私の家庭の人々に対するLinuxデスクトップマシンの強化
私は自分のホームデスクトップにDebianシステムのクリーンインストールを作成しようとしています。明確にするために、私はWindowsから切り替えて、それを自分の日常のホームOSとして使用したいと思っています。サーバーなどは実行しません。
私の家族の一部(私のマシンに物理的にアクセスできる)がそれにアクセスしようとし、私のデータを調べたり、場合によってはキーロガーをインストールしたりすることもあると信じる理由もあります。
この質問の目的のために、私が公然と対立して行動することができないという事実を除いて、社会的側面を無視してください。私のPCにアクセスする人を防ぐために部屋をロックすることはできません。
私が守りたい人々は技術的には文盲です。たとえLinuxの経験が足りなくても、Linuxの使い方はわかっています。グーグルで何かが見つかり、1〜2時間いじるのに時間がかかる場合は、試行される可能性が高くなります。とはいえ、専門の機器を購入することは、彼らが気にかけるものではないことは間違いありません。つまり、ほとんどのハードウェア攻撃、たとえばキーボードのキーロガーまたは私のモボのバグ/ RAM sniffer /何でも。
もう1つは、私がWindows 7システムに管理者アクセス権を持っていることです(そのため、侵害されたと見なすことができます)。これが私がLinuxに切り替える理由の1つです。ただし、Windowsを完全に削除するのではなく、デュアルブートシステムを維持したいと思います。これにより、攻撃者がLinuxパーティションを完全に破壊する可能性があることは承知しており、それは私が進んで取りかかるリスクです。
Windowsシステムのセキュリティ保護には関心がありません。私はそれが危険にさらされていることを認識しており、それがどうなるかを本当に気にしません。先に述べたように、他の人が私のWindowsシステムにアカウントを持っており、(正当な理由で!)私は確かに私のLinuxインストールを保護することを目指していますが、Windowsへのアクセスを防止することには意味がありませんそれが私のマシンのLinux部分のセキュリティに貢献しない限り。実際、私は、可能であればWindowsへのアクセスを制限することは避けたいです。
フルディスク暗号化により、Linuxインストール自体の外部から実際にデータにアクセスするのを防ぐことができます。これにより、Windowsシステムの両方が処理され、USBドライブからの起動もほとんど役に立たなくなるはずです(問題の人々がそうしていることは間違いありません)十分に暗号化されたドライブを解読するためのリソースや動機がない場合)。もちろん、シングルユーザーモードをパスワードで保護する必要もあります。
システムを保護するために他に必要なことはありますか?コマンドラインを使用すると便利ですが、手を汚さなくても問題はありませんが、Linuxの経験とコンピュータセキュリティの断片的な知識は限られています。 Debianの選択は主に恣意的であり、私の場合は別のディストリビューションを試しても問題ないでしょう。見逃したことがある場合、または私が言及したヒント(ディスク暗号化のベストプラクティスなど)がある場合は、喜んでお聞かせください。
このサイトでLinuxを保護する上で私が見つけた他のすべての質問は、リモートの攻撃者とウイルスおよびエクスプロイトに対する保護に関係しているため、この質問が重複しているとは思いません。彼らは確かに良い答えを持っていますが、それは私がここで探している種類の情報ではありません。
投稿に重複のフラグが付けられたとき、別の質問が注目されました。ただし、一般的には、他のユーザーが物理的にアクセスできるときに、自分のマシンが安全かどうかを尋ねます。その答えは、一般に「物理アクセス=ゲームオーバー」に要約され、さまざまな攻撃(モニターのバックミラーなど)を軽減するためのヒントを提供します。無制限の物理的アクセスはマシンが理論上もう私のものではないことを意味するので、これらのヒントの多くはここでは適用できません。したがって、私の個人的なシナリオに適合する脅威モデルで攻撃者にいくつかの制限を提供します。
Rootユーザーには強力で難しいパスワードを使用してください。次に、常にログインして、管理者権限(および強力なパスワード)を持たない別のユーザーから作業します。
BIOSパスワードオプションを有効にします。コンピュータの電源を入れるたびに、BIOS自体が起動前にパスワードを要求します。また、BIOSセットアップに変更を適用することもできなくなります。
ハードドライブのすべてのパーティションを暗号化します(Debianのcryptsetupを確認します。Windowsパーティションも暗号化できない場合は、TrueCryptを使用します(Windowsの場合はWindows))。
これまでに使用したことがない、PCに接続された外部ハードウェアデバイス(USBスティックやハブなど)に注意してください。誰かがキーロガーなどを差し込んだ可能性があります。
離れているときは、必ずマシンをロックまたは電源を切ってください。
ソフトウェアの強化:
