কীভাবে আমার ল্যাপটপটি সুরক্ষিত করবেন যাতে শারীরিক অ্যাক্সেস দ্বারা হ্যাকিং সম্ভব না হয়?


73

আমি আমার সিস্টেমটি আগেই বিশৃঙ্খল করেছিলাম, উবুন্টুতে বুট করার সময় আমাকে একটি কালো পর্দা দিয়ে অভ্যর্থনা জানানো হয়েছিল। আমি যখন আমার ল্যাপটপটি শুরু করেছি, আমি গ্রাব মেনু থেকে পুনরুদ্ধারের বিকল্পটি নির্বাচন করেছি এবং রুট টার্মিনালে ফ্যালব্যাক বেছে নিয়েছি । আমি দেখেছি যে আমি যুক্ত ব্যবহারকারী কমান্ডটি ব্যবহার করতে সক্ষম হয়েছি, এটির সাহায্যে আমি সম্ভবত আমার মেশিনে কোনও অধিকারযুক্ত ব্যবহারকারী তৈরি করতে ব্যবহার করতে পারি।

এটি কি সুরক্ষার সমস্যা নয়?

একজন আমার ল্যাপটপটি চুরি করতে পারে এবং প্রারম্ভের সময় পুনরুদ্ধারটি বেছে নিয়ে অন্য একজন ব্যবহারকারীকে যুক্ত করতে পারে, আমি তখন অভিযুক্ত হই। আমার ডেটা সহ।

এটি ভাবতে আসুন, এমনকি যদি আপনি কোনওভাবে সেই প্রবেশটি সরিয়ে ফেলেন, একজন লাইভ-সিডি থেকে বুট করতে পারে, একটি chrootআপ এবং চলমান পেতে পারে এবং তারপরে অন্য কোনও ব্যবহারকারীকে যুক্ত করতে পারে, এটি আমার সমস্ত ডেটা দেখার সুযোগ করে দেয়।

আমি যদি কেবলমাত্র আমার এইচডি-তে বুট করার জন্য বায়োসকে সেট করে রাখি, কোনও ইউএসবি, সিডি / ডিভিডি, নেটওয়ার্ক স্টার্টআপ না করে এবং একটি বায়োস পাসওয়ার্ড সেট করে রাখি তবে তাতে কোনও ব্যাপার হবে না, কারণ আপনার এখনও সেই গ্রাব রিকভারি স্টার্টআপ এন্ট্রি থাকবে।

আমি মোটামুটি নিশ্চিত যে চীন, রাশিয়া থেকে কেউ আমার উবুন্টু ট্রাস্টি তাহরকে নেটওয়ার্ক থেকে হ্যাক করতে পারে না, কারণ এটি এর মতো সুরক্ষিত। তবে, যদি কারও কাছে আমার - আপনার - মেশিনে শারীরিক অ্যাক্সেস থাকে তবে ভাল, সে কারণেই আমি এই প্রশ্নটি জিজ্ঞাসা করছি। শারীরিক অ্যাক্সেসের মাধ্যমে হ্যাকিং সম্ভব না হওয়ার জন্য আমি কীভাবে আমার মেশিনকে সুরক্ষিত করতে পারি?


বাগ রিপোর্ট:


35
আপনার স্ক্রুগুলির জন্য সম্পূর্ণ ডিস্ক এনক্রিপশন এবং গ্লিটারনেলপলিশ। আজকাল কে তা করে না?
সোমবার

2
@ বাইটকম্যান্ডার আপনি মূল ব্যবহারকারীদের যুক্ত করতে পারেন। Uid 0 সাথে / etc / পাসওয়ার্ডে কেবল অন্য ব্যবহারকারী যুক্ত করুন। আমি সবেমাত্র ফ্রেড যুক্ত করেছি fred:x:0:0:fred,,,:/home/fred:/bin/bashএবং এখন যদি আমি ফ্রেড হিসাবে লগইন করি এবং রান করি তবে আমি whoamiপেয়েছিroot
জোসেফ

3
@ByteCommander তারা উচিত হবে। adduserইত্যাদি অ্যাকাউন্ট পরিচালনা করার সরঞ্জামগুলি আপনাকে সাধারণত এটি করতে দেয় না, তবে কেবল সম্পাদনার /etc/passwdকাজ করে। হ্যাকার হওয়ার অর্থ আপনার কী করা উচিত তা উপেক্ষা করা ;)
জোসেফ

3
@ blade19899 আপনার নতুন বাগ অবশ্যই প্রত্যাখ্যান হবে। এই বিদ্যমানটির সাথে তুলনা করুন: বাগস.লঞ্চপ্যাড.ন.বুন্টু
বাইট কমান্ডার

4
@ ব্লেড ১৯৮৯৯ আমার বিস্তৃত বিষয়টি হ'ল আপনাকে ঝুঁকি ও বাণিজ্য সম্পর্কিত বিষয়ে বিবেচনা করতে হবে, নিরঙ্কুশ নয়। আপনি কে বা আপনি কোথায় থাকেন সে সম্পর্কে আমার কোনও ধারণা নেই তবে আপনার বাড়ির ডাকাতি কার্যকরভাবে কেউ আপনার ডেটা ব্যবহার করে (কেবলমাত্র হার্ডওয়্যারটি লোড করার চেষ্টা করার পরিবর্তে) সিলকে কিছুটা দূরে নিয়ে আসে এবং সম্ভবত সময়ের চেয়ে উদ্বেগের চেয়ে কম বলে মনে হয়, কার্যকর পুনরুদ্ধারের বিকল্পগুলির অভাবের ফলে অর্থ বা এমনকি ডেটা ক্ষতি হতে পারে। যে কারণে ফ্যাল-ব্যাক রুট টার্মিনাল থাকা ভাল জিনিস। তবে স্পষ্টতই এটি বলার অপেক্ষা রাখে না যে আপনাকে ফুল-ডিস্ক এনক্রিপশনটি সন্ধান করা উচিত নয়।
নিরুদ্বেগ

