Jump to content
Sign in to follow this  
Uno

Rendere comodamente sicuri i dati su un notebook linux powered

Recommended Posts

Non è proprio un tutorial, non è proprio inerente il web, i server etc... ma parecchi di voi gireranno con un notebook in cui ci saranno anche dati importanti.

 

Io dopo alcune variazioni nel tempo ho trovato la mia configurazione ideale, quella che mi consente di star traquillo se mi rubano il pc (a parte l'inc...) ma allo stesso tempo in maniera comoda.

Anche senza usare dispositivi biometrici e simili ho attrezzato il mio fidato Linux e il portatile per non dover inserire password ma allo stesso tempo ad aver un buon grado di sicurezza.

Detta in due parole con Truecrypt (ho provato prima Luks ed altri ma non mi soddisfacevano) ho criptato Home, Swap, Tmp e alcune altre cose (tipo htdocs dove ho tutto quello che sviluppo e testo) senza password ma solo con key file. Ho piazzato i keyfile su una sd (il mio notebook ha il lettore sd) e all'avvio monta in automatico i dischi criptati se la suddetta sd è nello slot.

 

Se la sd non è presente e/o non c'è una chiavetta usb (prepata in maniera simile alla sd) allora mi chiede una password che apre un mini disco virtuale in root, minidisco che contiene gli stessi key file di cui sopra e che poi aprono tutti i dischi in catena.

La password è una sicurezza aggiunta nel qual caso dimentico (o peggio perdo) la sd e sono in giro. Va da se che è chiaro che una volta avviato il sistema e montati i dischi criptati il pc non va lasciato incustodito, minimo andrebbe spento e rimossa la sd.

 

Si potrebbe ottenere una cosa simile usando pam per decriptare la home al login con una sola password, però con kde, o meglio kdm, mi dava dei problemi visto che non trovava kdestartup. Inoltre preferisco che il sistema rimanga il più possibile indipendente, backup a parte, sempre indispensabile, in questo modo posso comunque, se necessario, estrarre la mia home da qualsiasi Linux con truecrypt installato.

 

Ci ho messo qualche decina di minuti a preparare il sistema, a creare il file di startup etc ma adesso sto tranquillo usando l'sd come scheda di autenticazione, al costo di pochi euro (basta una schedina vecchia anche di pochissimi mb).

Share this post


Link to post
Share on other sites

Uhm, ottima soluzione ed ottima idea.

Solo non mi convince affatto l'SD.

Son talmente piccole che entrano per intero nel portatile senza sporgere (spesso) e sicuramente se uno sta pensando a 1000 cose potrebbe lasciarla inserita.

Molto meglio, forse, una chiavetta usb di generose dimensioni, del tipo: è talmente grossa che rompe le scatole e la devo togliere per forza.

 

Preferirei, inoltre, avere sempre la doppia protezione: chiave di autenticazione (il file) sopra una chiavetta usb e password di accesso alla chiave di autenticazione.

Così facendo se perdo il computer, i dati non sarebbero compromessi.

Se perdo la chiavetta, senza password sarebbe inutilizzabile.

Se son sfigato e perdo computer con chiavetta, sarebbe inutilizzabile comunque.

Share this post


Link to post
Share on other sites
Uhm, ottima soluzione ed ottima idea.

Solo non mi convince affatto l'SD.

Son talmente piccole che entrano per intero nel portatile senza sporgere (spesso) e sicuramente se uno sta pensando a 1000 cose potrebbe lasciarla inserita.

Molto meglio, forse, una chiavetta usb di generose dimensioni, del tipo: è talmente grossa che rompe le scatole e la devo togliere per forza.

Se lo metti in borsa basta anche una chiavetta usb piccola, già da fastidio. Io comunque ho un fodero talmente stretto che già i 4/5 mm che sporge la sd danno fastidio, quindi mi accorgo.

 

Preferirei, inoltre, avere sempre la doppia protezione: chiave di autenticazione (il file) sopra una chiavetta usb e password di accesso alla chiave di autenticazione.

Così facendo se perdo il computer, i dati non sarebbero compromessi.

Se perdo la chiavetta, senza password sarebbe inutilizzabile.

Se son sfigato e perdo computer con chiavetta, sarebbe inutilizzabile comunque.

 

Ho evitato la doppia protezione per comodità, accendo e spengo il notebook minimo 5/6 volte al giorno e non mi va di inserire troppe password (ho lasciato comunque quella utente) in ogni caso uso un paio di chiavi su file da 1 mb, senza di queste (quindi sd o chiave usb o password per il disco virtuale di emergenza) non è per nulla facile (se non impossibile) accedere ai dati.

 

 

Comunque io ho scritto la mia configurazione ideale, e praticamente trasparente nell'uso, dopo aver cambiato sistema più di una volta. Magari può essere di spunto ad altri che però se la possono personalizzare come preferiscono.

All'inizio di internet non scrivevo mai nulla sul pc (password, dati di carta di credito anche se uso solo ricaricabili etc) per paura che qualcuno potesse leggere. Poi quella volta usavo ancora abbastanza Windows di cui oltre allo swap dichiarato non ero mai sicuro su dove scrivesse le cose. Ho iniziato da parecchio ad usare crittografia e dischi criptati per tenere al sicuro questi dati più importanti e adesso mi sento tranquillo anche nello scriverli su pc.