インストール gufw (プリインストールされているiptablesファイアウォール用のGUI)と着信トラフィックをブロックします。また、 rkhunter をインストールし、既知のルートキットやその他の脅威がないかシステムを時々チェックしてください。
今考えられるのはそれだけです。ご不明な点がございましたら、以下にコメントしてください。
この男になりたくないけど
法律 :
悪意のあるユーザーがコンピュータに無制限に物理的にアクセスできる場合、それはもはやコンピュータではありません。
あなたはどのようにして合板ドアを最もよくロックするかを尋ねています。人々はロックについて非常に優れた提案をしていますが、システムは物理的に脆弱であり、攻撃者は有能なので、どれも重要ではありません。彼らは単に斧(またはあなたの場合、ドライバー)を使用します。
必要なパフォーマンスと消費するお金に応じて、リムーバブル「ライブUSB」またはUSB「ハードドライブ」上の完全に起動可能な通常のシステム(小さなSSDは十分に機能します)は、「ユニーク」を考慮した理想的なソリューションです。ローカルの攻撃者に対して高いセキュリティを必要とする制約。これにより、侵害されたWindowsシステムをそのまま残して、リムーバブルデバイス上にLinuxシステムを作成し、人と一緒に保管することができます。最低コストでは、非常に安価なサムドライブを使用できます。高速サムドライブまたはより堅牢なUSB SSDにもう少し費やすと、ほとんどのアプリケーションで妥当なパフォーマンスを実現できます。暗号化はあなたがそれから離れている場合に備えて良い考えですが、それは常にあなたと一緒にあり、それがローカル攻撃から安全なOS全体を構成することを考えると。
以前に与えられたすべての回答とは異なる考慮すべき点がいくつかあります。あなたが探しているのは、セキュリティではなくプライバシーです。
それらは非常に似ているように見えますが、それぞれの目的は異なり、それぞれの実装方法も異なります。 securityの実装を検討している場合は、他のユーザーの管理アクセスを削除し、各ユーザーのアカウントをロックダウンして、悪用を防ぐための保護を配置します。もちろん、これは使いやすさを犠牲にしています。
privacyソリューションについて説明します。他のすべての人に影響を与えずに情報を保護することだけを考えているので、対処する3つの主要な攻撃方法があります(計画どおりにLinuxに移行するとします)。
- 保存中のデータ(ハードドライブ上)
- 移動中のデータ(ネットワーク上)
- デバイスがオンのときの保護(ファイアウォール)
保存データの場合:ある種の暗号化を使用する必要があります。これにより、キー/パスワードをお持ちでない方が、保存しているデータを見ることができなくなります。このトピックをカバーする答えは他にもたくさんありますので、具体的な実装の詳細についてはそれらを参照してください。
移動中のデータの場合:VPNサービスを購入することをお勧めします(または、リソースがある場合は外部で設定することをお勧めします)。これにより、ボックスに出入りするすべてのトラフィックが暗号化および保護されます。トラフィックを保護するだけでなく、接続情報に基づいてトラフィックの推論も保護します。たとえば、SSLはユーザーと訪問しているサイト間のすべてのトラフィックを暗号化します。ただし、誰かがあなたのトラフィックを盗聴し、最初のリクエストでfacebook.comを見た場合、彼らがあなたがFacebookに送信しているものを知らない場合、彼らはあなたがFacebookで何かをしていることを知っています。 VPNは、インターネットに送信する前にサーバーを介してすべてのトラフィックをトンネルし、このリークを効果的に排除します。
デバイスがオンのときの保護のために:すべてのハードウェア攻撃が画面外にあると想定すると(キーロガーやカメラなど)、マシンが露出している唯一の領域はイーサネットです。脆弱性のあるサービスが有効になっている場合、ネットワークからそのサービスを攻撃し、マシンを制御する可能性があります(想定した数時間のグーグル操作で)。これを防ぐには、ファイアウォールを設定する必要があります。 Debianでは、iptablesで十分です。着信トラフィックでは、[〜#〜]関連[〜#〜]または[〜#〜以外のすべてをブロックする必要があります]設立[〜#〜]。さらに制限するために、VPNとの間で送受信されないallトラフィックをブロックできます。このようにして、攻撃面をほぼ完全に取り除き、ルームメートよりもはるかに献身的な攻撃者を破ります。
次に、制限を設定するためにiptablesで使用するオプションのサンプルを示します。
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP
# iptables -A INPUT -s [VPN IP] -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# iptables -A OUTPUT -d [VPN IP] -j ACCEPT
そして、それぞれが何をしているか:
- マシンに着信するすべてのパケットをドロップします
- マシンを介してルーティングされているすべてのパケットをドロップします