উত্তর:


86

আমার অনুমান যে শক্তিশালী অ্যালগরিদম ব্যবহার করে কেবলমাত্র পূর্ণ ডিস্ক এনক্রিপশন এবং সবচেয়ে গুরুত্বপূর্ণ, ভাল পাসওয়ার্ড হ'ল একমাত্র জিনিস যা আপনার স্থানীয়ভাবে সঞ্চিত ডেটা সুরক্ষিত করতে পারে। এটি আপনাকে সম্ভবত 99.99% সুরক্ষা দেয়। এটি কীভাবে করবেন সে সম্পর্কে অনেক গাইডের মধ্যে একটি উল্লেখ করুন।


এর বাইরে, শারীরিক অ্যাক্সেস সহ অভিজ্ঞ হ্যাকার থেকে আপনার মেশিনকে সুরক্ষা দেওয়া সম্ভব নয়

  • ব্যবহারকারী / অ্যাকাউন্টের পাসওয়ার্ড:
    আপনি নিজের বর্ণনা অনুসারে আপনি যদি পুনরুদ্ধার মোডে বুট করেন তবে নতুন অ্যাডমিন ব্যবহারকারী তৈরি করা সহজ, কারণ আপনি পাসওয়ার্ডের জন্য জিজ্ঞাসা না করেই একটি রুট শেল পেয়ে যান।
    এটি দুর্ঘটনাজনিত সুরক্ষার সমস্যার মতো হতে পারে তবে এটি পুনরুদ্ধারের ক্ষেত্রে (যারা ভাবেন?) এর উদ্দেশ্যে করা হয়েছে, যেখানে আপনি উদাহরণস্বরূপ আপনার প্রশাসকের পাসওয়ার্ডটি হারিয়ে ফেলেছেন বা sudoকমান্ডটি বা অন্যান্য গুরুত্বপূর্ণ জিনিস গণ্ডগোল করেছেন।

  • রুট পাসওয়ার্ড:
    উবুন্টু কোনও ডিফল্ট ব্যবহারকারীর পাসওয়ার্ড সেট করে নি। তবে, আপনি একটি সেট করতে পারেন এবং আপনি যদি পুনরুদ্ধার মোডে বুট করেন তবে এটির জন্য আপনাকে জিজ্ঞাসা করা হবে। এটি বেশ সুরক্ষিত বলে মনে হচ্ছে তবে এটি এখনও চূড়ান্ত সুরক্ষিত সমাধান নয়। single init=/bin/bashউবুন্টু বুট করার আগে আপনি GRUB- র মাধ্যমে কার্নেল প্যারামিটারটি যুক্ত করতে পারেন যা এটি একক ব্যবহারকারী মোডে শুরু করে - এটি আসলে পাসওয়ার্ড ছাড়াই মূল শেল।

  • একটি পাসওয়ার্ড দিয়ে GRUB মেনু সুরক্ষিত করা:
    আপনি নিজের GRUB মেনু এন্ট্রিগুলিকে কেবলমাত্র প্রমাণীকরণের পরে অ্যাক্সেসযোগ্য হিসাবে সুরক্ষিত করতে পারেন, আপনি পাসওয়ার্ড ছাড়াই পুনরুদ্ধার মোড বুট করতে অস্বীকার করতে পারেন। এটি কার্নেল পরামিতিগুলি পরিচালনা করতে বাধা দেয়। আরও তথ্যের জন্য, help.ubuntu.com-গ্রুব 2 / পাসওয়ার্ড সাইট দেখুন । আপনি কেবল কোনও বাহ্যিক মাধ্যম থেকে বুট করলে বা এইচডিডিটিকে অন্য কোনও মেশিনে সরাসরি সংযুক্ত করলে এগুলি বাইপাস করা যায়।

  • BIOS- এ বাহ্যিক মিডিয়া থেকে বুট করা অক্ষম করুন:
    আপনি বুট অর্ডারটি সেট করতে পারেন এবং অনেকগুলি বর্তমান BIOS / UEFI সংস্করণে সাধারণত বুট থেকে ডিভাইসগুলি বাদ দিতে পারেন। এই সেটিংসগুলি সুরক্ষিত নয় যদিও সবাই সেটআপ মেনুতে প্রবেশ করতে পারে। আপনাকে এখানেও একটি পাসওয়ার্ড সেট করতে হবে, তবে ...

  • BIOS পাসওয়ার্ড:
    আপনি সাধারণত BIOS পাসওয়ার্ডও বাইপাস করতে পারেন। বিভিন্ন পদ্ধতি রয়েছে:

    • কম্পিউটার কেস খুলে এবং সিএমওএস ব্যাটারিটি শারীরিকভাবে অপসারণ বা অস্থায়ীভাবে একটি "ক্লিয়ার সিএমওএস" জাম্পার সেট করে সিএমওএস মেমরি পুনরায় সেট করুন (যেখানে বিআইওএস সেটিংস সঞ্চয় করা থাকে)।
    • কোনও পরিষেবা কী সংমিশ্রণে BIOS সেটিংস পুনরায় সেট করুন। বেশিরভাগ মাদারবোর্ড প্রস্তুতকারকরা পাসওয়ার্ড সহ ডিফল্ট মানগুলিতে গণ্ডগোল করা BIOS সেটিংস পুনরায় সেট করতে তাদের পরিষেবা ম্যানুয়ালগুলিতে কী সংমিশ্রণ বর্ণনা করে। পাওয়ারটি ScreenUpচালু করার সময় একটি উদাহরণ হ'ল, যদি আমি সঠিক মনে রাখি তবে আমার ওভারক্লকিং সেটিংসে গণ্ডগোল করার পরে একবার আমার জন্য এএমআই বায়োস-এর সাথে একটি এসার মাদারবোর্ড আনলক করে।
    • সর্বশেষে তবে সর্বনিম্ন নয়, সেখানে ডিফল্ট বিআইওএস পাসওয়ার্ডগুলির একটি সেট রয়েছে যা সর্বদা সত্যিকারের পাসওয়ার্ডের চেয়ে পৃথক হয়ে কাজ করে বলে মনে হয়। আমি এটি পরীক্ষা করিনি, তবে এই সাইটটি তাদের একটি তালিকা সরবরাহ করে, যা নির্মাতার দ্বারা শ্রেণিবদ্ধ করা হয়েছে।
      এই তথ্য এবং লিঙ্কের জন্য রিনজউইন্ডকে ধন্যবাদ!
  • কম্পিউটার কেসটি লক করুন / মাদারবোর্ড এবং হার্ড ডিস্কে শারীরিক অ্যাক্সেস অস্বীকার করুন:
    অন্য সব কিছু ব্যর্থ হলেও, একটি ডেটা চোর আপনার ল্যাপটপ / কম্পিউটারটি এখনও খুলতে পারে, এইচডিডি বাইরে নিয়ে যেতে এবং এটি নিজের কম্পিউটারে সংযুক্ত করতে পারে। এটিকে মাউন্ট করা এবং সমস্ত এনক্রিপ্ট করা ফাইল অ্যাক্সেস করা সেখান থেকে কেকের একটি অংশ। আপনাকে এটিকে নিরাপদে লক করা মামলায় রাখতে হবে যেখানে আপনি নিশ্চিত হতে পারবেন যে কেউ কম্পিউটার খুলতে সক্ষম নয়। এটি ল্যাপটপের পক্ষে অসম্ভব এবং ডেস্কটপগুলির পক্ষেও কঠিন। হয়তো আপনি নিজের-ধ্বংসাত্মক ডিভাইসের মতো অ্যাকশন ফিল্মের মালিকানা সম্পর্কে ভাবতে পারেন যা যদি কেউ কেউ এটি খোলার চেষ্টা করে তবে কিছু বিস্ফোরক ভিতরে বাড়ে? ;-) তবে নিশ্চিত হয়ে নিন যে এরপরে রক্ষণাবেক্ষণের জন্য আপনাকে এটিকে নিজে আর কখনও খুলতে হবে না!

  • ফুল ডিস্ক এনক্রিপশন:
    আমি জানি আমি এই পদ্ধতিটি সুরক্ষিত হিসাবে পরামর্শ দিয়েছি, তবে আপনি যদি ল্যাপটপটি চালু থাকা অবস্থায় হারিয়ে ফেলেন তবে এটি 100% নিরাপদও নয়। একটি তথাকথিত "কোল্ড বুট আক্রমণ" রয়েছে যা আক্রমণকারীটিকে চলমান মেশিনটি পুনরায় সেট করার পরে আপনার র‌্যাম থেকে এনক্রিপশন কীগুলি পড়তে দেয়। এটি সিস্টেমটি আনলোড করে তবে শক্তি ব্যতীত র‌্যামের সামগ্রীগুলি ফ্লাশ করে না enough
    এই আক্রমণ সম্পর্কে তার মন্তব্যের জন্য কোসকে ধন্যবাদ!
    আমি এখানে তার দ্বিতীয় মন্তব্যটি উদ্ধৃত করতে যাচ্ছি:

    এটি একটি পুরানো ভিডিও, তবে ধারণাটি ভালভাবে ব্যাখ্যা করেছে: ইউটিউবে "লেস্ট ওয়ে স্মরণ: এনক্রিপশন কীগুলিতে কোল্ড বুট অ্যাটাকস" ; আপনার যদি একটি বায়োস পাসওয়ার্ড সেট থাকে তবে আক্রমণকারী সিএমওএস ব্যাটারিটি সরিয়ে ফেলতে পারে যখন ল্যাপটপটি এখনও কোনও গুরুত্বপূর্ণ দ্বিতীয়টি না হারিয়ে কাস্টম কার্ফ্টড ড্রাইভটিকে বুট করতে সক্ষম করতে সক্ষম হয়; আজকাল এসএসডি-র কারণে এটি আরও ভয়াবহ, কারণ একটি কাস্টম কারুকৃত এসএসডি সম্ভবত 1 মিনিটেরও কম সময়ে 8 জিবি এমনকি ডাম্প করতে সক্ষম হবে,, 150MB / s এর লেখার গতি বিবেচনা করে

    সম্পর্কিত, তবে কোল্ড বুট আক্রমণগুলি কীভাবে রোধ করতে হবে সে সম্পর্কে এখনও উত্তর না দেওয়া প্রশ্ন: আমি কীভাবে উবুন্টুকে (ফুল ডিস্ক এনক্রিপশন ব্যবহার করে) ঘুমানোর / র‌্যামে সাসপেন্ড করার আগে LUKSupup কল করতে সক্ষম করব?


উপসংহারে: বর্তমানে কোনও কিছুই শারীরিক অ্যাক্সেস এবং দূষিত অভিপ্রায় সহকারে আপনার ল্যাপটপটি ব্যবহার করা থেকে সুরক্ষিত করে না। আপনি যদি আপনার পাসওয়ার্ড বা ক্র্যাশ ভুলে সমস্ত কিছু হারাতে ঝুঁকিপূর্ণ পর্যায়ে থেকে যান তবে আপনি কেবলমাত্র আপনার সমস্ত ডেটা পুরোপুরি এনক্রিপ্ট করতে পারবেন। সুতরাং এনক্রিপশন ব্যাকআপগুলি আরও আগের চেয়ে বেশি গুরুত্বপূর্ণ করে তোলে। তবে এগুলি পরে খুব এনক্রিপ্ট করা উচিত এবং খুব নিরাপদ স্থানে অবস্থিত।
অথবা কেবল আপনার ল্যাপটপটি দেবেন না এবং আশা করি আপনি এটি কখনও হারাবেন না। ;-)

আপনি যদি আপনার ডেটা সম্পর্কে কম যত্নবান হন তবে আপনার হার্ডওয়্যার সম্পর্কে আপনার আরও নজর থাকে তবে আপনি আপনার ক্ষেত্রে একটি জিপিএস প্রেরক কিনতে এবং ইনস্টল করতে চাইতে পারেন, তবে এটি কেবল আসল বিড়ম্বনার লোক বা ফেডারেল এজেন্টদের জন্য।


7
এবং এখনও সম্পূর্ণ ডিস্ক এনক্রিপশন শীতল-বুট আক্রমণ থেকে আপনাকে রক্ষা করতে পারে না, যদি আপনার ল্যাপটপটি চুরি হয়ে থাকে!
কস

14
আপনার ল্যাপটপটি যে কোনও সময় আপনার নিয়ন্ত্রণের বাইরে থাকার পরে, এটি আর নিরাপদ থাকার আশা করা যায় না। উদাহরণস্বরূপ এটি এখন আপনার প্রাক-বুট পাসওয়ার্ডটি লগ করতে পারে।
জোসেফ

1
আপনার ডেটা এনক্রিপ্ট করা এটি হারাতে ঝুঁকি বাড়ানো উচিত নয়, কারণ আপনার ব্যাকআপ রয়েছে তাই না? কেবলমাত্র একবারে সঞ্চিত ডেটা বিদ্যমান না থাকা ডেটার চেয়ে অনেক ভাল। এসএসডিগুলি বিশেষত এগুলির মধ্যে থেকে কিছু পাওয়ার সুযোগ ছাড়াই হঠাৎ ব্যর্থ হয়।
জোসেফ

3
এটি একটি পুরানো ভিডিও, তবে ধারণাটি ভালভাবে ব্যাখ্যা করেছে: youtube.com/watch?v=JDaicPIgn9U ; আপনার যদি একটি বায়োস পাসওয়ার্ড সেট থাকে তবে আক্রমণকারী সিএমওএস ব্যাটারিটি সরিয়ে ফেলতে পারে যখন ল্যাপটপটি এখনও কোনও গুরুত্বপূর্ণ দ্বিতীয়টি না হারিয়ে কাস্টম কার্ফ্টড ড্রাইভটিকে বুট করতে সক্ষম করতে সক্ষম হয়; আজকাল এসএসডি-র কারণে এটি আরও ভয়াবহ, কারণ একটি কাস্টম কারুকৃত এসএসডি সম্ভবত 1 মিনিটেরও কম সময়ে 8 জিবি এমনকি ডাম্প করতে সক্ষম হবে, write 150MB / s এর লেখার গতি বিবেচনা করে
kos

2
@ বাইটকম্যান্ডার কিন্তু আপনার এসএসডি ঠিক একই রকম ব্যর্থ হতে পারে এবং আপনার সমস্ত ডেটা নষ্ট হয়ে যায়। অবশ্যই, আপনি যদি পাসওয়ার্ড ভুলে যেতে চান (ভাল, এটি লিখুন এবং এটি তখন নিজের সুরক্ষিত রেখে দিন) আপনার সমস্ত ডেটা হারিয়ে যাওয়ার সম্ভাবনা এনক্রিপশন সহ বাড়তে পারে তবে আপনি এটি এনক্রিপ্ট করার সাহস না করলে আপনার ডেটা অত্যন্ত নিরাপদ নয় is । আপনি "আপনার পাসওয়ার্ড বা ক্র্যাশ ভুলে সবকিছু ঝুঁকিপূর্ণ করেন না", ব্যাকআপ না পেয়ে আপনি এটি করেন।
জোসেফ

11

সবচেয়ে সুরক্ষিত ল্যাপটপটি এটির কোনও ডেটা ছাড়াই। আপনি আপনার নিজস্ব ব্যক্তিগত মেঘ পরিবেশ স্থাপন করতে পারেন এবং তারপরে স্থানীয়ভাবে গুরুত্বের কোনও জিনিস সংরক্ষণ করবেন না।

বা হার্ড ড্রাইভটি বের করে এনে থার্মাইট দিয়ে গলে ফেলুন। যদিও এটি প্রযুক্তিগতভাবে প্রশ্নের উত্তর দেয়, এটি সম্ভবত সবচেয়ে কার্যকর হবে না কারণ আপনি আর আপনার ল্যাপটপটি ব্যবহার করতে পারবেন না। তবে সেই চিরসবুজ হ্যাকারও নয়।