 

In aggiunta consiglio a chi volesse iniziare questo cammino di studiare il modo con cui vengono trattati temporanei e simili sul proprio sistema operativo. Criptare non serve a nulla se poi qualcuno trova il numero della mia carta di credito in tmp.

Se si passano password tramite script bash e simili bisogna stare attenti all'history, idem alle digitazioni errate, esempio banale: si da un su ma si sbaglia a digitare ed invece che "su" si digita "si" poi senza attenzione si digita subito la password, ecco che sul file di history c'è una pasword in chiaro.

Share this post


Link to post
Share on other sites

Sto pensando ad una evoluzione con il cellulare che tramite bluetooth mi autentica se è a portata utile, in questo caso però sul cellulare, alla richiesta del pc, in prossimità utile, metto una password per quanto corta. Non vorrei trovarmi con uno che mi ruba il pc e poi si mette ad avviarlo fuori da casa mia a tiro di bluetooth :D.

Posso fargli generare una OTP che forse è in più... ma tanto la fatica la fanno loro: pc e cellulare.

Ovviamente poi è importante non lasciarli nella stessa borsa.

Share this post


Link to post
Share on other sites

Mi son sempre chiesto quale tipo di dati tu abbia per avere un simile attenzione alla sicurezza :) Ma di sicuro mi son riletto la discussione (che non ricordavo) e l'ho trovata molto interessante, sarebbe bello avviare una discussione allargata per capire quali sono i modi migliori per proteggere l'accesso ad un laptop

Share this post


Link to post
Share on other sites
Mi son sempre chiesto quale tipo di dati tu abbia per avere un simile attenzione alla sicurezza :)

Probabilmente non tanto più importanti di quelli di altri che li lasciano alla mercè di chiunque.

Un pò l'ho scritto sopra, ci sono i dati di accesso a svariati servizi dalle più stupide mail a servizi più importanti, passando per gli accessi a server, amministrazione dei siti etc....

Queste sono cose che qua penso un pò tutti abbiamo, probabilmente io gli do più importanza. Si per le password ci sono software apposta, ma se poi non stai attento a cosa va a finire in tmp....

Sono certo che se trovassi un notebook altrui potrei divertimi parecchio a trovare cose di cui il proprietario non si ricorda neanche più.

 

Oltre a questo ho dei documenti professionali (tu sai che per lavoro faccio altro), contabilità, schede clienti etc.. documenti personali, per esempio ho non so quanti mb solo per i documenti delle mia recente ristrutturazione di casa. Ho in piedi una causa, discorsi legali etc...

 

Per comodità scansiono tutto quello che non è già in formato elettronico e me lo tengo a portata di tastiera. Certo molti di questi documenti non sono poi così delicati almeno per quanto mi riguarda, ma se, per esempio, le persone avessero un pò di cura nel conservare gli indirizzi mail altrui ci sarebbe minimo il 50% di spam in meno. Se una scheda di un mio cliente finisse in mani estranee moto probabilmente lui non lo saprebbe mai, io non ne avrei nessun problema pratico, ma dal punto di vista morale il discorso cambia.

Quando sono certo che una cosa non mi serve più l'archivio, ma sappiamo che oggi purtroppo ci sono documenti che magari prendiamo in mano una volta ogni 2 anni, ma che per 10 anni possono servire.... Sia ringraziata la progressiva diminuzione dei costi delle memorie di massa !!

 

 

Ma di sicuro mi son riletto la discussione (che non ricordavo) e l'ho trovata molto interessante, sarebbe bello avviare una discussione allargata per capire quali sono i modi migliori per proteggere l'accesso ad un laptop

 

Oh beh... ce n'è volendo, ma non sono certo che la cosa interessi più di tanto, almeno finchè non si rimane scottati.

Inoltre come tanti ora noleggiano il server e lo usano così com'è, credo che siano pochissimi che quando reinstallano il S.O. sui pc personali gli fanno un pò di hardening. Ok le distribuzioni moderne (se parliamo di Linux, Windows e Mac idem) coprono una buona fetta degli usi normali, ma già un desktop necessita molto meno di personalizzazioni di sicurezza. Un desktop che non si muove dalla scrivania, se è in un ambiente decentemente protetto basta che sia sicuro più che altro verso la rete. Se è in un grande ufficio, accessibile a molti il discorso già cambia, ma in quegli ambienti c'è chi si occupa della cosa, qui parliamo di "fai da te" più o meno. Un laptop, un netbook, oggi perfino uno smartphone necessitano di altro... a meno che non siano usati solo per navigare.

Share this post


Link to post
Share on other sites

Te li ricordi i problemini di geometria delle medie?

 

Datosi un netbook con 250 gb di hard disk che avete praticamente sempre dietro, considerato che un sistema autonomo di criptazione è necessario, anzi di più, anche nel sistema che chiameremo genericamente cloud....

calcolate il guadagno che si potrebbe ottenere con l'operazione.

 

Io ho già risolto il problema: -100 :D

Share this post


Link to post
Share on other sites

Quindi per te sarebbe una soluzione buona?

Sono certo che però non ti fideresti dei sistemi di sicurezza e privacy nativi dei servizi, quindi non capisco come possa uscirti un valore positivo come risultato del problema.

Share this post


Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
Sign in to follow this  

×