- マシンから送信されるすべてのパッケージをドロップします
- 既存の接続(VPNに対して作成したもの)から作成されたVPN IPからのパケットの処理を許可する
- マシンからVPNに送信されるパケットを許可する
また、VPNが攻撃経路をさらに制限するために使用する特定のポートのみを許可することもできます。 VPNを経由しないとインターネットにアクセスできないことに注意してください。これらの変更を適用する前に、がセットアップされて機能していることを確認してください。
これらすべてが適用されると、ボックスを使用しているとき、または離れているときに、データを見ようとする人がボックスに侵入することはほぼ不可能になります。
免責事項:これはインフラストラクチャへの攻撃を想定しています。ソーシャルエンジニアリングなどの攻撃を防ぐのははるかに困難です。
ハードウェア/ USB /物理攻撃について心配していないと述べたので、これは包括的なソリューションです。デスクトップにVirtualbox/VMWare/Otherをインストールします。ゲストを作成して、そのゲストを取り外し可能なUSBキーに置きます。作業が終了したら、仮想マシンをパワーオフして、キーを削除します。これで完了です。
TrueCrypt非表示コンテナーを作成し、そのコンテナー内にゲストをインストールするなど、これに対処できる方法は他にもたくさんあります。誰かが覗き見をしていると、それは危険信号を発します。オペレーティングシステムを携帯する場合と比較する場合。 USBキーやリムーバブルドライブでこれを行うか、使い捨てシステム(Kali、起動可能なLinux)で起動し、データをクラウド(Dropboxなど)に保存し、オペレーティングシステムはほとんど起動しないので心配する必要はありません。 DVDから切り離して、毎回新規インストールします。
サービスについても。 1000個のサービスを実行しても、すべてのサービスに脆弱性がない場合は何も起こりません。アクセスするには何がありますか?強力なパスワードは常に重要ですが、ここでは最悪のシナリオを想像してください。 Windows上のキーストロークロガー...ホストを介して入力しているため、ゲストのセキュリティが無効になります。最善のオプションは、ブート可能なディストリビューションで起動し、クラウドを利用してデータまたはリムーバブルディスクを保存/保存することです。
リムーバブルメディアからLinuxを実行することをお勧めする答えが気に入っています。それはあなたがそれほどナイスでないハウスメイトから予防策を取っているという事実を隠しています。ただし、実用的な観点からは、いくつかの問題があります。ドライブの速度とスペースを犠牲にしていますが、より重要なのは、オペレーティングシステム全体を持ち歩くのが面倒なことです。自宅で必要なときに、学校や職場でドライブを忘れてしまいます。リムーバブルOSディスクを紛失したり、一度に落としたりすると、すべてのデータが失われる傾向があります。
コンピューターに暗号化されたパーティションが存在することで家を片付けてもかまわない場合は、問題なく同じ量のセキュリティを提供する簡単な方法があります。
Linuxを内蔵ハードドライブにインストールする場合は、すべてのLinuxパーティションを暗号化する必要があります。ただし、カーネルを含むブートパーティションを暗号化することはできないため、リムーバブル(理想的には書き込み禁止)のUSBドライブにブートパーティションをコピーし、常にUSBドライブからシステムをブートすることをお勧めします。したがって、誰かが(暗号化されていない)カーネル、初期ramドライブ、またはブートローダーをいじってソフトウェアキーロガーをシステムに取り込む場合でも、システムから起動することでめちゃくちゃになったブートプロセスをバイパスしているため、問題になりません。 (うまくいけば)きれいなUSBドライブ。
2つのブートパーティション(1つはHDDに、もう1つはUSBスティックにある)のハッシュを取得し、パーティションが変更されたかどうかを今すぐ確認して、誰かis inあなたを台無しにしようとしている事実。実際、これを自動化して、暗号化されたルートパーティションでinitスクリプトを使用して、両方のブートパーティションをチェックし、どちらかが変更された場合に警告することができます。このようにして、常にブートUSBドライブを厳密な監視下に置いているわけではない場合でも、ブートパーティションに問題がないと合理的に確信できます。
ブートローダー、カーネル、初期RAMディスクをUSBドライブに保存するだけで、このソリューションは少し実用的になります。また、無害なフォルダをドライブに入れた場合、USBスティックに起動可能なカーネルが含まれていることはすぐにはわかりませんが、最も基本的な検査以外は通過しません。
これはすべて、敵がコンピューターのBIOSにキーロガーを感染させることができないことを前提としています。その場合、すべての賭けは無効になりますが、その方法を知っていて、そのような長さに達した場合、とにかく負けました。
以上のことをすべて言ったとしても、世帯に明確に存在する社会問題に取り組むことが、あなたの幸福にとってより単純で、より効果的で、特により良いものではないでしょうか?
これを実装する方法に関するいくつかの指針(Borisのコメントへの回答):
私は自分でそのような設定を行っていないため、手順を追って説明することはできません。ただし、ここにいくつかのポインタがあります:
- まず、暗号化されたルートパーティションを使用して、ハードドライブに通常のLinuxディストリビューションをインストールします。複数のパーティションが必要な場合は、基礎となる暗号化されたLVMを使用して、すべてのパーティションに対して1回ではなく、パスワードを1回だけ入力する必要があります。ブートローダー、カーネル、初期RAMドライブを含む小さな(たとえば200 MB)非暗号化ブートパーティションを提供する必要があります。 UbuntuとDebianの標準インストーラーを使用すると、これらすべてを非常に簡単に行うことができます。
- システムが起動していることを確認し、インストーラーでスワップパーティションが暗号化されていない場合は暗号化します(最近のインストーラーを試していない場合)。インターネット上で利用できるさまざまな段階的な手順があります。暗号化されたスワップのために単にグーグルします。
次に、ブートパーティションをUSBスティックにインストールします。難しいのは、カーネルをUSBフラッシュドライブから起動することです(通常の外付けUSBドライブのように起動しないと思います)。おそらく最も簡単な方法は、標準のインストーラーを再度使用して、同じディストリビューションの別のインストール全体をUSBスティックに置くことです。私は以前にそれに近いことをしました、そしてそれはうまくいきました(私はいくつかのフープを飛び越えなければならなかったことを覚えているようです-私はUbuntuディストリビューションを使用しました、そして私が標準のUbuntuインストーラーを使用したかカスタマイズされたUbuntuライブシステムを使用したかわかりません) 、そしてもちろん実際にフラッシュドライブシステムを使用することは悪い考えです。
常にUSBディスクに書き込みます(ほとんどの場合/var/log/メッセージ)と数週間でスティックを台無しにします-私の2つに起こった)。 USBフラッシュドライブから2つ目の純粋なフラッシュドライブシステムを起動できることを確認してください。フラッシュドライブに起動可能なカーネルが機能するようになったので、フラッシュドライブシステムのルートパーティションを変更するだけです。フラッシュドライブのルートパーティションをポイントしていますが、フラッシュドライブカーネルで内部ハードドライブのルートパーティションを使用する必要があります。これを変更するには、最初のRAMドライブをUSBフラッシュドライブにアンパックする必要があります。これは、フラッシュドライブのブートパーティションにあり、initrd。 img-xxxxx、
/etc/fstabを内蔵ハードドライブのルートパーティションから抽出されたinitrdにコピーし、initrd。繰り返しますが、最初のRAMドライブイメージの変更は、ネット上のさまざまなチュートリアルでカバーされています。簡単な方法mightを単にinitrd.imgUSBフラッシュドライブ上のファイルと、HDDのブートパーティションにあるファイル。しかし、私はこれを試したことがないので、うまくいくかどうかわかりません。これを実行したら、フラッシュドライブから起動するが、内部HDのルートパーティションを使用するフラッシュドライブになるはずです。その後、フラッシュドライブを掃除できます。維持する必要があるのは、ブートローダー、カーネル、初期RAMドライブ(基本的に、/ bootの下にあるすべてのもの)だけです。
- または、USBフラッシュドライブに「ライブディストリビューション」をインストールし、内蔵HDのルートパーティションを使用できるようになるまでいじくります。ただし、ライブ配布は、フラッシュドライブの代わりにRAMに書き込むオーバーレイファイルシステムを使用して、フラッシュドライブの寿命を延ばすように設定されているため、これはおそらくはるかに困難です。さらに、内部HDのルートパーティションにあるシステムと互換性のあるカーネルバージョンのカーネルを含むライブディストリビューションを使用する必要があります。
ブートパーティションのハッシュチェックサムの構築については、ブートパーティションのデバイス名を知っていて、それが
/dev/sda1は内部ブートパーティション用、/dev/sdb1フラッシュドライブパーティションの場合、ハッシュの作成は次のように簡単です。$ sha256sum -b /dev/sda1 > hd-boot-fingerprint.sha256 $ sha256sum -b /dev/sdb1 > usb-boot-fingerprint.sha256これにより、パーティション全体のフィンガープリントが構築されるため、ブートローダーへの変更を取得する必要があります。 USBフラッシュドライブの起動に使用されるプロトコルについてはわかりません。内蔵ハードディスクでは、ディスクの最初のメガバイトのフィンガープリントも作成する必要があります。これは、マスターブートレコードとGRUBブートローダーの最初のステージが保持されることが多いためです。
$ dd if=/dev/sda of=first-meg.dd bs=1M count=1 $ sha256sum -b first-meg.dd > first-meg-fingerprint.sha256これらの指紋を取得したら、定期的に再計算して、計算された新しい指紋を元の指紋と比較できます。
質問の条件下ではシステムを保護できません。
何があっても、マシンへの物理的なアクセスではセキュリティはありません。 BIOSパスワードを除いて、このページのすべての対策は、レスキューモードで起動することで回避できます(何らかの形で)。
BIOSパスワードは簡単にリセットできます。通常は、ジャンパーまたはバッテリーの取り外しです。
最も可能性の高い答えは、リムーバブルメディアに関するものです。 LinuxをUSBハードドライブで実行していて、常に携帯している場合、侵入することはあまりありません。しかし、再び物理的なアクセスがあれば、彼らはあなたの起動順序とあなたの背中を正方形のものに調整することができます。
あなたの唯一の真の手段は、信頼とアクセス制御の根本的な問題に取り組むことです。
pSディスクの暗号化は役立ちますが、100%の解決策とはならず、アクセスできます。
ノートブックを購入して持ち歩くだけです。
他の人にあなたのデータをチェックしてほしくない場合は、あなたのデータを彼らの近くに置いたままにしないでください。
anyマシンの一部が侵害された場合、マシン上のすべてが侵害されます。ハードウェアのハッキングは必ずしも高価ではなく、この人があなたのデータにアクセスするためにどこまで行くのか本当にわかりません。このマシンでのリークを回避する最善の方法は、完全に使用を停止するにすることです。
多くの人々があなたに言ったように-物理的なアクセスはセキュリティの世界でのゲームオーバーに等しい。データにアクセスしたくない人と共有するマシンに機密データやプライベートデータを保存しないでください。
まだ誰もこれについて言及していない理由がわかりません(多分私はそのサイトをよく理解していません)。
部屋にカメラを設置します(wifi機能なし)。 Linuxシステムをセットアップして、会話を引き継いでハウスメイトに気軽に話してください。それらをパソコンに侵入して情報を読み取って記録します。彼らを逮捕し、罰金を科し、補償金(ある場合)を使用して退去を手伝ってください。または、A)、深刻な法律違反、およびB)あなたのプライバシーを尊重しないために、同居人を捨ててもらいます。誰かのパソコンに侵入することは、盗むことと同じです。
これは私にとって最も簡単な解決策です。トラップを設定します。最善の防御策は良い犯罪です。
USBスティックが2つあります。 1つ目は、パスワード保護を備えたハードウェアレベルで読み取り専用に設定する機能を持ち、2つ目は、通常のスティックまたはPIN対応のスティックのいずれかになります(ただし、これらは、間違った場合に自己破壊する傾向がありますPINは数回入力されるので、注意してください...)。
オペレーティングシステムを最初のスティックにインストールし、フルディスク暗号化を使用するように2番目のスティックを構成します。/homeなど、書き込みアクセスを必要とするすべてのものを2番目のスティックに格納できるように、パーティションを設定します。完全に構成され、安全なパスワードでロックダウンされたら、USBスティックを読み取り専用に設定します。
これにより、物理的なキーロガーを除いたり、立ち去るときにシステムの電源をオン/ロック解除したままにしたりすることを除いて、すべてから保護されます。読み取り専用のOSは、ロックされている間はOSスティックに何も書き込むことができず、2番目のスティックは復号化パスワードなしで読み取ることができないため、シングルユーザーモードは攻撃の形としては役に立たないことを意味します。すべての機密データ。
私は次の年齢の前に、過度に偏執的な人から出会いました。
コンピューターが起動するたびにマスターパスワードの文字に対応するキーストロークが変更されるように、/ bootがリムーバブルメディアにあり、マスターパスワードをグリッド表示から入力するフルディスク暗号化。
ここでの私の個人的な推奨事項は、ブートメディアを誰かがそれを交換しようとしたかどうかがわかるように、手でシャープネスが付いたCD-Rにすることです。 (この方法で、コンピュータのすぐ隣に問題なく保管できます。)
元々の推奨は/ bootがあなたと一緒に持っていたフロッピーであることを含んでいました(それは古いです)。
これは私の行動計画です:
- セットアップにBIOSパスワードを追加して、BIOSをロックします。ユーザーが私の監視なしでコンピューターを使用できるようにするために、起動パスワードを追加しません。 USB、CD、ネットワークからの自動起動を無効にします。
- USB/CDから強制的に起動し、ハードディスクに暗号化されたホームフォルダーと暗号化されたスワップを使用してLinuxをインストールします。可能な場合は、システムパーティションを非常に高速なUSBディスクに保存しようとしますが、それでもパフォーマンスが必要な場合は不可能です。このオプションを使用する場合は、ブート時にシステム全体をRAMにロードするようにLinuxを構成することを検討してください。
- できた!
私は自分のコンピューターを使用したいときはいつでも、それをシャットダウンして、ハードウェアのキーロガーをチェックしていました。次に、USBディスクを接続し(システムがUSBディスクにインストールされている場合)、USBから強制的に起動してシステムを起動します。これにより、攻撃ベクトルが大幅に減少します。
- 私の個人ファイルは誰も見ることができません(暗号化されています)。
- Linux OSを変更してキーロガーを含めることはできません(OSがUSBディスクにあるか、BIOSがロックされてLinuxパーティションへのアクセスがより困難になっています)
コールドブート攻撃を防ぐために、コンピュータから離れているときは必ずシャットダウンしてください。
この設定で何かを隠していることに気づくことも非常に困難です。ホームパーティションは、Windowsから見たりアクセスしたりすることが困難です。ホームパーティションにアクセスする場合、ランダムな情報を保持するランダムなファイル名を持つランダムに見えるファイルの束が表示されます。 LinuxがUSBディスクにインストールされている場合、別のオペレーティングシステムも表示されません。
別の家とsystemmパーティションでLinuxをインストールするのは非常に簡単ですが、ここではカバーしません。この情報が必要な場合はコメントを追加してください。
また、言及するのを忘れていました。 BIOSパスワードを設定する必要があり、どの程度の面倒を経験したいかに応じて、側面にロックがあるケースに投資できます。これで侵入を完全に防ぐことはできませんが、検出されたくない場合は侵入を防ぐことができます。そうすれば、CMOSを削除したり、マザーボード/ジャンパーにアクセスしてBIOSパスワードをリセットしたりすることができなくなります。
周りにいないときに部屋から消えないようにしたい場合は、ケンジントンがその物を机にロックすることもできます。これらの人々があなたのデータにアクセスするためにどのくらい行くのかわからない。
過去の管理者が多くのメモを残さなかった会社で、過去にいくつかの管理作業を行いました。しかし、ネットワークに接続され、信頼できない重要なハードウェアがありました。その経験から、私は古いことわざが正しいことを伝えることができます。物理的なアクセスがあり、決心している場合、ゲームオーバーは時間投資の問題にすぎません。気付かないうちにデータを危険にさらすことを難しくすることができますが、それは攻撃者が費やす時間です。
あなたがまだ考えていないかもしれない1つの攻撃ベクトル:ハードウェアキーロガーの代わりに、断固とした攻撃者が小さなビデオカメラをインストールしてパスワードを取得する可能性があります。または、キーボードによっては、キー入力を録音する安価なマイクで十分な場合があります。超秘密のパスワードを入力しているときに携帯電話で無邪気な電話を1回...
