alla faccia della sicurezza!!

[woddy68]

Ho appena fatto una install pulita di Ubuntu desktop, l'ultima LTS, e nelle "caratteristiche avanzate" di installazione è prevista "LVM with encryption". La crittografia è alla portata anche della sciura Maria (o quasi ). Ok /boot è in chiaro ma con Secure Boot attivo non dovrebbero esserci particolari problemi di "tampering"...

Da quello che ho capito per il bootloader basterebbe utilizzare systemd-boot, ma credo sia ancora considerato sperimentale, ma dovrebbe avere più garanzie di sicurezza da quel che leggo in giro, sopratutto per chi utilizza il sistema crittografato.

systemd-boot ha il supporto a Secure boot? È in grado di aprire un container luks su partizione?

Non lo so...quello che so è che alcune cose sono state aggiunte come estensioni, ad es. il supporto di avvio delle istantanee nel caso si utilizzi Btrfs, ma io mi riferivo alla sicurezza, non sto mettendo a confronto le funzionalità, sicuramente ci sarà ancora lavoro da fare...

(non ho ben capito il senso di questa risposta nel contesto di questa discussione :-S )

Spoiler

Mostra

Per rispondere ...Secure boot si, ha il supporto a secure boot che io sappia...non so se è in grado di aprire un container luks su partizione, non li uso.
Ora è chiaro ?

[Dromji]

Giusto a titolo di curiosità, ho un sistema integralmente cifrato con LUKS e quando inserisco la password il sistema è pronto in meno di 10 secondi. Il pc è reattivo e non si nota mai alcun rallentamento (Intel i5 e disco SSD).

Secondo me dato che oggi si utilizza il computer per operazioni bancarie (talvolta spostando anche centinaia di migliaia di euro) oppure vi si conservano foto e video molto privati (chi non ha dei video erotici sul proprio pc, magari girati in intimità con la propria fidanzata) sarebbe conveniente sempre cifrare l'intero disco e proteggerlo con una password robusta. In questo modo se qualcuno dovesse rubarci il notebook si dormirebbe sereni e tranquilli...

E si, lo ammetto, quando ero un giovane appassionato di informatica mi è capitato di "violare" computer (tipicamente sistemi Windows protetti da password) utilizzando la banale tecnica del "live CD". E conservo tuttora come ricordo dell' impresa foto di amiche (nude, in pose "hard") di cui sono stato ospite e del tutto ignare di cio'....

Quindi per me c'è una sola regola d'oro : quando io non ci sono il mio pc deve essere blindato con LUKS.

[korda]

Secondo me dato che oggi si utilizza il computer per operazioni bancarie (talvolta spostando anche centinaia di migliaia di euro) oppure vi si conservano foto e video molto privati (chi non ha dei video erotici sul proprio pc, magari girati in intimità con la propria fidanzata) sarebbe conveniente sempre cifrare l'intero disco e proteggerlo con una password robusta. In questo modo se qualcuno dovesse rubarci il notebook si dormirebbe sereni e tranquilli...

Invidio tantissimo quegli utilizzatori: dovranno essere la quasi totalità su questo forum e pure là fuori

[noglep100]

Ho appena fatto una install pulita di Ubuntu desktop, l'ultima LTS, e nelle "caratteristiche avanzate" di installazione è prevista "LVM with encryption". La crittografia è alla portata anche della sciura Maria (o quasi ). Ok /boot è in chiaro ma con Secure Boot attivo non dovrebbero esserci particolari problemi di "tampering"...

certo ma il /boot è in chiaro, poi devi cancellare l'intero disco quindi non puoi avere una partizione con dati che vuoi tenere.. inoltre ho notato (magari è capitato solo a me, o magari mi sbaglio ) che nella 24.04 la partizione efi in fstab viene montata con i parametri di default, cioè accessibile in lettura/SCRITTURA da tutti senza digitare sudo...

Edit: per me installazione migliore è: root LUKS con password al grub + partizioni LUKS (/home e swap )separate da montare in automatico con keyfile nella root criptata

systemd-boot supporta root criptate? si, è l'installazione che può essere fatta su arch, solo che il /boot è in chiaro e perdipiù nella efi in fat32 ( cosa che non mi piace affatto)

systemd-boot supporta secureboot? dipende dalla distro non da systemd-boot

[danilo_g]

Ho appena fatto una install pulita di Ubuntu desktop, l'ultima LTS, e nelle "caratteristiche avanzate" di installazione è prevista "LVM with encryption". La crittografia è alla portata anche della sciura Maria (o quasi ). Ok /boot è in chiaro ma con Secure Boot attivo non dovrebbero esserci particolari problemi di "tampering"...

certo ma il /boot è in chiaro, poi devi cancellare l'intero disco quindi non puoi avere una partizione con dati che vuoi tenere..

