انجمن‌های فارسی اوبونتو

لطفاً به انجمن‌ها وارد شده و یا جهت ورود ثبت‌نام نمائید

لطفاً جهت ورود نام کاربری و رمز عبورتان را وارد نمائید


توزیع گنو/لینوکس اوبونتو ۲۰ ساله شد 🎉

نویسنده موضوع: افزایش امنیت  (دفعات بازدید: 2239 بار)

0 کاربر و 4 مهمان درحال مشاهده موضوع.

آفلاین سودو.

  • High Hero Member
  • *
  • ارسال: 3095
  • جنسیت : پسر
  • :(){ :|:& };:
پاسخ : افزایش امنیت
« پاسخ #30 : 18 اردیبهشت 1401، 12:05 ق‌ظ »
همانند ندارین بزرگوار ، براستی که اژدهای دنیای گنو / لینوکس نامی شایسته شماس !
از تک تک واژگان این نوشته هر دم آموختم !

نقل‌قول
مادربرد‌های لپ‌تاپ‌ها معمولا اینجوری نیستند. (با فرض اینکه uefi باشند) و با قطع برق، تنظیماتشون به حالت اول بر نمی‌گرده.
مادربرد‌های رده سرور هم معمولا اینجوری نیستند.
بعضی از مادربرد‌های رده دسکتاپ که معمولا برای workstation ها استفاده میشن هم با قطع برق، تنظیماتشون به حالت اول برنمی‌گرده.
پس در این ها دیگه ( مهاجم ) نمیتونه از اون رمز جلوتر بره ؟ بعد اگه خود فرد رمزو فراموش کنه چی ؟

نقل‌قول
اگه در مورد initramfs اطلاعات بیشتری می‌خواهید، توی یه موضوع دیگه بپرسید.
همین اندازه میدونم که داده ای مورد نیاز هسته ، هنگام فرایند راه اندازی ، به کمک initramfs به لینوکس داده میشه ، اگه فراتر از این ، مواردی هست شگفتا بر انگیز و شما هم میتونید این مورد رو باز کنید ، چرا که نه !

نقل‌قول
یه راه برای جلوگیری از این نوع حمله اینه که کرنل و initramfs رو روی یه فلش usb  یا یه cd یا ... ذخیره کنید و هر وقت خواستید سیستم رو روشن کنید، اون چیز رو وصل کنید و بعد از اینکه مراحل بوت انجام شد اون چیز رو جدا کنید
چجوری میتونم این کارو انجام بدم ؟
مگه این هسته روی usb ، مدیریت سامانه رو بدست نگرفته ؟ پس چجوری میشه جداش کرد ؟
بار کننده راه اندازی یا همون ( boot loader ) رو بریزیم روی usb بهتره یا لینوکس و initramfs رو ؟ یا هر سه رو ؟
میشه از جای خالی مونده usb بهره برد ؟

نقل‌قول
میشه اون حافظه رو هم رمزنگاری کرد تا حتی اگه مهاجم به اون حافظه دسترسی پیدا کرد، کلیدش رو هم نیاز داشته باشه.
با همون روش رمزنگاری دیسک ؟

نقل‌قول
یه راه دیگه برای جلوگیری از این حمله اینه که firmware روی مادربرد، فقط فایل‌های امضا شده رو اجرا کنه. این توی uefi پیاده شده و بهش میگن secure boot. البته معمولا به طور پیش‌فرض از کلید‌ها و امضا‌های مایکروسافت استفاده می‌کنه که میشه خیلی راحت با یه بوتلودر امضا شده دورش زد.
توزیع‌های مختلفی هم هستند که بوتلودر امضا شده دارند. مثل همین اوبونتو یا دبیان یا فدورا. با آرچ هم فکر کنم بشه.
راه‌های دیگه هم برای دور زدن secure boot هست، مثل تغییر firmware روی مادربرد.
احتمالا بعدا در مورد secure boot و بقیه حملات وقتی دسترسی فیزیکی هست یه چیزی میگم
صد در صد ، یکی از بزرگ ترین انگیزه های من برای اومدن به انجمن فرسته های شماس !
بررسی ( امضای ) راه انداز در bios ممکن نیست ؟
اگر هست ، چجوری باید بهش گفت که فقط این boot loader برگزیده رو میتونی اجرا کنی ؟
چنانچه بشه این کارو انجام داد ، دیگه راه انداز روی توزیع های زنده اجرا نمیشن دیگه ؟ برای کسی میگم که توانایی دستکاری ثابت افزار رو نداره !
بعد زمانی که گراب خراب بشه چجوری میشه درستش کرد ؟
فک کنم گرابو روی usb بزاریم ایده بهتریه نه ؟ میشه هم گراب و هم هسته و initramfs روی usb باشن و پرونده های دیگری هم کنارش نوشت ؟
زمانیکه این سه مورد رو جدا کنیم میشه کل دیسک رو رمزنگاری کرد درسته ؟ پس اگر هم کل دیسک رمز نگاری شده باشه ، هم فقط از طریق usb ویژه بتوان سامانه رو راه اندازی کرد چون فقط اون ( امضا ) رو میپذیره ، چجوری میتونه ( حمله ای ) بکنه با این گمان که ندونه چجوری ثابت افزار رو دستکاری کنه

نقل‌قول
اگر امکانش منبع(لینک دوره و...) اطلاعاتی که در طول زمان کسب کردید رو بگید
گویا ویکی ارچ و manual ها
« آخرین ویرایش: 18 اردیبهشت 1401، 03:19 ب‌ظ توسط ㅤsudoㅤ »
آرچ و گنوم!

آفلاین جعفر فرقانلوژ

  • High Hero Member
  • *
  • ارسال: 5100
  • جنسیت : پسر
  • اممم . اره دیگه! mehr32
پاسخ : افزایش امنیت
« پاسخ #31 : 20 اردیبهشت 1401، 01:59 ب‌ظ »
نقل‌قول
کار زیاد سختی نیست. با تکزیع زنده کامپیوتر رو بوت می‌کنید، اگر هم نشد، حافظه ذخیره‌سازی رو جدا می‌کنید، می‌زنید به کامپیوتر/لپ‌تاپ خودتون.
فایل‌سیستم‌ روت رو یه جا مثلا /mnt/ سوار می‌کنید و با chroot وارد میشید و با یه passwd رمز رو عوض می‌کنید. به همین سادگی
البته وقتی توزیعی مثل اوبونتو داشته باشند که کاربر روت غیر فعال باشه راحت از گراب میریم به منوی ریکاوری و بدون رمز دسترسی کامل به روت داریم حالا راحت با دستور پسورد رمز رو عوض می کنیم
دیگر به انجمن باز نخواهم گشت شاید جایی با این نام پیدام کنید اگه کاری با من دارید : qxc9966@protonmail.com

آفلاین nixoeen

  • ناظر انجمن
  • *
  • ارسال: 4872
  • جنسیت : پسر
  • masoft قدیم
پاسخ : افزایش امنیت
« پاسخ #32 : 20 اردیبهشت 1401، 05:43 ب‌ظ »
البته وقتی توزیعی مثل اوبونتو داشته باشند که کاربر روت غیر فعال باشه راحت از گراب میریم به منوی ریکاوری و بدون رمز دسترسی کامل به روت داریم حالا راحت با دستور پسورد رمز رو عوض می کنیم
هر توزیعی که داشته باشید، از گراب میشه بدون رمز وارد سیستم شد.

آفلاین سودو.

  • High Hero Member
  • *
  • ارسال: 3095
  • جنسیت : پسر
  • :(){ :|:& };:
پاسخ : افزایش امنیت
« پاسخ #33 : 23 اردیبهشت 1401، 07:09 ب‌ظ »
نمیدونید چه اندازه خوشحال میشم هر بار که اینو میبینم 😄

آرچ و گنوم!

آفلاین Dragon-

  • عضو کاربران ایرانی اوبونتو
  • *
  • ارسال: 5124
  • جنسیت : پسر
پاسخ : افزایش امنیت
« پاسخ #34 : 23 اردیبهشت 1401، 07:17 ب‌ظ »
پس در این ها دیگه ( مهاجم ) نمیتونه از اون رمز جلوتر بره ؟
بله همینجوره. مگه اینکه firmware روی مادربرد رو تغییر بده یا اینکه firmware آسیب‌پذیری امنیتی/درپشتی داشته باشه. یا اینکه رمزعبور رو به هر روشی بدست بیاره.
نقل‌قول
بعد اگه خود فرد رمزو فراموش کنه چی ؟
اونوقت باید firmware روی مادربرد رو تغییر داد تا این رمز حذف بشه. یا شاید خود سازنده مادربرد یه امکانی برای این موارد در نظر گرفته باشه.

نقل‌قول
همین اندازه میدونم که داده ای مورد نیاز هسته ، هنگام فرایند راه اندازی ، به کمک initramfs به لینوکس داده میشه
تا حدودی درست میگید، ولی دقیق نیست. initramfs یه early userspace هست.
در مورد initramfs توی یه موضوع دیگه بپرسید. بحث رو از این عنوان اصلی این موضوع دور می‌کنه.

نقل‌قول
مگه این هسته روی usb ، مدیریت سامانه رو بدست نگرفته ؟ پس چجوری میشه جداش کرد ؟
کرنل  توسط بوتلودر یا هر چیز دیگه توی رم بارگذاری میشه و اونجا کار‌ها رو انجام میده. کرنل در حال اجرا اون فایلی نیست که توی /boot/ می‌بینید، کرنل توی رم قرار گرفته و از اونجا کار‌ها رو انجام میده.
می‌تونید فایل کرنل توی /boot/ رو پاک کنید و ببینید که برای سیستم در حال اجرا مشکلی ایجاد نمیشه. ولی بعد از راه‌اندازی مجدد، سیستم دیگه با کرنل قبلی بوت نمیشه. چون فایل اون موجود نیست که یه چیزی بخواهد اون رو توی رم بارگذاری کنه.

نقل‌قول
بار کننده راه اندازی یا همون ( boot loader ) رو بریزیم روی usb بهتره یا لینوکس و initramfs رو ؟ یا هر سه رو ؟
هر سه رو بریزید خوبه. ولی اگه کامپیوتر توی حالت uefi بوت میشه، قضیه یکم فرق می‌کنه.
نقل‌قول
میشه از جای خالی مونده usb بهره برد ؟
بله میشه.

نقل‌قول
با همون روش رمزنگاری دیسک ؟
بله با همون روش. ولی اگه می‌خواهید بوتلودر شما گراب باشه، باید از luks1 استفاده کنید. پشتیبانی از luks2 هنوز توی گراب کامل نیست.

نقل‌قول
بررسی ( امضای ) راه انداز در bios ممکن نیست ؟
تا جایی که می‌دونم نه. پیاده‌سازی‌های bios چنین چیزی ندارند.

نقل‌قول
اگر هست ، چجوری باید بهش گفت که فقط این boot loader برگزیده رو میتونی اجرا کنی ؟
به طور خلاصه از طریق امضای دیجیتال.

نقل‌قول
چنانچه بشه این کارو انجام داد ، دیگه راه انداز روی توزیع های زنده اجرا نمیشن دیگه ؟ برای کسی میگم که توانایی دستکاری ثابت افزار رو نداره !
بله. همینجور هست که می‌گید.

نقل‌قول
بعد زمانی که گراب خراب بشه چجوری میشه درستش کرد ؟
من فرض می‌کنم منظورتون اینه که وقتی توزیع خراب شده باید چیکار کنید.
در این حالت می‌تونید secure boot رو موقتی خاموش کنید، کار‌های تعمیر رو انجام بدید و بعد دوباره secure boot رو فعال کنید.
می‌تونید هم از iso هایی که بوتلودر اونها از قبل امضا شده استفاده کنید. iso رسمی اکثر توزیع‌ها یه shim امضا شده با کلید مایکروسافت دارد. اگه از کلید‌های خودتون برای secure boot استفاده کردید، می‌تونید بوتلودر روی iso رو خودتون امضا کنید و iso جدید بسازید؛ زیاد سخت نیست.

نقل‌قول
فک کنم گرابو روی usb بزاریم ایده بهتریه نه ؟ میشه هم گراب و هم هسته و initramfs روی usb باشن و پرونده های دیگری هم کنارش نوشت ؟
اگه هر سه رو بذارید روی فلش بهتره. می‌تونید از اون فلش هم برای کار‌های دیگه استفاده کنید ولی دقت کنید با اینکار ممکنه یه کس دیگه بتونه بوتلودر روی فلش رو تعویض کنه.

نقل‌قول
زمانیکه این سه مورد رو جدا کنیم میشه کل دیسک رو رمزنگاری کرد درسته ؟
بله، میشه هر چی روی دیسک هست رو رمزنگاری کرد.

نقل‌قول
پس اگر هم کل دیسک رمز نگاری شده باشه ، هم فقط از طریق usb ویژه بتوان سامانه رو راه اندازی کرد چون فقط اون ( امضا ) رو میپذیره ، چجوری میتونه ( حمله ای ) بکنه با این گمان که ندونه چجوری ثابت افزار رو دستکاری کنه
باز هم میشه حملات مختلفی انجام داد. مثل cold boot attack. اگه مهاجم بتونه وقتی که کامپیوتر روشنه یا به تازگی خاموش شده بهش دسترسی پیدا کنه، می‌تونه با نیتروژن مایع یا هر چیز دیگه دمای رم رو به شدت پایین بیاره. با اینکار اطلاعات توی رم برای مدت قابل توجهی باقی می‌مونند، حتی با قطع برق.
بعد میشه اطلاعات رم رو خوند و کلید رمزنگاری رو بدست آورد.

مهاجم می‌تونه خود کیبورد رو دستکاری کنه و یه keyloger داخلش کار بذاره تا بفهمه شما چی تایپ کردید و از اون راه کلید رمزنگاری رو بدست بیاره. این یکی نسبت به بقیه روش‌ها یکم ساده‌تره.

