= Сообщение: 2609 из 8555 ========================================= RU.LINUX = От : Alexey Vissarionov 2:5020/545 26 Dec 15 03:00:00 Кому : Semen Panevin 26 Dec 15 03:00:00 Тема : гроб блин FGHI : area://RU.LINUX?msgid=2:5020/545+567de6d6 На : area://RU.LINUX?msgid=2:5025/121+567d961c = Кодировка сообщения определена как: CP866 ================================== ============================================================================== Доброго времени суток, Semen! 25 Dec 2015 22:09:48, ты -> Dmitry E. Oboukhov:
SP> Про шифрование было исключительно в сомнительном контексте.
А зря в сомнительном. Ибо шифровать как минимум /home весьма полезно. Из корня и /var тоже иногда можно интересные вещи выковырять, но информация, которую очень хочется удалить с уже изъятых дисков, обычно все же хранится именно в /home
DEO>> вот придут к тебе и скажут "плати штраф за то что скачал звездные DEO>> войнс с торрентов" DEO>> а ты такой говоришь "вы че с дуба рухнули, какой такой звездный DEO>> войны?" DEO>> а они у тебя ноут и изымают. SP> Да пусть изымают. Лишь бы сервера в кладовке не заметили. :)
Все провода пересмотрят и все вай-вай-ваи перепеленгуют, но таки заметят.
DEO>> и вот если ноут зашифрован, то потом неизбежно приносят извинения. SP> Сомнительный факт.
Физиономии у них при этом выглядят весьма раздосадованными... Казалось бы, "палочную" систему кто только не отменял, а работа следствия по-прежнему оценивается количеством дел, переданных в суд.
DEO>> я шифрую и стационарники. SP> Я шифровал на своём ноуте единственный раз единственную вещь - SP> рабочие данные, защищенные NDA,
По-нашему это будет ДСП.
SP> на время их нахождения там.
Утечка подобных данных - это финансовые и репутационные потери. Неприятно, конечно, но в риск-ориентированной модели бизнеса с большой вероятностью предусмотрено.
SP> Специально создал шифрованный виртуальный раздел. После отпада SP> необходимости иметь доступ к этим данным со своего персонального SP> ноута я просто снёс файл раздела и всё.
Свои собственные данные (не конторские) ты так же легко снесешь, или?
DEO>> есть идея с выделенным сервером загрузки, который находится в DEO>> интернете. но пока не копал в этом направлении. SP> Гм, выделенный сервер загрузки, который находится в [интернете но SP> при этом в собственной] кладовке не рассматривается?
Можно. Но зачем выделенный?
Задача-то сводится к тому, чтобы удаленно создать доверенную среду выполнения (trusted runtime environment, TRE) на сервере и выполнить процедуру подготовки и монтирования защищенных разделов. Лично я решил ее, заменив создание TRE на проверку целостности оной, исходя из того, что супостат в целях компрометации сервера может заменить там любой файл или вообще запустить сервер под своим гипервизором.
DEO>> дело не в установке, а в потерянной информации. DEO>> потерянной - хрен с ней (бакапы на это есть), а вот то что она в DEO>> чьих-то там руках - это неприятно. SP> Неприятность эту мы переживём (Ц).
Оптимистичненько, но в общем случае - не факт.
DEO>>>> пойдешь менять gpg-ключи, пароли к сервисам итп итд? >>> Hе пойду, у меня пароли к сервисам на буке не хранятся. В голове >>> лежат. DEO>> а gpg/ssh ключи например тоже из головы? SP> Что такое gpg/ssh ключи? Я пароль ввожу каждый раз когда к своему SP> ssh коннекчусь. Если там сзади ещё ключами подпёрто неизвестными SP> мне - оно мне фиолетово.
Вот и зря: матчасть нужно знать. А то будешь, как Шостацкий...
-- Alexey V. Vissarionov aka Gremlin from Kremlin gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii