Hesla a bezpečnost

Odkazy na zajímavé články ze světa Linuxu.
Zamčeno
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Hesla a bezpečnost

Příspěvek od xsouku04 »

Víte že dovolit prohlížeči, nebo mailovému klientu aby si uložil heslo je velmi velmi nebezpečné?
Nejen že se každý kdo se dostane k vašemu počítači může přihlásit, ale dokonce každý kdo se dostane k vašemu počítači si ty hesla může nechat zobrazit !!!!

Představte se, že pokud vám někdo ukradne notebook má rázem přístup k většině vašich hesel !!!

Řešením je mít nějaké společné heslo, které přístup k dalším heslům uzamče.

Špatné být také nemusí mít hesla v nějaké centrální aplikaci. Jako třeba tahle.

http://sdm.sourceforge.net/screenshots.html

Firefox a thunderbird má přímo zabudovanou možnost Master password (hlavní heslo)
http://luxsci.com/blog/master-password- ... rbird.html

Pomocí hlavního hesla jsou pak zašifrována hesla ostatní.

Další možností je (zvláště pokud máte notebook) mít zašifrovaný celý disk, což je velmi jednoduché, stačí jen zaškrnout příslušnou volbu při instalaci.. Tato možnost je poměrně jednoduchá, ale má zásadní nevýhodu. Nemůžete nikomu ten notebook/počítač půjčit, bez toho aby jste mu řekli hodně dlouhé a špatně opsatelné heslo. Pravděpodobně své dlouhé heslo nikomu říkat nechcete.
Je tedy mnohem lepší, si šifrovat jen domovský adresář, nebo jeho podsložku. O tom je následující příspěvek.

Bohužel mnohem rychlejší mailovej klient sylpheed stále jen o hlavním hesle uvažuje http://www.sraoss.jp/pipermail/sylpheed ... 02926.html

Pamatujte, pokud nepoužíváte master password, nebo šifrovanej disk jste na tom s bezpečností všech uložených hesel velmi podobně jako kdyby jste si psali veškerá hesla na monitor.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Šifrovaný podadresář domovského adresáře vše vyřeší

Příspěvek od xsouku04 »

Zde je návod, který vám umožní zašifrovat libovolný podadresář vašeho home adresáře.
https://wiki.archlinux.org/index.php/Sy ... h_eCryptfs
Výhoda je, že k tomu nepotřebujete žádný speciální diskový oddíl a nemusíte ani vytvářet nějaký soubor s předem nastavenou velikostí, který poté budete mountovat. (tak to dělá např. truecrypt).
Šifrované jsou jednotlivé soubory. Každý zvlášť.
Onen článek jej dobré si přečíst, aby jste chápali podstatu jak to funguje. Samotné vytváření adrsářů pak můžete svěřit skriptu:

Kód: Vybrat vše

[xsouku04@arch-petr2 ~]$ ecryptfs-setup-private -w
Enter your wrapping passphrase [xsouku04]: 
Enter your wrapping passphrase [xsouku04] (again): 
Enter your mount passphrase [leave blank to generate one]: 

************************************************************************
YOU SHOULD RECORD YOUR MOUNT PASSPHRASE AND STORE IT IN A SAFE LOCATION.
  ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase
THIS WILL BE REQUIRED IF YOU NEED TO RECOVER YOUR DATA AT A LATER TIME.
************************************************************************

Done configuring.

Testing mount/write/umount/read...
Inserted auth tok with sig [5d10f98f348d5d19] into the user session keyring
Inserted auth tok with sig [667d0acc249535df] into the user session keyring
Inserted auth tok with sig [5d10f98f348d5d19] into the user session keyring
Inserted auth tok with sig [667d0acc249535df] into the user session keyring
Testing succeeded.

Logout, and log back in to begin using your encrypted directory.
Co je to mount passphrase a wrapping passphrase?
mount passphrase je heslo nebo prostě nějaký hesh, kterým jsou veškeré data zakódována.
Pokud vložíme jiné než původní, poznáme to podle toho, že z našich dat bude fašírka.
Pokud bychom chtěli tohle "heslo" změnit, muselo by dojít k překódování všech uložených dat.
Z toho důvodu bylo přidáno tzv wrapping passphrase, tedy zabalovací heslo, který zakóduje ono heslo, které je opravdu
použité. Má to výhodu v tom, že je pak snadnější heslo změnit, stačí změnit obsah souboru ~/.ecryptfs/wrapped-passphrase


Pokud chceme pak soubor ~/.Private namountovat do ~/Private stačí jen spustit

Kód: Vybrat vše

ecryptfs-mount-private
pro odmountování pak jen

Kód: Vybrat vše

ecryptfs-umount-private
V adresáři ~/.Private budou jen zašífrované nečitelné soubory. Ale pokud si tento adresář namountujete
do adresáře Private, tak pak v adresáři ~/Private je váš šifroavaný adresář.