 اگه کسی بتونه موقعی که کامپیوتر روشنه به اون نفوذ کنه و دسترسی روت بگیره، می‌تونه کلید رمزنگاری رو هم بدست بیاره، مگه اینکه lockdown اوی کرنل فعال و روی حالت confidentiality باشه.

خطوط pci (هم pci و هم pcie)، درگاه‌های firewire و همینطور thunderbolt دسترسی کامل به رم دارند و می‌تونند رم و در نتیجه کلید رمزنگاری رو بخونند. دسترسی firewire و thunderbolt توی کرنل لینوکس قابل محدود‌سازی هست ولی در مورد خطوط pci نمی‌تونید کار زیادی انجام بدید

در برابر تحلیل رمزی شلنگ پلاستیکی هم آسیب‌پذیر هستید.

یه ارگان دولتی نه تنها منابع انجام حملات بالا رو داره، بلکه می‌تونه به انواع روش‌های قانونی و غیرقانونی شما رو مجبور کنه تا کلید رمزنگاری رو بدید. پس اگه می‌خواهید چیزی رو از دولت‌ها مخفی کنید، رمزنگاری فقط یکی از کار‌هایی هست که باید انجام بدید. :)

هرچند تغییر firmware برای برداشتن رمز uefi زیاد سخت نیست. کلی ویدیو توی یوتیوب درباره این موضوع پیدا میشه که توضیح داده باید چیکار کنید.
با یه رزبری پای و یه نگهدارنده چیپ هم میشه اینکار رو کرد.

اگر امکانش منبع(لینک دوره و...) اطلاعاتی که در طول زمان کسب کردید رو بگید تا کمتر مزاحم شما بشیم حقیقتا خجالت میکشم سوال بپرسم. :)
ویکی خود توزیع‌ها معمولا توضیحات کاملی دارند، میشه داخلشون لینک به جاهای دیگه هم پیدا کرد. ویکی آرچ از بقیه بیشتر.
صفحات man هم هستند.
توی دبیان، مسیر زیر شامل یه سری دایرکتوری به اسم بسته‌های نصب شده وجود داره که داخل هر کدوم میشه یه سری مستندات مریوط به اون بسته پیدا کرد.
/usr/share/doc/یکمی هم با آزمایش و خطا میشه به نتیجه رسید.

نمیدونید چه اندازه خوشحال میشم هر بار که اینو میبینم 😄


چند روزه این رو باز کردم، ولی کار خاصی نکردم. هربار حدود یه ۱۰ خط می‌نویسم و بعد میرم سر یه کار دیگه.
« آخرین ویرایش: 23 اردیبهشت 1401، 07:35 ب‌ظ توسط Dragon- »
میدونید که زکات علم نشر آن است

آفلاین سودو.

  • High Hero Member
  • *
  • ارسال: 3095
  • جنسیت : پسر
  • :(){ :|:& };:
پاسخ : افزایش امنیت
« پاسخ #35 : 23 اردیبهشت 1401، 08:08 ب‌ظ »
سپاس بابت حوصله و انرژی ای که میزارید : )

نقل‌قول
تا حدودی درست میگید، ولی دقیق نیست. initramfs یه early userspace هست.
نفهمیدم ولی صد در صد در موضوعی که بعد از این فرسته ایجاد میکنم براش ، قطعا جوری توضیح میدید و مسأله رو باز میکنید ، شایسته ستایش : )

نقل‌قول
کرنل  توسط بوتلودر یا هر چیز دیگه توی رم بارگذاری میشه و اونجا کار‌ها رو انجام میده. کرنل در حال اجرا اون فایلی نیست که توی /boot/ می‌بینید، کرنل توی رم قرار گرفته و از اونجا کار‌ها رو انجام میده
اخ آره دیگه ، چه اندازه حواس پرتم من 🤦🏻‍♂️
اینجوری خیلی خوب میشه چون باز هم توزیع نصب شده فضای کمتری روی دیسک اشغال می‌کنه !
دیگه چه مواردی هست که میتونه روی usb قرار بگیره ؟

نقل‌قول
هر سه رو بریزید خوبه. ولی اگه کامپیوتر توی حالت uefi بوت میشه، قضیه یکم فرق می‌کنه.
روی بایوس هستم ولی اگه حوصله داشتید ، کنجکاوم بدون چرا قضیه متفاوته ، اصراری نیست : )

نقل‌قول
بله میشه.
گفتید بله میشه از باقی فضای usb بهره برد ، یعنی افراز بندی میشه دیگه نه ؟

نقل‌قول
تا جایی که می‌دونم نه. پیاده‌سازی‌های bios چنین چیزی ندارند.
نمیشه بهشون هم افزود این امکانو ؟

نقل‌قول
باز هم میشه حملات مختلفی انجام داد ...
اونجور که فهمیدم گویا هیچ غلطی نمیتونیم بکنیم اگر دسترسی فیزیکی داشته باشه مهاجم 😶
ولی دست کم برای امتحانش و افزایش دانش ( و میزان خفن بودن 😅 ) ، ممنون میشم توضیح بدین نحوه جدا کردن اون سه مورد رو ؟ فقط یه افزار درست کنم و شاخه boot رو کپی کنم روش مثلا ؟

چند تا سوال ...
میدونیم که هکر ها حتی در صورت عدم دسترسی فیزیکی ، باز هم امکانش هست بتونن به اطلاعات ما دسترسی داشته باشن ، پس چه مواردی لازمه رعایت بشه برای افزایش امنیت ؟ اونایی که من بخاطر دارم : یه توزیع امن و نامدار ، رمز نگاری داده ها ، ماندن در مخازن ، تور !
اپراتور های اینترنت مثل ایرانسل و شاتل و الباقی ، به اطلاعات ما دسترسی ندارن ؟ اگه دارن راهی برای جلوگیری هست ؟
سوال بعدیم اینه که خب اون رمز نگاری ها چطوریه ؟ مثلا من یه فلش رو رمزنگاری کنم برای دسترسی به اطلاعاتش باید چیکار کنم ؟ بایوس چجوری میتونه یه usb رمزنگاری شده حاوی گراب و کرنل رو بخونه و گراب رو بوت کنه ؟ تنها چیزی که من از رمز نگاری می‌دونم ، رمز نگاری دو کلیده و pgp هست و برنامه gpg در حد قسمت آخر دوره الپیک یک قدیمی جادی 😅 که بعد از رمزنگاری ، فایل ، دیگه اون پرونده قبلی نبود ، پس هر بار نیاز باشه بازش میکنه و میخونه و دوباره رمزنگاری ؟ یکم توضیح میدید ؟

نقل‌قول
چند روزه این رو باز کردم، ولی کار خاصی نکردم. هربار حدود یه ۱۰ خط می‌نویسم و بعد میرم سر یه کار دیگه
نمی‌دونید که همین هم چه اندازه برام ارزشمنده 🙃🌹

( بیشتر برای افزایش دانش هست پرسشام ، وگرنه اطلاعات سری دولت ها پیش من نیست 😂
ممنون میشم این تاپیک رو ناظرین عزیز سنجاق کنن ، واقعا نباید هیچ کس از دونستن این موارد محروم بمونه 🙃 )
« آخرین ویرایش: 25 اردیبهشت 1401، 02:29 ب‌ظ توسط ㅤsudoㅤ »
آرچ و گنوم!