したがって、唯一の実際の解決策は物理的なアクセスを制限することであり、私はあなたのシナリオでそれを達成するための非常に少数の方法しか見ることができません:
- 他の回答で述べたように、あなたと一緒にシステムを持っていってください。 USBスティックに。暗号化して首にかけたり、寝るときにロックしたりできます。
- Linuxパーティションを暗号化しますが、スクリプトを使用して毎回パスワードを変更します。別のデバイス(電話?)を使用して、そのパスワードを再生成します。同期するか、PCが生成した画像をキャプチャして、パスワードを同期して再生成するために使用することができます。これが、一部の銀行がオンラインバンキングを保護する方法です。この2番目のデバイスは、USBベースのシステムと同じ厳格さで保護します。
- ファイルにアクセスした日時と場所を確認できるリモートサーバーにデータを保存します。 (独立した安全な場所からの)アクセスを綿密に監視します。これはあなたに保護を与えることはありませんが、あなたに証拠を与えるでしょう。ライブDVDからのみデータにアクセスします。繰り返しますが、書き込み可能であるかのようにそのLive DVDを保護します。
- 別の場所にある別のPCを使用します。
- 紙の上でのみ作業し、使用後はその紙を焼いてください。それが完全に燃えて、映画のように下のシートにインデントを残さないことを確認してください。
- 天才になり、頭の中でLinuxを実行します。ただし、薬物を服用したり、誘拐されたりしないようにしてください。また、飲み物に何かを入れないようにしてください。
- PCを使用するだけで、新しい世帯に移動します。
また、バックアップ、USBスティック、およびPCに接続するその他のものを保護することを忘れないでください。特にオプション6を選択する場合。
他の人々はいくつかの素晴らしいアイデアを持っていました。これが既に言及されているかどうかを判断するために読んだわけではないので、言及されたことをお詫びします。部屋のドアを物理的にロックすることはできないとおっしゃっていましたが、外付けハードドライブだけで作業し、それを暗号化して、ロックボックスまたは金庫などの別の場所にロックしてみませんか?次に、キーを非表示にするか、常に自分の身にあることを確認してください。
暗号化された外付けハードドライブを含む小さなロックボックスを車のグローブボックスに入れることさえできます。次に、車をロックします。次に、最大4つの障害(データの復号化、ロックボックスのキー、グローブボックスのキー、車のキー)になります。これらのハッカーは、データにアクセスするために通過する必要があります(ドアと同じコンパートメントのキーがあるかどうかによって異なります)。あなたの車に)。
他の人が述べたように、ライブCDから完全に作業することは素晴らしいアイデアです。
物理的なアクセスはゲームオーバーだと多くの人が言及しているのを目にします。これはリソースの豊富な攻撃者に当てはまりますが、リソースの少ない攻撃者に対する防御があります:Qubes OSとantievilmaid。
Qubesは基本的にXenを実行しているFedora VMです(DebianやWindowsを含む他のVMを使用できます)。
antievilmaidは、TPM(ハードウェアセキュリティモジュール)を使用して秘密を暗号化し、起動時にそれを復号化してユーザーに提示するプログラムです。この暗号化のキーは、ROM、ブートローダーなどのハッシュから派生します。このリストの何かが変更されると、ハッシュが変更され、シークレットを復号化できません。したがって、起動時にコンピュータはあなたを識別し、「あなたの秘密を暗号化して以来、私は変わっていない」と伝えます。
QubesはすべてのUSBコントローラーを別のVMにマッピングする機能を備えているため、USBキーロガーをプラグインすると、非アクティブなVMをキーロギングすることになります。アクティブなVMです。USBVMは、そこに座ってUSBコントローラーを制御する役割があるため、アクティブになることはありません。USBポートが必要な場合は、一時的に別のVMに転送できます。 VM。
Qubesパーティションは暗号化されるため、Windowsユーザーがパーティションをダンプすることを心配する必要はありません。ブートローダーを変更してディスクのパスフレーズをログに記録しようとすると、ブートローダーが別のキーにハッシュされるため、antievilmaidが秘密を提示できなくなります。
別のアイデア:
安価なシングルボードコンピュータを購入できます(Raspberry Piを考えてみてください)。 Pi 3は、インターネットの閲覧と映画の視聴だけを行う場合にデスクトップPCを置き換えるのに十分な速度で、約$ 40かかります。
USB電話充電器ケーブル(または別のコンピューターのUSBポート)を搭載し、HDMI出力をサポートしています。それは靴下に隠すことができるほど小さいです:-)またはジャケットのポケットに入れて持ち歩けます。ボードは1枚なので、ハードウェアのキーロガーからも安全です。マイクロsdカードから起動します。これは非常に小さいため、基本的にどこにでも隠すことができます(または古いスマートフォンやカメラに入れることができます)。システムが別のルートパーティションを使用するように、SDカードの初期RAMディスクを簡単に変更できます。 1つは外付けのUSBドライブにあります(SDカードは書き込みが多いオペレーティングシステムを実行するために作られていないため、これは真剣に検討する必要があります)。さらに、Piを表示したくない、または非表示にできない場合は、その存在を簡単に説明できます。また、突然Linuxを使用しているという事実は、Piをいじくり回したいということで、追加の安価なコネクタを購入できます。ケーブル、ブレッドボード、および数十ドルのLedと、Ledを点滅させるPiで実行できるクールで簡単なプロジェクトをいくつか見てみましょう。その後、2つのSDカードを使用して起動できます。プライバシーが必要なときに使用する秘密の画像と、おとりとして使用する公開の画像です。