এই বিকল্পগুলি বাদ দিয়ে, হার্ড ড্রাইভকে দ্বৈত-এনক্রিপ্ট করুন এবং ডিক্রিপ্ট করার জন্য একটি ইউএসবি থাম্বড্রাইভ প্লাগ ইন করা দরকার। ইউএসবি থাম্বড্রাইভে ডিক্রিপশন কীগুলির একটি সেট রয়েছে এবং বিআইওএসে অবশ্যই অন্য সেট - পাসওয়ার্ড সুরক্ষিত রয়েছে। ইউএসবি থাম্বড্রাইভ স্থগিত করা থেকে বুট / পুনরায় শুরু করার সময় প্লাগ ইন না করা হলে একটি স্বয়ংক্রিয় ডেটা স্ব-ধ্বংসাত্মক রুটিনের সাথে একত্রিত করুন। ইউএসবি থাম্বড্রাইভ সর্বদা আপনার ব্যক্তির উপর বহন করুন। এই সংমিশ্রণটি XKCD # 538 এর সাথে ডিল করার ক্ষেত্রেও ঘটে ।

এক্সকেসিডি # 538


7
আপনার ইউএসবি থাম্বড্রাইভ পরিচিতি প্যাডগুলিতে কিছুটা ধূলিকণা জমে থাকলে স্বয়ংক্রিয়ভাবে স্ব-ধ্বংসাত্মক রুটিন অবশ্যই একটি মনোরম চমক হবে।
দিমিত্রি গ্রিগরিয়েভ

10

আপনার ডিস্কটি এনক্রিপ্ট করুন। আপনার ল্যাপটপটি চুরি হয়ে গেলে এই পদ্ধতিতে আপনার সিস্টেম এবং আপনার ডেটা নিরাপদ থাকবে। অন্যথায়:

  • BIOS পাসওয়ার্ড সাহায্য করবে না: চোর সহজেই আপনার কম্পিউটার থেকে ডিস্কটি বের করতে পারে এবং এটি থেকে বুট করার জন্য এটি অন্য পিসিতে লাগাতে পারে।
  • আপনার ব্যবহারকারী / রুট পাসওয়ার্ডটিও সহায়তা করবে না: উপরে বর্ণিত হিসাবে চোর সহজেই ডিস্কটি মাউন্ট করতে পারে এবং আপনার সমস্ত ডেটা অ্যাক্সেস করতে পারে।

আমি আপনাকে একটি এলইউকেএস পার্টিশন করার পরামর্শ দিচ্ছি যাতে আপনি একটি এলভিএম সেটআপ করতে পারেন। আপনি নিজের বুট পার্টিশনটি এনক্রিপ্ট না করে রেখে দিতে পারেন যাতে আপনার কেবল একবার পাসওয়ার্ড প্রবেশ করতে হবে। এর অর্থ হ'ল টেম্পারড (চুরি করা এবং আপনাকে লক্ষ্য না করেই আপনাকে ফিরিয়ে দেওয়া) করা হলে আপনার সিস্টেমটি আরও সহজেই আপোস করা যেতে পারে তবে এটি খুব বিরল ঘটনা এবং যদি না আপনি ভাবেন যে আপনি এনএসএ, কোনও সরকার বা কোনও ধরণের অনুসরণ করছেন are মাফিয়া, আপনার এই সম্পর্কে উদ্বিগ্ন হওয়া উচিত নয়।

আপনার উবুন্টু ইনস্টলারটি আপনাকে খুব সহজ এবং স্বয়ংক্রিয় পদ্ধতিতে LUKS + LVM দিয়ে ইনস্টল করার বিকল্পটি দেবে। ইন্টারনেটে ইতিমধ্যে প্রচুর ডকুমেন্টেশন রয়েছে বলে আমি এখানে বিশদটি পুনরায় পোস্ট করছি না। :-)


যদি সম্ভব হয় তবে আপনি আরও বিশদ উত্তর সরবরাহ করতে পারেন। আপনি আমার প্রশ্নের মাধ্যমে বলতে পারেন যে আমি একটি সুরক্ষা বাফ না।
ব্লেড 19899

বুলেট পয়েন্টগুলির জন্য উত্সাহিত করা, তবে মনে রাখবেন যে ফুল-ডিস্ক এনক্রিপশন একমাত্র উপায় নয়, আপনি যদি নিজের সংবেদনশীল ফাইলগুলিকে সীমাবদ্ধ করেন তবে এটি প্রয়োজনীয়ও নয় /home/yourName- আপনার যেমনটি করা উচিত! - তারপরে একটি ফাইল-স্তরের এনক্রিপশন ড্রাইভারের সাথে এই ফোল্ডারটি স্ট্যাক করুন (যেমন আমি ওপিতে উল্লেখ করেছি এমন একটি আবার কার্যকর হবে না), খুব কার্যকর বিকল্প। আমি সমস্ত বিরক্তিকর জিনিস /usrইত্যাদি দেখে লোকজনকে নিয়ে উদ্বিগ্ন নই
আন্ডারস্কোর_ডে

1
@ আসন্ডার_ডি: আমি বাইরের অন্যান্য স্টাফগুলিতে /home(অন্যান্য পার্টিশনের ব্যক্তিগত এবং পেশাদার ডেটা সহ) সম্পর্কে সত্যই উদ্বিগ্ন , তাই আমার পক্ষে সমস্ত কিছু এনক্রিপ্ট করা সহজ, তবে আমার ধারণা প্রতিটি ব্যবহারকারীর নিজস্ব চাহিদা রয়েছে :-)। তবে ব্যবহার ecryptfsকরা সর্বোত্তম পারফরম্যান্স-ভিত্তিক সিদ্ধান্ত নয়। আপনি এখানে কিছু মানদণ্ড খুঁজে পেতে পারেন । 2-5প্রকৃত ফলাফলের জন্য নিবন্ধের পৃষ্ঠাগুলি পড়তে ভুলবেন না (পৃষ্ঠাটি 1কেবল একটি ভূমিকা)।
পিক