آفلاین Dragon-

  • عضو کاربران ایرانی اوبونتو
  • *
  • ارسال: 5124
  • جنسیت : پسر
پاسخ : افزایش امنیت
« پاسخ #36 : 02 خرداد 1401، 04:07 ب‌ظ »
اینجوری خیلی خوب میشه چون باز هم توزیع نصب شده فضای کمتری روی دیسک اشغال می‌کنه !
البته نباید تفاوت زیادی داشته باشه. کرنل اکثر توزیع‌ها حدود 5 تا 7 Mib هست، initramfs هم معمولا بیشتر از 60Mib نمیشه، کل گراب به همراه متعلقاتش هم فکر نکنم بیشتر از 10Mib بشه.
نقل‌قول
دیگه چه مواردی هست که میتونه روی usb قرار بگیره ؟
دیگه چی رو می‌خواهید روی فلش usb قرار بدید؟
دقت کنید فلش usb ها معمولا از ارزون‌ترین حافظه flash ساخته شدند و به خاطر همین سرعت خیلی بالایی ندارند، در اکثر مواقع یه هارد سرعت بهتری از اونها داره. به خاطر همین اگه بخواهید چیز‌های زیادی روی فلش بنویسید و از اون بخونید، معمولا می‌بینید که کار خیلی سریع پیش نمیره. این در مورد استاندارد usb3 بود، درمورد usb1 و usb2 که معمولا توی کامپیوتر‌های قدیمی استفاده میشه، کند‌تر هم هست.
حتی ممکنه با منتقل کردن کرنل، initramfs و گراب به فلش usb، زمان بوت بیشتر بشه. چون سرعت خوندن و بارگذاری کرنل و initramfs از روی فلش usb به روی رم کمتره.


نقل‌قول
روی بایوس هستم ولی اگه حوصله داشتید ، کنجکاوم بدون چرا قضیه متفاوته ، اصراری نیست : )
وقتی توی uefi الویت بوت رو تنظیم می‌کنید، توی یه سری متغیر EFI ذخیره میشن. داخل اون متغیر‌ها نوشته شده که چه فایلی روی چه پارتیشنی و با چه آپشن‌هایی اجرا بشه.
مشکل اینجاست که اکثر پیاده‌سازی‌های uefi وقتی سعی می‌کنند یکی از الویت‌ها رو بوت کنند و متوجه میشن که اون فایل یا پارتیشنی که فایل داخلش قرار داره دردسترس نیست، کلا اون الویت رو از توی متغیر‌های EFI پاک می‌کنند.
به همین دلیل اگه شما بوتلودر رو روی فلش و الویت رو هم روی اون تنظیم کرده باشید و کامپیوتر رو روشن کنید بدون اینکه فلش متصل باشه، uefi سعی می‌کنه بوتلودری که روی فلش هست رو بوت کنه ولی چون فلش وصل نیست، اینکار انجام نمیشه، uefi میره سراغ الویت بعدی و الویتی که پیدا نشده رو از متغیر‌های EFI حذف میشه.
اگه بعد از این کامپیوتر رو خاموش، فلش رو وصل و کامپیوتر رو دوباره روشن کنید، بوتلودر شما بالا نمیاد چون الویت اون از متغیر‌های EFI پاک شده.
اکثر مادربرد‌های کامپیوتر‌های معمولی اینجوری هستند. معمولا مادربرد‌های سرور‌ها اینجوری عمل نمی‌کنند.

یه راه برای این مشکل اینه که بوتلودر رو توی مسیر بوتلودر پیش‌فرض قرار بدید تا uefi اون رو بوت کنه. مسیر بوتلودر پیش‌فرض برای معماری x86_64 میشه این:
/EFI/Boot/bootx64.efiمسیر بالا نسبت به ESP (همون EFI system partition) هست. از اونجایی که معمولا ESP با vfat فرمت میشه، بزرگ و بودن اسم فایل‌ها و دایرکتوری‌ها مهم نیست چون vfat به بزرگ و کوچک بودن حروف حساس نیست و مثلا BOOT و boot رو یکی حساب می‌کنه.

نقل‌قول
گفتید بله میشه از باقی فضای usb بهره برد ، یعنی افراز بندی میشه دیگه نه ؟
بله فلش رو پارتیشن‌بندی می‌کنید.

نقل‌قول
نمیشه بهشون هم افزود این امکانو ؟
شاید بشه، مطمئن نیستم. می‌تونید خودتون firmware روی مادربرد رو بخونید، با مهندسی معکوس بفهمید چیکار می‌کنه و بعد مال خودتون رو پیاده کنسد که قابلیت‌های مورد نیاز رو هم داشته باشه. کار ساده‌ای نیست.

نقل‌قول
اونجور که فهمیدم گویا هیچ غلطی نمیتونیم بکنیم اگر دسترسی فیزیکی داشته باشه مهاجم 😶
در همه اون حالت‌ها لازم بوده مهاجم حداقل ۲ بار بیاد و بره، یه بار برای پیدا کردن رمز و یه بار برای برداشتن اطلاعات. توی بعضی موارد هم لازم بوده ۳ بار بیاد.
رمزنگاری از اینکه یکی بیاد و هارد رو بدزده و بتونه به اطلاعاتش دست پیدا کنه جلوگیری می‌کنه. (برای دستگاه‌های همراه مثل لپ‌تاپ‌ها یا موبایل‌ها مناسبه)

نقل‌قول
ممنون میشم توضیح بدین نحوه جدا کردن اون سه مورد رو ؟ فقط یه افزار درست کنم و شاخه boot رو کپی کنم روش مثلا ؟
باید فایل fstab رو هم تغییر بدید. از اونجایی که ممکنه بعد از بوت فلش رو جدا کنید، شاید لازم باشه یه سری قوانین برای apt بنوسید که بروزرسانی‌های کرنل رو فقط وقتی انجام بده که پارتیشن مربوط به بوت سوار شده. گراب رو هم باید روی اون فلش نصب کنید. الویت بوت توی bios رو هم باید تغییر بدید.

نقل‌قول
میدونیم که هکر ها ...
شاید منظور شما از هکر با منظور ما از هکر یکی نباشه. فکر کنم منظور شما در اصل شکننده (cracker) بوده. درباره هکر‌ها می‌تونید اینجا یه سری اطلاعات بدست بیارید.