このソリューションは、デスクトップシステムにさえ触れず、ハードウェアをよりよく制御でき(ハードウェアの唯一の危険はキーボードです)、すぐに利用できるソフトウェアマルウェアの影響をほとんど受けません(これは一般的でないハードウェアプラットフォームであるためです)。さらに、多くの人がPiをいじるのが大好きなため、簡単に説明できます。そのため、そのようなことに興味があるタイプでさえ、あなたが突然2番目のものを所有することに興味がある理由の完全な説明がありますLinuxのみを実行しているコンピュータ。
他の人が言ったこと(Live CD、フルディスク暗号化など)とは別に、いくつかの注意事項があります。
(1)Linuxディストリビューションを信頼できるコンピューターにダウンロードします。 ISOイメージが密かに置き換えられたり、感染したり、修正されたりする可能性があるため、Windowsシステムではこれを行わないでください。チェックサムを信頼しないでください(チェックサムユーティリティも偽物になる可能性があります)。
(2)Live CD/DVD/USBスティックにサインオンします。つまり、データ署名デバイスに物理的な署名を付けて、データストレージデバイスがあるかどうかを確認できるようにします。偽のオペレーティングシステムでLive CD/DVDを準備することは難しくありません。追記型CD/DVDを使用するのが最適なオプションです。
(3)物理キーボードで入力しないでください。プログラミングを知っている場合は、独自の画面キーボードを作成できます。 qwertyレイアウトを使用しないでください。代わりに、あなただけが知っているカスタムレイアウトを作成してください。キーの文字をペイントしないでください。キーボードに文字が表示されていない限り、家族が隠しビデオカメラで入力した内容を記録することはできません。レイアウトが表示されないように、パスワードフィールド(文字がドットなどの他の記号に置き換えられます)に入力する場合にのみ、カスタムキーボードを使用してください。
(4)キー難読化ツールを使用します。キー難読化ツールは、ランダムなキーイベントをバックグラウンドでディスパッチします。キーロガーが存在する場合、キーロガーはすべてのランダムなキーストロークを受け取ります。つまり、資格情報を回復するのははるかに困難です。
物理的なアクセスを与えられた攻撃を防ぐことは理論的には不可能かもしれませんが、物理的なアクセスを重要なものに制限するために多くのことを行うことができ、したがって攻撃ベクトルを制限します。
あなたの最良のオプションは、カスタムLinuxブートCDとストレージ用の暗号化されたUSBスティックです。 ArchやGentooを含む多くのディストリビューションでは、カスタムCDの作成がかなり簡単になっています。 Kali や buntu Privacy Remix のように、セキュリティを重視したディストリビューションもオプションになるかもしれません。 Knppoix のような通常のブートCDでも、無制限のリソースを持つ攻撃者を扱っていない場合は、おそらく多くの場合十分です。
セキュリティ重視またはカスタムCDの主な利点は、ドライバーの動作を微調整できることです。これにより、危険にさらされている可能性のあるハードウェアへのドライバーのロードを防ぐことができます。リスクはまだありますが、たとえばBIOSのハッキングに伴う困難は、カジュアルな攻撃者の大多数が実行できるよりもはるかに大きくなります。
もちろん、ハードウェアを常に認識しておく必要があります。有線キーボードを使用し、ワイヤレスは使用しないでください。さらに良いのは、ポータブルタブレットキーボードのように、プラグを抜いてアクセスできないようにするものを使用することです。起動する前に、外部周辺機器がインストールされていないこと、およびシステムの内部が改ざんされていないことを確認してください。 USBまたはFireWireデバイス、PCIカード、および確かにわからないハードウェアは、潜在的な攻撃経路です。
ネットワークとインターネットに注意してください。 ARP poisoning の影響を受けると想定し、暗号化されていないトラフィックをすべてブロックするなどの対策を講じる必要があります。
ある程度、これはあなたが守ろうとしている人々がどれだけ熱心で熟練しているのかという問題です。 「キーロガー」をグーグル化した気の狂った妻を締め出そうとしているなら、あなたが取る必要がある対策は、ルームメイトが中国のコンピューターインテリジェンスで働いている場合とは大きく異なります。
そしてもちろん、ブートCD +タブレットキーボード+ USBスティックのアプローチの利点は、状況によっては、攻撃者がこれが実行されていることにさえ気付かない可能性があることです。外観を維持するために時々「使用」するダミーインストールを簡単に回避できます。
ハードドライブにはホットスワップケージを使用し、使用しないときはハードドライブを取り外します。持ち帰るか、安全な場所に保管してください。
