Введение в линуксы)

Напомните как делать reinstall (обратное apt-get install) но так чтобы все реально удалялось и подчищалось везде!

apt-get purge <package_name>
apt-get --reinstall install <package_name>

Вопрос совсем новичка в Линуксе. Я правильно понял, что загрузочный раздел /boot никак нельзя зашифровать? Просто где-то слышал, что grub умеет расшифровывать. И какая информация оседает в /boot? Будет ли он работать в read/only? (например, если вынести на флешку с выключателем)

В GRUB2 есть поддержка шифрования /boot-раздела (например, см. здесь). Не сказать, чтобы в этом был особый смысл, т.к. шифруется только ядро и файлы stage2, а остальная часть загрузчика в любом случае останется открытой. Разумнее вынести ядро и загрузчик на внешний носитель и держать его при себе.

Обычно, загрузчик ничего не пишет на раздел (исключения возможны, если, скажем, используется dualboot и Вы хотите, чтобы выбранный в прошлый раз пункт загрузочного меню запоминался), в read-only будет работать без проблем.

Ещё: grub и grub2 очень разные.

p.s. Есть мнение, что шифровать целые разделы – бесполезное занятие. Много информации о его структуре предварительно известно. Это как ситуация с вирусами-шифровальщиками под Винду. Когда есть doc-документы для сравнения аналогичные зашифрованному и известно происхождение вируса с его алгоритмами работы, тогда есть шансы восстановления зашифрованных. Кому нужно поддерживать иллюзии защищенности?

Глупости какие-то пишете с ложными аналогиями, разве что речь идёт о шифровании дисковых разделов в неадекватном режиме.

Почему тогда при ifconfig wlan0 down все равно показывается список сетей?

> Иногда при соединении сразу отрубается то есть даже не соединяется, а "ждем ждем" и через минуту disconnect и точка к которой хотел присоединиться пропадает из списка! И так до бесконечности пока не перезагрузишься! Что это такое?

Это то, что бывает, когда стандарт разработан проприетарщиками, спецификации на железо закрыты, но продукт уже занял свою нишу, а нормальных драйверов нет и ещё долго не будет. В крайних случаях можно вставить альтернативную WiFi-сетевую, которая будет лучше поддерживаться. Близость расположения к WiFi-точке тоже играет роль. Вместо перезагрузки попробуйте руками опускать и поднимать интерфейс: под рутом выполняете

# ifconfig wlan0 down
# ifconfig wlan0 up

Для удобства можно написать скрипт и дёргать его каждые сколько-то минут, когда пропадает связь.

Еще вопрос. Если в конфиге ufw:

deny (incoming), allow (outgoing), disabled (routed)

то есть входящие запрещены все и троянов нет (софт со стороны не ставили), значит ли что Линукс защищен на 100% от вторжений?

Шифруют не обязательно для того, чтобы обезопаситься от протроянивания загрузчика, а, например, ещё для того, чтобы не дать противнику узнать, какой дистрибутив и какая ОС используется, какая версия ядра, когда она была установлена, с какими конфигами грузится. Я так понял, что при шифрованном grub'е вся эта информация скрывается.


ifconfig может убрать активную ассоциацию с потоком ethernet-данных, но он не выключает полностью Wi-Fi-карточку, которая работает на более низком уровне. Можете обратиться к ней на том уровне через iwlist wlan0 scan, например, и оно сработает. Полностью выключить Wi-Fi можно либо тумблером, либо из BIOS'а, но зачастую нет ни одной из этих опций. Можно убрать Wi-Fi-драйверы из ядра, чтобы не дать карточке влиять на ОС, но на низком уровне она всё равно, пожалуй, продолжит работать, и это не очень хорошо.


Тот, кто оперирует терминами «на 100%» в сознательном возрасте, имеет проблемы с головой на все 146%. Идеального нет ничего.

В основе лежит простое сравнение. Шифрованный интернет-трафик – это последовательность собранная из случайных букв, слогов, слов естественного языка и, допустим, совершенно случайных чисел генератора. Зашифрованный диск – это последовательность собранная из, допустим, совершенно случайных чисел генератора и псевдослучайных чисел, (потому что)находящихся на диске в файловой системе со стандартными каталогами.

Ваш ход мыслей мне непонятен. Вы в курсе того, как работают режимы шифрования, отличные от ECB, и что шифрование ими одного и того же открытого текста одним и тем же ключом не даст один и тот же шифртекст?

+1. Это же касается и других постов тестерТьюринга. Я вижу либо бессмысленный набор слов, либо какую-то наивную глупость уровня «человек впервые видит компьютер, но делает далеко идущие умозаключения». Стараюсь проходить мимо. Там не что-то одно неправильно, на что можно указать, а неправильно вообще всё, чуть ли ни каждое слово. Не будешь же пересказывать энциклопедии в ответ на каждый комментарий...

Другими словами, из одного и того же открытого текста можно получить разные шифртексты. В случае с шифрованием диска открытый текст может быть до определенной степени известен. Измените часть шифртекст и, в случае, если система загрузится, какая-то часть системы не будет соответствовать первоначальному состоянию. По идее система должна загрузиться, если не были нарушены системные файлы, но это по идее.

В дисковом шифровании (в отличие от файлового) нет проверки целостности. Считается, что либо к диску никто посторонний не имел физического доступа, либо, если имел, никакого доверия к этому диску больше нет. Если нужно большее, делайте проверку хэша всего образа диска (что очень долго и очень неудобно). Незаписываемые носители с Live-образом системы тоже могут помочь.

По вашему, полозок на дискете или советской аудиокассете защищающий от перезаписи и перемычка АППАРАТНАЯ не БИОС как сделали потом запрещающая перешивать последний все это не дает абсолютной гарантии и лучше тогда довольствоваться зелеными иконками в хомячьем софте свидетельствующих о том что "соединение безопасно" ?

Ну и как тогда инсталлировать пакет в котором есть GRUB2, но который все-равно не позволяет зашифровывать /boot ?

Я не против держать "при себе" то что останется неизменным при продолжительной работе с линуксом. Пусть даже незашифрованным, ладно. Но нужно понимать, что понятие "при себе" заканчивается даже не при наезде кровавой гэбни любых мастей, но и при простой "проверке документов", которая может закончиться обезьянником с изыманием всего что было при задерженном "согласно всем нормам УПК" !
Поэтому выгоднее, чтобы незашифрованное было максимально-стандартным и тем более НЕДОПУСТИМО ВПРИНЦИПЕ, чтобы что-то из открытого в процессе работы изменялось ! (даже без "временной" записи туда критических данных, иначе это вообще повод выкинуть линукс на помойку и писать свою ОС)

Я представляю себе безопасную сборку так: открытым пишется только распространенный загрузчик с наиболее стандантными, неизменными параметрами, который один раз ставится на внешний носитель и никогда больше не изменяется (полозок на флешке переводится в режим readonly) и уже с него грузятся бессигнатурные тома, начиная с "нешифроваемого" диска с корнем ОС и заканчивая всеми остальными ОС.
Все остальные "решения от лукавого", а точнее: ОТ ЗОГА!