نقل‌قول
چه مواردی لازمه رعایت بشه برای افزایش امنیت ؟ اونایی که من بخاطر دارم : یه توزیع امن و نامدار ، رمز نگاری داده ها ، ماندن در مخازن ، تور !
خود همین محیط گرافیکی (مخصوصا x11) شامل آسیب‌پذیری‌های مختلف هست. خیلی از این آسیب‌پذیری‌ها سعی شده که توی wayland برطرف بشن، ولی اگه از x11 استفاده می‌کنید، بیشتر نگران باشید.
اگه روی wayland، برنامه‌ها رو از طریق xwayland اجرا کنید، بهبود‌های امنیتی wayland رو دریافت نمی‌کنید. دلیلش اینه که وقتی برنامه‌ای از طریق xwayland اجرا میشه، شبیه وقتی هست که مستقیم توی x11 اجرا شده.
معمولا برنام‌هایی که از wayland پشتیبانی نمی‌‌کنند از طریق xwayland اجرا میشن. (که تعدادشون هنوز نسبتا زیاده)

هیچوقت اسکریپت‌هایی که بهشون اعتماد ندارید رو مستقیم دریافت و اجرا نکنید. اگه مشکل امنیتی ایجاد نکنند، ممکنه تغییراتی توی سیستم یا هوم شما ایجاد کنند که با وضعیت فعلی شما سازگار نباشه، یا چیز‌هایی رو تغییر بدهند که نمی‌خواهید عوض بشن. اینکه با دسترسی روت هم اجراش کنید دسترسی اسکریپت برای خرابکاری رو بالا می‌برید.
مثلا این یکی از بدترین دستوراتی هست که می‌تونید اجرا کنید:
bash <(wget -qO- "URL")یا این یکی که بدتره و با دسترسی روت اجراش می‌کنه:
sudo su -c 'bash <(wget -qO- "URL")' rootبه جای "URL" آدرس جایی که قراره اسکرسپت رو ازش دانلود کنید قرار می‌گیره.
اگه به اسکریپت اعتماد دارید مثلا خودتون نوشتیدش یا به کسی که اون رو نوشته اعتماد دارید یا محتواش رو خوندید، اونوقت دریافت و اجرای مستقیم اون نباید خیلی نگران کننده باشه.
ولی معمولا گزینه بهتر اینه که اول اسکریپت رو دانلود و بعد اجرا کنید.

اگه یه دیوار آتش هم تنظیم کنید خوبه. ولی معمولا کم پیش میاد کامپیوتر خانگی بهش نیاز پیدا کنه.

چندین پارامتر کرنل هم هستند که با تغییر اونها میشه  امنیت سیستم رو بهبود داد. ولی با توجه به شرایط، ممکنه امنیت رو بهبود نده.

می‌تونید از ابزار lynis استفاده کنید تا ببینید وضعیت امنیت سیستم چجوریه. می‌تونید تنظیمات اون رو مطابق نیازتون عوض کنید، مییتونید خودتون هم سری test برای اون بنویسید تا چیز‌های دیگه رو هم بررسی کنه. lynis توی مخازن دبیان هست پس فکر کنم توی مخازن دوان هم باشه . بسته lynis شامل خود lynis به همراه چیز‌های مربوط هست.
بعد از اینکه lynis رو نصب کردید، می‌تونید دستور زیر رو بزنید تا امنیت سیستم رو بررسی کنه.
sudo lynis audit system
قابلیت‌های دیگه هم داره، مثلا می‌تونه امنیت image های docker رو هم بررسی کنه.

از اونجایی که روی شاخه ناپایدار دوان هستید، بهتره بسته‌های apt-listchanges و apt-listbugs رو نصب کنید.
اولی وقتی به کار می‌افته که یه بسته رو با APT نصب یا بروزرسانی می‌کنید.
قبل از اینکه dpkg شروع به کار کنه، بررسی می‌کنه که چه چیز خاصی توی اون بسته‌هایی که قراره نصب بشن تغییر کرده.
مثلا اگه رفتار یه آپشن از یه دستور تغییر کرده باشه، این بسته شما رو از اون آگاه می‌کنه. بعد می‌تونید انتخاب کنید که عملیات ادامه پیدا کنه یا اینکه کلا متوقف بشه یا اینکه سعی کنه یه جوری اون بسته رو نصب/بروزرسانی نکنه.

دومی وقتی به کار می‌فته که یه بسته رو با APT نصب، حذف و بروزرسانی می‌کنید.
این یکی هم مثل بالایی قبل از اینکه dpkg شروع به کار کنه اجرا میشه و به شما باگ‌های مرتبط با عملیاتی که قراره روی اون بسته‌ها انجام بدید رو نشون میده و می‌پرسه که چیکار کنه. (عملیات رو کلا متوقف کنه، به عملیات ادامه بده یا سعی کنه یه جوری اون بسته‌ها رو نصب/بروزرسانی/حذف نکنه.)
مثلا اگه دارید یه بسته رو نصب یا بروزرسانی می‌کنید، apt-listbugs باگ‌های اون بسته رو نشون میده. (اگه چیز مهمی شناسایی شده باشه)
برای موقع حذف، باگ‌هایی رو به شما نشون میده که بسته موقع حذف شدن داره. مثلا ممکنه اسکریپت‌های postrm یه بسته مشکل داشته باشند یا با حذف یه بسته، یه بسته دیگه که بهش وابستگی نداره به مشکل بخوره و اینجور چیز‌ها.
از اونجایی که روی شاخه ناپایدار هستید، احتمال وقوع این چیز‌ها بیشتره.
apt-listbugs به یه سری دلایلی روی اوبونتو کار نمیده و توی مخازن اوبونتو هم نیست. در مورد دوان نمی‌دونم قضیه چجوری هست.

دقت کنید با نصب این دوتا بسته، زمان نصب، بروزرسانی و حذف همه بسته‌ها از طریق APT بیشتر میشه. دلیلش اینه که اول باید یه سری bugreport و changelog از اینترنت دریافت بشن که اینکار زمان می‌بره. معمولا حجم این bugreport ها و changelog ها زیاد نیست، ولی حواستون به این موضوع باشه.

نقل‌قول
اپراتور های اینترنت مثل ایرانسل و شاتل و الباقی ، به اطلاعات ما دسترسی ندارن ؟ اگه دارن راهی برای جلوگیری هست ؟
اگه از پروکسی یا vpn استفاده نمی‌کنید، می‌تونند ببینند که به چه جاهایی وصل میشید و از کجا اطلاعات دریافت می‌کنید.
اینکه بفهمند چه اطلاعاتی می‌فرستید و می‌گیرید، بستگی به جایی داره که بهش وصل شدید. اگه ارتباط رمزنگاری شده باشه اونوقت کسی نمی‌تونه وسط راه بفهمه که چی می‌فرستید و دریافت می‌کنید. فقط می‌بینه که کی فرستاده و قراره به کی برسه.
اکثر وبسایت‌های از https استفاده می‌کنند. https در اصل همون http هست که رمزنگاری بهش اضافه شده.