このようなドライブは、通常のSATA接続に接続できます。 USBとは異なり、速度を失うことはなく、容量に制限はありません。 OSはこのドライブから問題なく起動できます。ドライブを取り外すと、コンピューターから何も取得できません。
他の回答で言及されていないように見えるのは、HDDパスワードです。
ドライブにHDDパスワードを設定すると、パスワードを入力するまで、コンピューターとの通信を拒否します。 BIOSは、ブート時にパスを要求します。また、BIOSセットアップでパスワードを設定する必要があります。
利点は、ドライブのコントローラーが機能しないため、コンピューターの電源がオフのときにドライブ上のデータを読み取ったり変更したりすることが非常に困難になることです。
暗号化に取って代わるものではありません(まだ一部の企業がプラッタを直接読み取ることができるため)が、非常にやる気がなく(そして支払うことを喜んで)。
HDDパスワードを紛失すると、ドライブが機能しなくなることに注意してください(一部の製造元には「マスターキー」があり、一部はインターネットで見つけることができますが、モデルによって異なり、私はそれに頼りません) 。
最後に、一部のドライブ(SamsungのSSD 850 Evoなど)は、その上のデータをHDDパスワードで暗号化し、realセキュリティを提供します。
答えのほとんどは、ソフトウェアの側面でこれを複雑にしています。
BIOSの変更を防ぐためにCMOSパスワードを設定し、ブートドライブをロックし、ブートローダーをロックし、ログインパスワードを設定し、一般的に忘れられているログイン画面のバイパスハックについて少し調査して、忘れないでください。あなたが立ち去ったときにセッションをロックするためには、GNU/LinuxやWindowsといったソフトウェアであっても、だれもが実際に入る方法はありません。
カスタムハードウェアや高度な攻撃を必要とする攻撃から保護することに関心がないとおっしゃっていましたが、そうした場合でも、FireWireポートを無効にして、DMAアクセスを許可し、場合によっては無効にすることをお勧めします。 USBプラグアンドプレイは、USBドライバーのバグを悪用しないようにするためです。
そのため、彼らがあなたのコンピュータにアクセスしたいのなら、彼らはハードウェアに侵入するだけです。したがって、完全なディスク暗号化用に設定します。次に、ロック可能なシャーシを用意し、暗号化キーをメモリから消去して残りのRAMを消去するようにシャーシ侵入スイッチを構成することができます。
シャーシロックを選択したり、キーボードを改造したりする可能性があると思われる場合は、キーボードまたはコンピューターのシャーシを開いたときに破れる、署名などが貼られた適切なステッカーを貼って、キーボードとシャーシを改ざんしないようにします。それらがヘアドライヤーでそれらを加熱することがそれらを打ち負かさないように良いことを確認してください。シーリングワックスやカスタムスタンプなどを使用することもできます。ステッカーにワックスをかけると、加熱されているかどうかがわかります。コンピューターの電源を入れるたびに、改ざん防止機能の整合性をチェックする習慣を身に付ける必要があります。そうしないと、そこにある種の安価なDMAハードウェアや、誰かがメモリからディスク暗号化パスワードを取得できるようにする外部PCIeアタッチメントを置くことができます。または、CMOSパスワードをクリアしてBIOSを再構成し、フルディスク暗号化パスワード盗用ツールを起動して、パスワードが入力されるのを待つこともできます。
スクリーンセーバーのロック解除パスワードが、ディスク全体の暗号化パスワードと異なることを確認してください。それ以外の場合、暗号化されたハードドライブをイメージする場合、偽のロック解除画面を提示してパスワードを入手する可能性があります。パスワードを入力して、ロック解除画面が偽物であることが判明したときには、すでにネットワークを介してパスワードが送信されている可能性があります。
隠しカメラでキーボードを向けて、キーボードを監視しないようにします。
ダウンロードされたファイルにマルウェアを追加するローカルネットワークに対して何かを行う場合に備えて、ダウンロードしたすべてを確認します。
私のプライマリPCは、家の誰もが使用できるパスワードなしのデスクトップPCで構成されています。このマシンから、Azureで実行されているWindows 10マシンに接続します。キーロガーなどをインストールしている人には問題はありませんが(私は思いません!)、使用するデバイスがなければそのマシンのパスワードが役に立たなくなる、ホームユーザーが自由に利用できる2要素認証オプションがいくつかあります。ログインする。
MSTSCに保存された設定とVPNを削除するクリーンアップスクリプトを使用すると、VMに接続していることを確認できません。
ここでのその他の提案はキーロギングの問題に対処しており、ライブCDなどから起動すると、基盤となるOSをクリーンに保ちます。
ここには明らかにコストの問題がありますが、AWSスポットインスタンスを使用して、プライベートにしたいことを実行したい場合にのみインスタンスを開始することができます。これにより、かなりのコストがかかります。
これは代替のアプローチであり、おそらく完全にニーズに対応していませんが、プライバシーに対する優れたソリューションを提供できます(政府や大企業から物事を非公開にしたい場合を除きます)。