খুব সত্য, লিঙ্ক / বেঞ্চমার্কের জন্য ধন্যবাদ। আমি এখনও কোনও পারফরম্যান্স বাধা পাইনি, তবে সম্ভবত পরে করব। এছাড়াও, আমি বুঝতে পেরেছিলাম যে, সম্ভবত /var/log, /var/www(সোর্স), এবং এর মতো স্ট্রিপগুলি এনক্রিপ্ট করার বিষয়ে ভাবতে শুরু করব /tmpযাতে ফুল ডিস্ক এনক্রিপশনটি আরও বোধগম্য বলে মনে হয়!
আন্ডারস্কোর_

@ মাউন্ডস_ডি: হ্যাঁ, এবং তারপরে আপনি /etcএবং অন্যান্য শীর্ষ-স্তরের ডিরেক্টরিগুলি সম্পর্কে চিন্তাভাবনা শুরু করলেন ... শেষে ফুল ডিস্ক এনক্রিপশন একটি সহজ এবং দ্রুত সমাধান যা আপনাকে প্রতি রাতে শিশুর মতো ঘুমাতে দেয়। ^^
পিক

5

এখানে বেশ কয়েকটি হার্ডওয়্যার সমাধান লক্ষণীয়।

প্রথমত কিছু ল্যাপটপ যেমন কিছু লেনোভো ব্যবসায়ের ল্যাপটপের সাথে একটি টেম্পার সনাক্তকরণ স্যুইচ আসে যা কেসটি খোলার পরে সনাক্ত করে। লেনভোতে এই বৈশিষ্ট্যটি BIOS এ সক্রিয় করা দরকার এবং একটি প্রশাসক পাসওয়ার্ড সেট করা দরকার। যদি টেম্পার সনাক্ত করা হয় তবে ল্যাপটপটি তাত্ক্ষণিকভাবে বন্ধ হয়ে যাবে, (স্টার্টআপ) এটি প্রথমে একটি সতর্কতা প্রদর্শন করবে এবং এডমিনের পাসওয়ার্ড এবং যথাযথ এসি অ্যাডাপ্টারের প্রয়োজন হবে। কিছু টেম্পার ডিটেক্টর একটি শ্রবণযোগ্য অ্যালার্মও বন্ধ করে দেবে এবং কোনও ইমেল প্রেরণের জন্য কনফিগার করা যায়।

টেম্পার সনাক্তকরণ সত্যিই হস্তক্ষেপ রোধ করে না (তবে এটি র‌্যাম থেকে ডেটা চুরি করা আরও কঠিন করে তুলতে পারে - এবং সিএমওএস ব্যাটারি অপসারণের চেষ্টা করার মতো সত্যই ডাজি কিছু সনাক্ত করে যদি টেম্পার সনাক্তকরণ ডিভাইসটিকে "ইট" তৈরি করতে পারে)। এর প্রধান সুবিধাটি হ'ল যে কেউ আপনাকে না জেনে গোপনে হার্ডওয়ারের সাথে টেম্পার করতে পারে না - আপনি যদি পুরো ডিস্ক এনক্রিপশন হিসাবে শক্তিশালী সফ্টওয়্যার সুরক্ষা স্থাপন করে থাকেন তবে হার্ডওয়ারের সাথে গোপনে হস্তক্ষেপ করা বাকি আক্রমণ আক্রমণকারীদের মধ্যে অবশ্যই একটি।

আরেকটি শারীরিক সুরক্ষা হ'ল কিছু ল্যাপটপ একটি ডকে লক করা যায়। যদি ডকটি সুরক্ষিতভাবে কোনও টেবিলের উপরে মাউন্ট করা থাকে (স্ক্রুগুলির মাধ্যমে যা ল্যাপটপের নীচে থাকবে) এবং ল্যাপটপটি ব্যবহার না করা অবস্থায় ডকে লক করে রাখা থাকে, তবে এটি শারীরিক সুরক্ষার একটি অতিরিক্ত স্তর সরবরাহ করে। অবশ্যই এটি একটি নির্ধারিত চোরকে থামিয়ে দেবে না তবে আপনার বাড়ি বা ব্যবসা থেকে ল্যাপটপটি চুরি করা অবশ্যই এটি শক্ত করে তোলে এবং লক করার সময় এটি পুরোপুরি ব্যবহারযোগ্য (এবং আপনি পেরিফেরিয়ালস, ইথারনেট এবং ডগের সাথে প্লাগ ইন করতে পারেন)।

অবশ্যই, এই শারীরিক বৈশিষ্ট্যগুলি ল্যাপটপগুলিতে সুরক্ষিত করার জন্য কার্যকর নয়। তবে আপনি যদি সচেতন সচেতন হন তবে ল্যাপটপ কেনার সময় তাদের বিবেচনা করা সার্থক হতে পারে।


2

আপনার ডিস্কটি এনক্রিপ্ট করার পাশাপাশি (আপনি এটির কাছাকাছি পাবেন না): - সেলইনাক্স এবং টিআরএসআর। উভয়ই লিনাক্স কার্নেলটিকে শক্ত করে এবং আক্রমণকারীদের মেমরি থেকে জিনিসগুলি পড়তে অসুবিধা করার চেষ্টা করে।

আপনি যখন সেখানে রয়েছেন: আমরা এখন আপনার ডেবিট কার্ডের তথ্য (তারা এগুলি করে না) কেবল দুষ্ট র্যান্ডম ছেলেরা কেবল ভয় পায় না, তবে গোয়েন্দা সংস্থাগুলির যথেষ্ট পরিমাণে থাকে। সেক্ষেত্রে আপনি আরও কিছু করতে চান :