اگه از پروکسی و vpn استفاده کنید، دو حالت پیش میاد. یا ترافیک رمزنگاری شده هست یا نیست.
در هر دو حالت بقیه می‌تونند ببینید که یه سری اطلاعات از شما داره به سمت یه جای دیگه (سرور پروکسی یا vpn) حرکت می‌کنه.
اگه ارتباط رمزنگاری شده باشه، کسی نمی‌تونه وسط راه (از شما تا سرور پروکسی/vpn) اونها رو ببینه و در نتیجه نمی‌تونه بفهمه که واقعا دارید از کجا اطلاعات می‌گیرید. فقط می‌فهمه که دارید یه سری اطلاعات به سرور پروکسی/vpn می‌فرستید و دریافت می‌کنید.
سرور پروکسی/vpn می‌فهمه که دارید در واقع به کجا وصل میشید، شما رو هم می‌شناسه.
اینکه بتونه اطلاعات رو هم بخونه، بستگی به جایی داره که بهش وصل میشید. ممکنه از رمزنگاری استفاده شده باشه (مثلا با پروتکل https وصل شدید) در این حالت سرور پروکسی/vpn نمی‌تونه بفهمه چی دارید می‌فرستید و می‌گیرید، کسی هم وسط مسیر (بین سرور پروکسی/vpn و مقصد شما) نمی‌تونه اطلاعات شما رو ببینه.

اگه برای اتصال به سرور پروکسی/vpn از رمزنگاری استفاده نشده باشه، در ظاهر فقط می‌بینند که دارید به سرور پروکسی/vpn وصل میشید و یه سری اطلاعات از اونجا دریافت می‌کنید، اما اگه اطلاعات رو بیشتر بررسی کنند، متوجه میشن که مقصد اصلی شما کجا هست.
اینکه ببینید دقیقا چی دارید به اون مقصد می‌فرستید، باز هم به خود مقصد بستگی داره، اگه ارتباط شما تا مقصد اصلی رمزنگاری شده باشه (مثلا از https استفاده کردید) اونوقت کسی نمی‌تونه وسط راه بفهمه که دقیقا چی دارید به مقصد اصلی می‌فرستید و دریافت می‌کنید. ولی متوجه میشن که مقصد اصلی کیه.

تا جایی که می‌دونم، همه vpnها از رمزنگاری استفاده می‌کنند. در مورد پروکسی‌ها فکر نکنم اینطور باشه، مطمئن نیستم.

نقل‌قول
سوال بعدیم اینه که خب اون رمز نگاری ها چطوریه ؟ مثلا من یه فلش رو رمزنگاری کنم برای دسترسی به اطلاعاتش باید چیکار کنم ؟
منظورتون رمزنگاری دیسک هست؟ من فرض می‌کنم اینجوری هست.
رمزنگاری به صورت متقارن انجام میشه. یعنی با یه کلید رمزنگاری و رمزگشایی انجام میشه. کلید‌های رمزنگاری و رمزگشایی یکسان هستند، متفاوت نیستند.
وقتی یه چیزی رو با dm-crypt لینوکس رمزنگاری می‌کنید، برای دسترسی به اطلاعات داخلش اول باید کلیدی که اطلاعات با اون رمز شدند رو به dm-crypt بدید. بعد از اینکار، یه block device مجازی توی /dev/ درست میشه که با دسترسی به اون می‌تونید اطلاعات رمزنگاری شده رو بخونید یا چیز‌های جدید بنویسید تا رمزنگاری بشن.
نحوه کار اینجوریه که هر چی رو از اون دستگاه مجازی می‌خونید، اول سعی میشه که اطلاعات رمزنگاری شده روی حافظه پشتی خونده و با کلید رمزگشایی بشن، بعد این اطلاعات در اختیار شما قرار میگیرن.
وقتی یه سری اطلاعات روی اون دستگاه مجازی می‌نویسید، اول اطلاعات با کلید رمزنگاری میشن و بعد روی اون حافظه پشتی نوشته میشن.

تا وقتی که اطلاعات رو از اون دستگاه مجازی می‌خونید و روی اون می‌نویسید، متوجه رمزنگاری نمیشید و لازم نیست نگران اون باشید. می‌تونید اون دستگاه مجازی رو مثل بقیه block device ها با یه فایل‌سیستم  (مثلا ext4 یا btrfs) فرمت کنید. بعد هم خیلی راحت با دستور mount اون فایل‌سیستم رو سوار و استفاده کنید.
رمزنگاری زیر اون دستگاه مجازی اتفاق می‌افته.

اگه از dm-crypt برای رمزنگاری استفاده کنید، نمی‌تونید اون اطلاعات رمزنگاری شده رو روی ویندوز بخونید. چون bitlocker ویندوز نمی‌تونه اونها رو شناسایی کنه.
dm-crypt قابلیتی داره که header ها و اینجور چیز‌ها رو به شکلی بنویسه که bitlocker بتونه اونها رو شناسایی و استفاده کنه. نمی‌دونم این قابلیت چقدر پایداره و چقدر کار میده.
dm-crypt می‌تونه اطلاعات رمزنگاری شده با bitlocker رو شناسایی و رمزگشایی کنه.

نقل‌قول
بایوس چجوری میتونه یه usb رمزنگاری شده حاوی گراب و کرنل رو بخونه و گراب رو بوت کنه ؟
اون قسمت اول گراب که توسط bios اجرا میشه به صورت رمزنگاری نشده روی فلش نوشته میشه.

نقل‌قول
تنها چیزی که من از رمز نگاری می‌دونم ، رمز نگاری دو کلیده و pgp هست و برنامه gpg
اون رمزنگاری نامتقارن هست که از دوتا کلید استفاده می‌کنه. اطلاعاتی که با یه کلید رمزنگاری میشن فقط توسط کلید متناظر قابل رمزگشایی هستند.
میدونید که زکات علم نشر آن است

آفلاین nixoeen

  • ناظر انجمن
  • *
  • ارسال: 4872
  • جنسیت : پسر
  • masoft قدیم
پاسخ : افزایش امنیت
« پاسخ #37 : 02 خرداد 1401، 04:36 ب‌ظ »
وقتی چنین زمان زیادی رو برای نوشتن می‌ذارید، خیلی خوبه که توی ویکی این موارد رو بنویسید و به اونجا لینک بدید. اینطوری افراد بیشتری می‌تونن در آینده ازش استفاده کنند و بین پست‌ها گم نمیشه.

آفلاین جعفر فرقانلوژ

  • High Hero Member
  • *
  • ارسال: 5100
  • جنسیت : پسر
  • اممم . اره دیگه! mehr32
پاسخ : افزایش امنیت
« پاسخ #38 : 02 خرداد 1401، 09:59 ب‌ظ »
اسکرول کردن دمار از روزگار ادم در میاره چه برسه به خوندنش
واقعا باید به این همه تحمل کیبورد افتخار کرد  :D
کارتون درسته جناب دراگون  ;) (کیبوردتون چیه ؟ بدون شوخی )
دیگر به انجمن باز نخواهم گشت شاید جایی با این نام پیدام کنید اگه کاری با من دارید : qxc9966@protonmail.com

آفلاین سودو.