Výborné je též zálohování. Stačí zálohovat adresář ~/.Private a dobré je též .ecryptfs , protože v něm máte nezbytnou informaci a to jest wrapped-passphrase .

Naní si přesuneme některé důležité adresáře do zašifrovaného adresáře Private.

Kód: Vybrat vše

mv ~/.mozilla ~/.ssh Private
# řádek výše  moovne  adresáře .mozilla a ..ssh z domovského adresáře do podadresáře Private. Tím dojde k zašifrování
# jelikož aplikace data hledají na původním  místě, uděláme simplinky
ln -s ~/Private/.mozilla ~/.mozilla
# v bezpečí tak máte nejen hesla ale např. i historii prohlížeče
ln -s ~/Private/.ssh ~/.ssh
# ssh klíče si jistě zaslouží být šifrována


# poštu včetně hesel k emailovým účtům si pak budu chránit příkazem
mv ~/.sylpheed-2.0 Private
ln -s ~/Private/.sylpheed-2.0  ~/.sylpheed-2.0

# pozor pokud máte více pošty může operace mv trvat déle, protože thunderbird je není v ukládaní dat vůbec úsporný.
# fyzicky totiž touto operací mv dochází ke kopírování a šifrování souborů
mv ~/.thunderbird Private
ln -s ~/Private/.thunderbird  ~/.thunderbird

ln -s ~/Private/.vimrc  ~/.vimrc
ln -s ~/Private/.vim  ~/.vim
ln -s ~/Private/.bashrc  ~/.bashrc

# je více různých programů, které si ukládají hesla nebo citlivou historii a je proto lepší je mít v šifrovaném adresáři
mv ~/.twinkle Private
ln -s ~/Private/.twinkle  ~/.twinkle
Pred volanim ecrypt-mount-private je nutne mit zavadeny modul ecryptfs. Jinak hrozi ze se namountovani povede az napodruhe. V archlinuxu to docilim tak ze jej pridam do seznamu MODULES v souboru /etc/rc.conf

Co se stane pokud ráno spustím počítač, zapomenu si namountovat zaheslovaný adresář pomocí příkazu ecryptfs-mount-private a spustím např. program thunderbird?
Thunderbird se odmítne poustut s tím, že adresář ~/.thunderbird neexistuje ani nejde vytvořit . Vytvořit nelze z toho důvodu, že už existuje slepý symplink s tímto jménem. Je to tedy bezpečné.

Co se spletu a zadám šatně heslo (wrapping passphrase) ?
Překvapivě nebudeme upozorněni. Adresář ~/Private se sice namountuje, ale bude obsahovat místo smysluplného obsahu pouze fašírku.
Nebude v něm adresář .thunderbird a pod, takže symlinky z domovského adresáře zůstanou slepé a programy, kterých se to týká nepůjdou spustit. (stejný případ jako předchozí otázka) Je to tedy také bezpečné. Špatně namountovaný šifrovaný adresář můžeme odmountovat pomocí ecryptfs-umount-private a znovu namountovat se správným heslem.

Co se týče ochrany dat ukládaných firefoxem, přišel jsem k závěru, že nejlepší je kombinace obojího. Tedy používat jak šifrovaný oddíl pro adresář .mozila, tak používat master password. Šifrovaný adresář chrání historii prohlížení a záložky.
Master password pak navíc chrání před tím, aby si nemohl hesla zobrazit kdokoli, kdo se na chvíli dostane k vašemu počítači v době kdy máte šifrovaný oddíl namountovaný. Při této příležitosti je dobré mít pro každou službu jiné heslo. Proč ? Pokud se na kdejaký pochybný web registrujete pod stejným heslem jako má váš hlavní email, velice snadno by se pak onen majitel pochybného webu mohl přihlásit na váš email dozvědět se další důležité informace z emailů.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Hesla a bezpečnost

Příspěvek od xsouku04 »

Zamčeno