все харды должны быть упакованы в уничтожители электромагнитные. Только так инфы не найдут даже расовав паяльники по всем вам и вашим мамкам. И бекап кстати тоже должен быть в уничтожителе.
>>1658720>И бекап кстати тоже должен быть в уничтожителе.Не в уничтожителе, а зашифрован. Ключ шифрования разделён между доверенными личностями, проинструктированными выдавать тебе свои части только после того, как убедятся, что тебе ничего не угрожает.
>>1658652У меня на ноутбуке нет данных, хранимых в открытом виде, утечка которых мне будет грозить чем-либо. Если у тебя они есть, ничего не мешает тебе сделать $chown -R root $chmod 700 или например просто шифровать без заебствований с хедерами в отдельных файлах и всей прочей хуйней описаной выше.
>>1658701Я тебе ничего не должен. Ты предъявляешь -- ты обосновываешь.>>1658753>Если у тебя они есть, ничего не мешает тебе сделать $chown -R root $chmod 700Толсто.>$Уже потоньше.
>>1658731А если всем доверенным тоже присунут паяльника?
>>1658790> Ты предъявляешь -- ты обосновываешь.Всё верно. Ты предъявил, что C++ это самый небезопасный язык — ты обосновываешь.Впрочем, ты мне ничего не должен, можешь оставаться безпруфным обоссанцем.>>1658798Тогда тебе пизда. Но ты же достаточно умён, чтобы выбрать доверенных лиц вне досягаемости присовывателей паяльника, правда?
>>1658810>ты же достаточно умён, чтобы выбрать доверенных лиц вне досягаемости присовывателей паяльникаЯ хуй знает, какой длины паяльник, это не было определено в оп-посте. Поэтому рассчитываю на длину паяльника, равную бесконечности.
>>1658810Не самый. На уровне с C. Пруфы небезопасности C тебе тоже нужны? Ок, заходишь на http://cvedetails.com, ищешь по категории "overflow". В C++ ничто не ограничивает от написания C-стайл кода со всеми вытекающими. Да, асм не язык программирования.
>>1658849>заходишь на http://cvedetails.com, ищешь по категории "overflow"Что-то я не заметил там фильтрации по языку программирования. И тем более, сравнения разных языков программирования.
>>1658900А вот маняврирования начались. Читать умеешь?>ищешь по категории "overflow"И смотришь, в каких приложениях найдены уязвимости и на чем они написаны. На самом деле, если бы ты писал на крестах что-то длиннее cout << "yoba" << endl, тебе не нужны были бы пруфы их "небезопасности".
Ебать вы поехавшие шизики , вам обычного шифрования не хватает с файл ключом? Удаляете файл, восстановить никто не сможет. Ну или на отдельной SD карте этот файл хранить, в случае чего сожрать её.
>>1658926>>1658720Это вот суда, а ваши супер хитрые методы идут нахуй.
>>1658790>толстоА что не так?
>>1658933Толсто, написал же.
>>1658950в чем толстота?
>>1658957>$chown -R root $chmod 700А вот представь, что ты за минуту до кражи ноута сделал sudo apt-get upgrade. Хакер может сделать sudo su и получить доступ ко всей папке, даже не зная пароля!
>>1658967>sudo su
>>1658101А теперь дружище, не мог бы ты подкинуть годной литературы по этой теме. Я просто составляю список годноты, чтобы организовать подразделение кулхацкеров-борцов с системой.
>>1659066Что не так, манюнь?SU(1) User Commands SU(1)NAME su - change user ID or become superuserSYNOPSIS su [options] [username]DESCRIPTION The su command is used to become another user during a login session. Invoked without a username, su defaults to becoming the superuser. The optional argument - may be used to provide an environment similar to what the user would expect had the user logged in directly.SUDO(8) Gentoo System Manager's Manual SUDO(8)NAME sudo, sudoedit — execute a command as another userSYNOPSIS sudo -h | -K | -k | -V sudo -v [-AknS] [-a type] [-g group] [-h host] [-p prompt] [-u user] sudo -l [-AknS] [-a type] [-g group] [-h host] [-p prompt] [-U user] [-u user] [command] sudo [-AbEHnPS] [-a type] [-C num] [-c class] [-g group] [-h host] [-p prompt] [-r role] [-t type] [-u user] [VAR=value] [-i | -s] [command] sudoedit [-AknS] [-a type] [-C num] [-c class] [-g group] [-h host] [-p prompt] [-u user] file ...DESCRIPTION sudo allows a permitted user to execute a command as the superuser or another user, as spec‐ ified by the security policy. The invoking user's real (not effective) user ID is used to determine the user name with which to query the security policy.
>>1658913>смотришь, в каких приложениях найдены уязвимости и на чем они написаныОпять предлагаешь делать твою работу? Сам сказал:>Ты предъявляешь -- ты обосновываешь.— вот иди теперь, смотри приложения, составляй статистику, потом тащи её сюда, а мы посмотрим.>если бы ты писал на крестахДа я может вообще ни одной программы в жизни не написал и компьютера у меня нет, на твой самоотсос это не влияет.
>>1659299Есть же специальный ключ, sudo -i.>-i, --login: Run the shell specified by the target user's password database entry as a login shell.
>>1658454>ходил на зутопиюОдин или как? Что в итоге получил, понравилось?
>>1658967Так и представляю, как решивший украсть мой ноут гопник сидит и высматривает в бинокль, когда же я сделаю судо. что мешает настроить sudoers?
>>1658690Интересно, не знал, что iPXE умеет в сертификаты. Пока вижу проблему в том, что чуваки, вынесшие оборудование, получают сертификат и private key машины и смогут авторизоваться и стянуть твое ядро и initrd, если web-сервер будет всегда включен. Правда, это им не много даст. Разве что прямое доказательство того, что ты там что-то шифруешь. Ну и watchdog все равно будет нужен, чтобы аппаратно ребутнуть машину в случае чего.>>1659356Один, в зале кроме меня было человек 5 еще. Замечательный мульт, от этих ребят было бы странным ожидать чего-либо другого. На моменте "ты приходишь ко мне в дом в день свадьбы моей дочери" чуть не взоржал на весь зал.