  • High Hero Member
  • *
  • ارسال: 3095
  • جنسیت : پسر
  • :(){ :|:& };:
پاسخ : افزایش امنیت
« پاسخ #39 : 02 خرداد 1401، 10:30 ب‌ظ »
سپاس جناب دراگون ، واقعا سنگ تموم گذاشتین ، هر بار که پاسخ میدین من بیشمار چیز یاد میگیرم ، بیشمار پرسش برام پیش میاد و تازه فقط تعدادی از شایسته تریناشونو مطرح میکنم 🤧
بار ها تشکر کردم و از حوصله شگفتا بر انگیزتون گفتم که دیگه لوس شده واقعا سپاس گذاری من !
اخر یه روزی میرم همه ارسال هاتونو میخونم و یه کتاب مینویسم با عنوان ( اژدها دنیای گنو )
آرچ و گنوم!

آفلاین جعفر فرقانلوژ

  • High Hero Member
  • *
  • ارسال: 5100
  • جنسیت : پسر
  • اممم . اره دیگه! mehr32
پاسخ : افزایش امنیت
« پاسخ #40 : 03 خرداد 1401، 10:03 ق‌ظ »
وقتی چنین زمان زیادی رو برای نوشتن می‌ذارید، خیلی خوبه که توی ویکی این موارد رو بنویسید و به اونجا لینک بدید. اینطوری افراد بیشتری می‌تونن در آینده ازش استفاده کنند و بین پست‌ها گم نمیشه.
همچنین توی سلالات تکراری نیازی به توضیح مجدد نیست حتی وقتی جا بیفته توی انجمن که اول ویکی رو بگردند اینطوری حتی سوالاتی پیش ازمطرح شدن حل میشن
دیگر به انجمن باز نخواهم گشت شاید جایی با این نام پیدام کنید اگه کاری با من دارید : qxc9966@protonmail.com

آفلاین سودو.

  • High Hero Member
  • *
  • ارسال: 3095
  • جنسیت : پسر
  • :(){ :|:& };:
پاسخ : افزایش امنیت
« پاسخ #41 : 03 خرداد 1401، 02:56 ب‌ظ »
نقل‌قول
باید فایل fstab رو هم تغییر بدید. از اونجایی که ممکنه بعد از بوت فلش رو جدا کنید، شاید لازم باشه یه سری قوانین برای apt بنوسید که بروزرسانی‌های کرنل رو فقط وقتی انجام بده که پارتیشن مربوط به بوت سوار شده. گراب رو هم باید روی اون فلش نصب کنید. الویت بوت توی bios رو هم باید تغییر بدید.
میگم من اگر جابجا هم بکنم لینوکس و گراب رو به فلش‌‌ ، بازم امکان بالا اوردن توزیع زنده ممکنه ، من میخواستم جلوی اینو بگیرم ، که گویا در بایوس نمیشه ، فقط تنها فایدش اینه که نمیتونن خود سامانه نصب شده رو بالا بیارن درسته ؟
نقل‌قول
می‌تونید خودتون firmware روی مادربرد رو بخونید، با مهندسی معکوس بفهمید چیکار می‌کنه و بعد مال خودتون رو پیاده کنید که قابلیت‌های مورد نیاز رو هم داشته باشه. کار ساده‌ای نیست.
دست کم ( هنوز ) کار من نیست ، پس به همون رمزنگاری دیسک بسنده میکنم !
نقل‌قول
وقتی توی uefi الویت بوت رو تنظیم می‌کنید، توی یه سری متغیر EFI ذخیره میشن. داخل اون متغیر‌ها ..
جالب بود ، سپاس : )
نقل‌قول
شاید منظور شما از هکر با منظور ما از هکر یکی نباشه. فکر کنم منظور شما در اصل شکننده (cracker) بوده. درباره هکر‌ها می‌تونید اینجا یه سری اطلاعات بدست بیارید.
بله درست میفرمایید ، نگرش من همون مهاجم و شکننده بود ..
نقل‌قول
چندین پارامتر کرنل هم هستند که با تغییر اونها میشه  امنیت سیستم رو بهبود داد. ولی با توجه به شرایط، ممکنه امنیت رو بهبود نده.
ممنون میشم اگر این مورد رو بیشتر باز کنید : )
نقل‌قول
مییتونید خودتون هم سری test برای اون بنویسید تا چیز‌های دیگه رو هم بررسی کنه
نقل‌قول
بسته lynis شامل خود lynis به همراه چیز‌های مربوط هست
میتونید test هایی که خودتون نوشتید رو برای من بزارید ؟ و اینکه اون چیزای مربوط چین و چجوری ازشون استفاده کنم برای بررسی بیشتر امنیتی ؟
نقل‌قول
بعد از اینکه lynis رو نصب کردید، می‌تونید دستور زیر رو بزنید تا امنیت سیستم رو بررسی کنه.
این پاسخ ترسناک lynis هست که زیاد ازش سر درنیاوردم ! مورد اشتباهی وجود داره ؟
نقل‌قول
از اونجایی که روی شاخه ناپایدار دوان هستید، بهتره بسته‌های apt-listchanges و apt-listbugs رو نصب کنید
اولی نصب بود و دومی رو هم نصب کردم ، خیلی بسته های باحالین با توجه به گفته های شما ..
نقل‌قول
معمولا حجم این bugreport ها و changelog ها زیاد نیست، ولی حواستون به این موضوع باشه
خود بسته apt-listbugs پنجاه مگ جا گرفت ، این باگ ریپورت ها و کاتالوگ ها کجا قرار میگیرن و بهتره چجوری و چه موقعی پاکشون کرد و تمیز ؟
نقل‌قول
اگه از پروکسی یا vpn استفاده نمی‌کنید، می‌تونند ببینند که به چه جاهایی وصل میشید و از کجا اطلاعات دریافت ..
بس شگفت انگیز بود جناب دراگون ، دست کم برای من ، چون پیش از اینکه بیام گنو ، براستی که هیچی بلد نبودم از دنیای کامپیوتر ! تازه کلی هم مدعی بودم !
پرسش اینجاست که سرانجام باید به یکی اعتماد کرد دیگه ؟ راهی فراتر از وی پی ان و پروکسی نیست که هیچ چیز دست هیچ کس نباشه ؟
نقل‌قول
منظورتون رمزنگاری دیسک هست؟ من فرض می‌کنم اینجوری هست ..
خب یعنی اگر توزیع رو عوض کنیم چجوری میتونه به داده های روی دیسک رمز شده دسترسی داشته باشه ؟ چون کلید که دست توزیع قبلی بود !
مثلا اون کلید بعد از رمزنگاری بهمون داده میشه ؟ بعد باید خودمون بدیمش به نرم افزار و سامانه ای که میخوایم بتونه به دیسک دسترسی داشته باشه ؟

سپاس بسیار جناب دراگون ، دیگه نمیدونم چجور تشکری میتونه شایسته انرژی ای که میزارید باشه ، فراتر از دانشتون ، شخصیتتون هست که شایسته ستایشه : )
پس یعنی من باید سه افراز ایجاد کنم، افزار راه انداز ، ریشه و خونه ؟
البته من خونه رو جدا نکردم ، یه افزار دیگه ساختم که پرونده های شخصی بنده رو شامل میشه که روی یه شاخه در خونه سوارش میکنم : )
بعد به جز افراز boot باقی رو رمز نگاری کنم ، درسته ؟
اگر یه روزی بخوام به داده های روی دیسک رمز شده از روی یه توزیع زنده دسترسی داشته باشم باید چیکار کنم ؟ همون کاری که نمیخوام دیگران بتونن انجام بدن ، کلیدی چیزی بهم داده میشه ؟
هنوز اقدامی نکردم برای رمزنگاری ، خواستم اول این گفتمان به پایان برسه که با در نظر قرار دادن همه چیز حرکت کنم : )
« آخرین ویرایش: 04 خرداد 1401، 09:19 ق‌ظ توسط ㅤsudoㅤ »
آرچ و گنوم!

