Секретный нетбук
Собрался купить себе нетбук, хотел бы получить совет.
Цель использования – оперативная перевозка/переноска текущих данных для работы + секретный выход в интернет из внешних мест (когда надо).
Ессно, нужен видимо встроенный модуль wifi (вместе с тем, обязательно допускающий кофигурацию mac-адреса с помощью ifconfig), видимо, понадобится модуль WiMAX, но не встроенный (чтобы не палиться через него).
Соответственно, чтобы он (и все его устройства) нормально взаимодействовали с Linux (в частности, Debian).
Достаточная ОЗУ (желательно 2 – 4 ГБ), диск не менее 100 – 120 ГБ.
Ну и без "суперпродвинутых" аппаратных средств деанонимизации и шпионажа за его пользователем.
Что посоветуете?!
Только хотелось не внешний диск
А чтоб считал быстрее кластера не хотите? Есть субноуты типа тошибы портеж, на них ставится Linux если что, но стоимость порядка 100-150k.
А 20 ГБ примерно равно 0 (-:
комментариев: 11558 документов: 1036 редакций: 4118
Только если загадить диск HD-фильмами. Для работы (а тема мне подсказывает, что машина нужна не для игрушек) это более, чем достаточно.
Если я захочу менять разделы, что я должен делать? Например, там автоматически установилось /tmp как раздел, я же хочу его монтировать в ОЗУ в виде tmpfs.
Как я понял, там два физ. раздела – /dev/sda1 – где /boot, и /dev/sda2 – где lvm (как и при обычном lvm), только второй физ. раздел (не логические?) зашифрован dm-crypt.
Т.е. я могу менять разделы lvm как при работе с обычным lvm, или я должен учитывать как-то это шифрование?
Отредактируйте /etc/fstab
комментариев: 9796 документов: 488 редакций: 5664
P.S. Какие могут быть проблемы с безопасностью при том, что /dev/sda1 не зашифрован? И вообще, реально ли зашифровать раздел, с которого грузишься? (Будет ли грузиться после этого система?). Или для большей безопасности можно только использовать раздел, на котором размещен /boot, на съемном носителе?
P.P.S. В случае, если зашифровать логические тома, возможно ли изменение размера разделов без потери данных? Или в любом случае надо копировать на внешний носитель, менять размер и копировать обратно?
комментариев: 9796 документов: 488 редакций: 5664
Подмена ядра, стартового рамдиска на троянские версии, сливающие пароль, но это значит, что у противника уже есть доступ к компьютеру.
Говорят GRUB2 такое поддерживает, но это IMHO бессмыссленно, т.к. можно инфицировать сам загрузчик (GRUB2), так, чтобы он тоже сливал пароль.
Только так, если предполагается, что носитель всегда при себе, а компьютер — нет. Но могут ведь и BIOS, и аппаратную часть протроянить при физическом доступе.
Возможно, особенно в сторону увеличения. Dmcrypt специально для этого был написан с прицелом на тесную интеграцию с LVM. Простой пример. Народ часто жаловался на траблы с потерей данных, но на своём опыте не сталкивался.
Для таких целей предусмотрительно при инсталляции можно оставить значительную часть винчестера неразмеченной под логические тома внутри физического тома. По мере необходимости можно увеличивать размер существующих логических томов, а на неразмеченном пространстве создавать временные логические тома для перекидывания данных. При манипуляции с логическим томом можно по-ошибке убить только его, но маловероятно, что весь физический том со всеми логическими. Так можно обойтись и без бэкапов на внешний носитель, хотя и они не помешают.
Физические разделы, физические тома, группы томов и логические тома — это четыре разных сущности. В качестве пятой можно добавить ещё райд-массивы.
комментариев: 9796 документов: 488 редакций: 5664
Или лучше сэкономить на ОЗУ, все равно к /tmp враг сможет добраться только взломав криптование диска?
комментариев: 9796 документов: 488 редакций: 5664
Если кому-то необходимо работать с ооочень большими /tmp и swap (в которых оседают гигабайты данных), то можете завести для них логические разделы и прописать в /etc/cryptab что-то вроде (сверьтесь с man по своему дистрибутиву):
Тогда эти тома будут перешифровываться и подниматься каждый раз после перезагрузки на рэндомном ключе и на них будет заново производиться mkfs (это не так медленно как можно подумать).
Теперь в /tmp можно симлинками вынести всё временное (только осторожно, при создании каталогов в /tmp существуют жёсткие правила безопасности по правам, случайным именам, "атомарности" операции создания), что необходимо удалять при выключении (перезагрузке). Гибернация естественно работать не будет.