  • পিসি থেকে ক্লাব-উত্স (এছাড়াও ফার্মওয়্যার) খোলার চেষ্টা করুন। এর মধ্যে ইউইএফআই / বিআইওএস অন্তর্ভুক্ত রয়েছে!
  • নতুন ইউইএফআই / বিআইওএস হিসাবে টিয়ানোকোর / কোরবুট ব্যবহার করুন
  • নিজের কীগুলি দিয়ে সিকিউর বুট ব্যবহার করুন।

আপনি করতে পারেন এমন প্রচুর অন্যান্য জিনিস রয়েছে তবে সেগুলির সাথে তাদের সুড়সুড়ি করার জন্য যুক্তিসঙ্গত পরিমাণ দেওয়া উচিত।

এবং ভুলে যাবেন না: xkcd ;-)


এই পরামর্শগুলি সহায়ক নয়। SELinux বা TRESOR কেউই শারীরিক অ্যাক্সেস সহ কাউকে থামায় না। তারা এই হুমকি মডেল জন্য ডিজাইন করা হয় নি। তারা সুরক্ষার একটি মিথ্যা ধারণা প্রদান করবে। পিএস পার্জিং ক্লোজড-সোর্স কোডটি শারীরিক অ্যাক্সেস সহ কারও বিরুদ্ধে সুরক্ষা সরবরাহের সাথে সম্পূর্ণ সম্পর্কিত নয়।
DW

1
@ DW "TRESOR (" TRESOR रनস এনক্রিপশন সুরক্ষিতভাবে বাইরে র‌্যাম "এর জন্য রিকার্সিভ সংক্ষিপ্ত বিবরণ) একটি লিনাক্স কার্নেল প্যাচ যা কোল্ড বুট আক্রমণ থেকে রক্ষা করার জন্য সিপিইউ-ভিত্তিক এনক্রিপশন সরবরাহ করে" - সুতরাং TRESOR অবশ্যই এই জাতীয় পরিস্থিতিতে সহায়তা করে। তবে এটি কেবল একটি সাইড পয়েন্ট। আমি 'অতিরিক্তভাবে' লিখেছিলাম কারণ আপনি যদি নিজের ডিস্কটি এনক্রিপ্ট না করেন (কোনও শারীরিক অ্যাক্সেসের দৃশ্যে) এই জিনিসগুলি সত্যিই কিছু করবে না। তবে আপনি যখন শারীরিক সুরক্ষা কাটাচ্ছেন তখন আপনার ভুলে যাবেন না যে আক্রমণকারী এখনও ঠিক বুট আপ করতে পারে এবং একটি ডিজিটাল আক্রমণও করতে পারে (অর্থাত্‍ বাগগুলি শোষণ করে)।
লার্কি

@ ডাব্লুডাব্লু আপনার পিসিটি সুন্দরভাবে এনক্রিপ্ট করা থাকলেও সুবিধাগুলি বৃদ্ধির ঝুঁকিতে থাকে তবে এটি বেশ ছদ্মবেশী। এ কারণেই - যদি কেউ কোনও শারীরিক দিক থেকে সিস্টেমটি সুরক্ষিত করতে চলেছে - তবে কিছু কঠোর সফ্টওয়্যার-সাইডও করা উচিত। আমি স্পষ্টতই বলেছি যে তারা লিনাক্স কার্নেলকে শক্ত করেছিল এবং এগুলি অতিরিক্তভাবে করা উচিত । একই জিনিসটি ক্লোজড-সোর্স সফ্টওয়্যারটির ক্ষেত্রে যায়। আপনার ডিস্কটি দুর্দান্তভাবে এনক্রিপ্ট করা হতে পারে তবে ইউইএফআইতে যদি একটি ব্যাক-ডোর কীলগার থাকে তবে এটি আপনাকে গোয়েন্দা সংস্থাগুলির বিরুদ্ধে সহায়তা করবে না।
লার্কি

আপনি যদি পুরো ডিস্ক এনক্রিপশন ব্যবহার করেন এবং আপনার কম্পিউটারকে অযৌক্তিকভাবে চালিত না ছেড়ে রাখেন তবে সুবিধামুক্তি বাড়ানোর আক্রমণটি অপ্রাসঙ্গিক, কারণ আক্রমণকারী ডিক্রিপশন পাসওয়ার্ডটি জানবে না। (। পূর্ণ ডিস্ক এনক্রিপশন সঠিক ব্যবহার শাট ডাউন করতে হবে / যখন সঙ্গিহীন হাইবারনেট) আপনি পূর্ণ ডিস্ক এনক্রিপশন ব্যবহার করেন এবং যদি না যেমন, একটি USB সংযোজনের - আপনার কম্পিউটার সঙ্গিহীন ছেড়ে, তারপর পূর্ণ ডিস্ক এনক্রিপশন পদ্ধতি কোনো সংখ্যা দ্বারা বাইপাস করা যাবে dongle - এমনকি আপনি TRESOR, SELinux, ইত্যাদি ব্যবহার করলেও, সেগুলি এই হুমকি মডেলের জন্য ডিজাইন করা হয়নি। এই উত্তরটি কোনও সাবধানতার সাথে সুরক্ষা বিশ্লেষণের প্রতিফলিত বলে মনে হচ্ছে না।
DW