آفلاین سودو.

  • High Hero Member
  • *
  • ارسال: 3095
  • جنسیت : پسر
  • :(){ :|:& };:
راستی با gnome-disk-utility تونستم با luks رمز کنم افرازی که میخوامو ، مث اینکه به جواب چند تا سوالام رسیدم ، اگه این پیاممو دیدین و فک میکنین توضیح بازم نیازه که هیچی ولی فهمیدم که رمز گذاشته میشه روی افزار و اون رمز باز میکنه ، انگار به جواب این سوال رسیدم :
نقل‌قول
اگر یه روزی بخوام به داده های روی دیسک رمز شده از روی یه توزیع زنده دسترسی داشته باشم باید چیکار کنم ؟ همون کاری که نمیخوام دیگران بتونن انجام بدن ، کلیدی چیزی بهم داده میشه ؟
آرچ و گنوم!

آفلاین Dragon-

  • عضو کاربران ایرانی اوبونتو
  • *
  • ارسال: 5124
  • جنسیت : پسر
پاسخ : افزایش امنیت
« پاسخ #43 : 26 خرداد 1401، 04:06 ب‌ظ »
نقل‌قول
بار کننده راه اندازی یا همون ( boot loader ) رو بریزیم روی usb بهتره یا لینوکس و initramfs رو ؟ یا هر سه رو ؟
هر سه رو بریزید خوبه. ولی اگه کامپیوتر توی حالت uefi بوت میشه، قضیه یکم فرق می‌کنه.
الان که بیشتر فکر می‌کنم، شاید بهتر باشه initramfs و کرنل رو بذارید جز روت رمزنگاری شده باقی بمونند و فقط بوتلودر رو جدا کنید.

وقتی چنین زمان زیادی رو برای نوشتن می‌ذارید، خیلی خوبه که توی ویکی این موارد رو بنویسید و به اونجا لینک بدید. اینطوری افراد بیشتری می‌تونن در آینده ازش استفاده کنند و بین پست‌ها گم نمیشه.
چندین بار سعی کردم توی ویکی بنویسم ولی خیلی سخت میشه با اون کار کرد.

میگم من اگر جابجا هم بکنم لینوکس و گراب رو به فلش‌‌ ، بازم امکان بالا اوردن توزیع زنده ممکنه ، من میخواستم جلوی اینو بگیرم ، که گویا در بایوس نمیشه ، فقط تنها فایدش اینه که نمیتونن خود سامانه نصب شده رو بالا بیارن درسته ؟
اینجوری نمی‌تونند به کرنل و initramfs دسترسی داشته باشند.
همچنان میشه کامپیوتر رو با یه توزیع زنده بالا آورد.

نقل‌قول
نقل‌قول
چندین پارامتر کرنل هم هستند که با تغییر اونها میشه  امنیت سیستم رو بهبود داد. ولی با توجه به شرایط، ممکنه امنیت رو بهبود نده.
ممنون میشم اگر این مورد رو بیشتر باز کنید : )
خود همون lynis یه سری از اونها رو گفته.

نقل‌قول
میتونید test هایی که خودتون نوشتید رو برای من بزارید ؟
خودم برای lynis تستی ننوشتم. lynis که همراه دبیان هست، یه سری تست‌هایی که داره که تقریبا جامع هست و جنبه‌های زیادی از سیستم رو بررسی می‌کنه.
شاید بتونید با جست‌و‌جو توی اینترنت تست‌های بیشتری پیدا کنید.

نقل‌قول
و اینکه اون چیزای مربوط چین و چجوری ازشون استفاده کنم برای بررسی بیشتر امنیتی ؟
منظورم تست‌های همراهش بوده.

نقل‌قول
این پاسخ ترسناک lynis هست که زیاد ازش سر درنیاوردم ! مورد اشتباهی وجود داره ؟
خیلی زیاد نگران نباشید. چیز‌های زیادی رو بررسی کرده و اون آخر سر یه سری راهنمایی‌ها کرده که چیکار کنید. تست‌های ا ن یکم سخت‌گیرانه هست.
اون پایین یه سری راهنمایی کرده و به طور مختصر گفته چیکار کنید. یه سری لینک هم داده که معمولا میشه اونجا توضیحات بیشتری پیدا کرد.

نقل‌قول
خود بسته apt-listbugs پنجاه مگ جا گرفت ، این باگ ریپورت ها و کاتالوگ ها کجا قرار میگیرن و بهتره چجوری و چه موقعی پاکشون کرد و تمیز ؟
مطمئن نیستم که ذخیره بشن. اگه ذخیره میشن، باید توی /var/lib/ قرار داشته باشند.

نقل‌قول
پرسش اینجاست که سرانجام باید به یکی اعتماد کرد دیگه ؟ راهی فراتر از وی پی ان و پروکسی نیست که هیچ چیز دست هیچ کس نباشه ؟
اطلاعات شما از طریق یه شبکه به مقصد منتقل میشه. هر کاری کنید، باید این اطلاعات رو بدید به یه نفر دیگه. با رمزنگاری و مسیریابی پیازی میشه کاری کرد تا افراد وسط راه کمتر متوجه بشن که شما کی هستید  به چه کسی چه چیزی می‌فرستید.

نقل‌قول
خب یعنی اگر توزیع رو عوض کنیم چجوری میتونه به داده های روی دیسک رمز شده دسترسی داشته باشه ؟ چون کلید که دست توزیع قبلی بود !
مثلا اون کلید بعد از رمزنگاری بهمون داده میشه ؟ بعد باید خودمون بدیمش به نرم افزار و سامانه ای که میخوایم بتونه به دیسک دسترسی داشته باشه ؟
توی این ارسال گفتم.
میدونید که زکات علم نشر آن است

آفلاین سودو.

  • High Hero Member
  • *
  • ارسال: 3095
  • جنسیت : پسر
  • :(){ :|:& };:
پاسخ : افزایش امنیت
« پاسخ #44 : 26 خرداد 1401، 04:44 ب‌ظ »
سپاس جناب دراگون 💙
آرچ و گنوم!