Non ho capito cosa vuoi dire. La /boot (è una partizione) è in chiaro, come ho scritto anche io. Se c'è il Secure boot abilitato, il sistema dovrebbe essere a riparo da eventuali manomissioni dell'initrd e/o del kernel. Il top sarebbe avere anche /boot criptata ma effettivamente così ti escludi quei bootloader che non sono in grado di aprire il crypto-root-fs (grub2 ci riesce, altri come rEfind o systemd-boot non ci giurerei). Quindi è tutto sommato un buon compromesso (che usa anche Fedora o altri). La partizione dati non serve se c'è un LVM puoi crearti un LV (volume logico) quando ti pare, nello spazio disponibile, e poi usarlo come se fosse una partizione dati.

La prova che ho fatto era per verificare che allo stato attuale delle cose con poco o niente sforzo è possibile avere una installazione a prova di manomissione fisica tramite cifratura Luks, su Ubuntu. Che non è poco... Poi è ovvio che un utente esperto può personalizzare il layout come e quando vuole...

Inoltre ho notato (magari è capitato solo a me, o magari mi sbaglio ) che nella 24.04 la partizione efi in fstab viene montata con i parametri di default, cioè accessibile in lettura/SCRITTURA da tutti senza digitare sudo...

Non che questo abbia molta importanza in questo contesto, ma a me non risulta.

systemd-boot supporta root criptate? si, è l'installazione che può essere fatta su arch, solo che il /boot è in chiaro e perdipiù nella efi in fat32 ( cosa che non mi piace affatto)

Infatti è uno dei motivi per cui non ho mai apprezzato systemd-boot, e credo che non sia nemmeno in grado di aprire la root criptata (altrimenti non sarebbe necessario mettere initrd e kernel nella Esp). Credo che la scelta migliore in generale sia ancora grub2.

[woddy68]

Giusto a titolo di curiosità, ho un sistema integralmente cifrato con LUKS e quando inserisco la password il sistema è pronto in meno di 10 secondi. Il pc è reattivo e non si nota mai alcun rallentamento (Intel i5 e disco SSD).

Secondo me dato che oggi si utilizza il computer per operazioni bancarie (talvolta spostando anche centinaia di migliaia di euro) oppure vi si conservano foto e video molto privati (chi non ha dei video erotici sul proprio pc, magari girati in intimità con la propria fidanzata) sarebbe conveniente sempre cifrare l'intero disco e proteggerlo con una password robusta. In questo modo se qualcuno dovesse rubarci il notebook si dormirebbe sereni e tranquilli...

E si, lo ammetto, quando ero un giovane appassionato di informatica mi è capitato di "violare" computer (tipicamente sistemi Windows protetti da password) utilizzando la banale tecnica del "live CD". E conservo tuttora come ricordo dell' impresa foto di amiche (nude, in pose "hard") di cui sono stato ospite e del tutto ignare di cio'....

Quindi per me c'è una sola regola d'oro : quando io non ci sono il mio pc deve essere blindato con LUKS.

La cosa che fa pensare, non è tanto la tua sicurezza nel proteggere i tuoi dati, ma la tranquillità con il quale ammetti di avere commesso un reato.
E poi si parla di sicurezza ! Aveva ragione mio nonno quando diceva se entri una casa piena di sistemi di sicurezza o sei in una casa di un milionario o sei in una casa di un delinquente!

[danilo_g]

Mi sa che alcuni post si sono "casualmente" cancellati...

[Dromji]

Ma certo, meglio evitare inutili polemiche

Comunque io vi ho avvisati, cifrate i vostri dischi integralmente perchè non potete mai sapere chi vi accede in vostra assenza. Potrebbe essere chiunque, una moglie gelosa, un amico dei vostri figli "nerd", un malintenzionato in cerca dei codici bancari...potrebbero pure rubarvi il notebook e portarselo via o potreste dimenticarlo in treno... L'unico sistema sicuro è un disco "fully encrypted". (con password robusta).

[woddy68]

...a comunque con me rimarrebbero molto delusi L'unica cosa che troverebbero sono bollette da pagare, che se le rubassero mi farebbero un piacere e già che ci sono potrebbero anche pagarle Non ho codici bancari sul notebook, tuttavia avrebbero accesso finalmente a buona musica e a qualche buon film.
I miei video hard sono già online a pagamento per cui...mi rode solo che per loro siano gratis.

[danilo_g]

I miei video hard sono già online a pagamento per cui...mi rode solo che per loro siano gratis.

Ok, ora vogliamo il link al tuo Onlyfans...

[woddy68]

I miei video hard sono già online a pagamento per cui...mi rode solo che per loro siano gratis.

Ok, ora vogliamo il link al tuo Onlyfans...

Dai...appena mi violano lo pubblico