1
ওয়েজেল-শব্দ "" চেষ্টা করুন "এর মাধ্যমে, যে কোনও কিছু যোগ্যতা অর্জন করে - পচা 13 এনক্রিপশন নিশ্চিত করে দেখার চেষ্টা করতে পারে যে কোনও এক্সপ্লিট সিস্টেমটি নিয়ন্ত্রণ করতে পারে না। এটি সাফ করার মতো সফল হবে না, তবে আমি এটিকে চেষ্টা হিসাবে বর্ণনা করতে পারি। আমার বক্তব্যটি হ'ল আপনি যে প্রতিরক্ষা সংগ্রহ করছেন তা এই শ্রেণীর আক্রমণ বন্ধ করতে কার্যকর নয়। SELinux / TRESOR কোল্ড বুট বন্ধ করবেন না। সুরক্ষা বিশ্লেষণ করতে, আপনাকে হুমকি মডেল দিয়ে শুরু করতে হবে এবং সেই নির্দিষ্ট হুমকির মডেলের বিরুদ্ধে সুরক্ষা বিশ্লেষণ করতে হবে। সুরক্ষা হ'ল বাড়তি অতিরিক্ত বিধিনিষেধের অন্তহীন তালিকায় ছিটানোর প্রক্রিয়া নয়। এটির জন্য কিছু বিজ্ঞান আছে।
DW

2

কারণ আপনি প্রশ্নটি কিছুটা পরিবর্তন করেছেন, পরিবর্তিত অংশটির জন্য আমার উত্তর এখানে:

শারীরিক অ্যাক্সেসের মাধ্যমে হ্যাকিং সম্ভব না হওয়ার জন্য আমি কীভাবে আমার মেশিনকে সুরক্ষিত করতে পারি?

উত্তর: আপনি পারবেন না

টেম্পার সনাক্তকরণ , এনক্রিপশন ইত্যাদির মতো প্রচুর উন্নত হার্ডওয়্যার এবং সফ্টওয়্যার সিস্টেম রয়েছে তবে এটি সব কিছুতেই আসে:

আপনি আপনার ডেটা সুরক্ষিত করতে পারেন তবে একবার আপনার হার্ডওয়ারটি কারও কাছে অ্যাক্সেস হয়ে যাওয়ার পরে আপনি তা রক্ষা করতে পারবেন না। এবং যদি অন্য কারও অ্যাক্সেস পাওয়ার পরে আপনি যদি কোনও হার্ডওয়্যার ব্যবহার করা চালিয়ে যান তবে আপনি আপনার ডেটা বিপন্ন করে তুলছেন!

টেম্পার সনাক্তকরণ সহ একটি সুরক্ষিত নোটবুক ব্যবহার করুন যা র‌্যামটি যখন এটি খোলার চেষ্টা করে, সম্পূর্ণ ডিস্ক এনক্রিপশন ব্যবহার করে, আপনার ডেটা ব্যাকআপগুলি বিভিন্ন স্থানে এনক্রিপ্ট করে রাখার চেষ্টা করে তখন তা পরিষ্কার করে। তারপরে আপনার হার্ডওয়ারটিতে শারীরিক অ্যাক্সেস পেতে যথাসম্ভব কঠোর করুন। তবে আপনি যদি বিশ্বাস করেন যে কারও কাছে আপনার হার্ডওয়্যারটিতে অ্যাক্সেস রয়েছে তবে এটি মুছুন এবং এটিকে ফেলে দিন।

আপনার পরবর্তী প্রশ্নটি জিজ্ঞাসা করা উচিত : আমি কীভাবে এমন নতুন হার্ডওয়্যার অর্জন করতে পারি যার সাথে কোনও ছলনা করা হয়নি।


1

একটি ব্যবহার করুন ATA পাসওয়ার্ড আপনার HDD এর / এসএসডি জন্য

এটি পাসওয়ার্ড ছাড়াই ডিস্কের ব্যবহার রোধ করবে । এর অর্থ আপনি পাসওয়ার্ড ছাড়া বুট করতে পারবেন না কারণ আপনি পাসওয়ার্ড ছাড়াই এমবিআর বা ইএসপি অ্যাক্সেস করতে পারবেন না । এবং যদি ডিস্কটি অন্য ম্যানচিনের অভ্যন্তরে ব্যবহৃত হয়, তবে পাসওয়ার্ডটি এখনও প্রয়োজন।

সুতরাং, আপনি আপনার এইচডিডি / এসএসডি এর জন্য তথাকথিত ব্যবহারকারী এটিএ পাসওয়ার্ড ব্যবহার করতে পারেন । এটি সাধারণত BIOS এর ভিতরে সেট করা থাকে (তবে এটি কোনও BIOS পাসওয়ার্ড নয়)।

অতিরিক্ত সুরক্ষার জন্য, আপনি ডিস্কেও একটি মাস্টার এটিএ পাসওয়ার্ড সেট করতে পারেন । প্রস্তুতকারকের পাসওয়ার্ড ব্যবহার নিষ্ক্রিয় করতে।

আপনি ক্লিমে hdparmএটিও করতে পারেন।

অতিরিক্ত যত্ন নেওয়া উচিত কারণ আপনি পাসওয়ার্ডটি আলগা করলে আপনার সমস্ত ডেটা আলগা করতে পারে।

http://www.admin-magazine.com/Archive/2014/19/Using-the-ATA-security-features-of-modern-hard-disks-and-SSDs

দ্রষ্টব্য: এখানে এমন দুর্বলতাও রয়েছে যেগুলি এখানে এমন সফ্টওয়্যার রয়েছে যা এটিএ পাসওয়ার্ড পুনরুদ্ধারের দাবি করে, বা এমনকি এটি সরিয়ে দেওয়ার দাবি করে। সুতরাং এটি 100% নিরাপদও নয়।

দ্রষ্টব্য: এটিএ পাসওয়ার্ড অগত্যা এফইডি (ফুল ডিস্ক এনক্রিপশন) দিয়ে আসে না

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.