Как предотвратить постоянную установку на USB доступа к жесткому диску
Я лично предпочитаю использовать Google Chrome, который поддерживает это изначально. В качестве бонуса ваши закладки также доступны в специальной папке в Документах Google.
Параметры -> Личные вещи -> Синхронизация:
Это не синхронизировать свою историю или сохраненные пароли.
6 ответов
Постоянный живой диск со стандартным пользователем, который не может монтировать внутренние диски
Я сделал постоянный живой диск с mkusb из ubuntu-16.04.1-desktop-amd64.iso, который имеет самую длинную поддержку существующих файлов iso. [!d1 ]
Стандартный идентификатор пользователя (наряду с обычным пользователем автономной системы «ubuntu») не может запускать программы, которые нуждаются в sudo: «Стандарт не находится в файле sudoers. Об этом инциденте сообщается. Разделы на внутреннем диске не установлены. Для их монтирования вам нужны sudo разрешения как для mount, так и для udisksctl.
Стандартный идентификатор пользователя (наряду с пользователем нормальной жизни «ubuntu») не может запускать программы, которые нуждаются в sudo:
Шифровать дом с помощью users-admin
Можно создать стандартный идентификатор пользователя с зашифрованным домом и войти с [хорошим] паролем. Это можно сделать легко, если программа users-admin установлена путем активации репозитория universe и установки пакета gnome-system-tools.
sudo add-apt-repository universe
sudo apt update
sudo apt install gnome-system-tools
Отметьте поле в соответствии с скриншотом, чтобы создать новый пользователь с зашифрованным домом.
После использования зашифрованного дома компьютер должен быть выключен или перезагружен. В противном случае живой пользователь (или другой пользователь) получает доступ к зашифрованным данным.
Постоянный живой диск со стандартным пользователем и пользователем с разрешениями администратора
Я сделал постоянный живой диск с mkusb из ubuntu-16.04.2-desktop-amd64.iso, который является более новым LOT-файлом LTS, чтобы проверить, что эти задачи работают с более чем одним изо-файлом.
На некоторых компьютерах система может уйти вы с черным экраном после входа в систему (после выхода из системы). Это может зависеть от графического драйвера. Если это произойдет, вы можете сделать что-то с помощью мыши или клавиатуры, чтобы добраться до рабочего стола. Если вам еще не повезло, вы можете ввести текстовый экран, а затем вернуться к графическому экрану с помощью комбинаций горячих клавиш
ctrl + alt + F1
ctrl + alt + alt
Можно создать другой идентификатор пользователя с разрешениями администратора, которые могут управлять системными задачами, например, устанавливать и обновлять пакеты программ (если вы хотите отделить задачи, потому что из соображений безопасности). Один (или оба) идентификатор пользователя может быть сделан с зашифрованным домом, если вы пожелаете.
С помощью этих двух идентификаторов пользователя можно будет удалить обычного пользователя «ubuntu» в реальном времени. Вы можете сделать это из идентификатора пользователя с правами администратора после уничтожения процессов, запущенных с помощью пользователя «ubuntu»
ps -Af | grep ubuntu # identify which processes to kill
sudo kill <the PID numbers that you found (without any brackets)>
sudo deluser ubuntu
. После этого вы также можете удалить содержимое в разделе «casper-rw» (или файл) относительно удаленного пользователя (если хотите), но, вероятно, не так много данных, поэтому не очень важно, если вы не подозреваете, что есть некоторые конфиденциальные данные.
Теперь после удаления обычного пользователя в реальном времени 'ubuntu', Компьютер должен быть выключен или перезагружен после использования зашифрованного дома. Мне нравится это поведение, и я думаю, что это стоит дополнительных усилий (по сравнению с системой со стандартным пользователем рядом с
Важное значение имеет резервное копирование
Частая резервная копия важна, потому что это постоянная живая система
(делает ее чувствительной) зашифрованная система (затрудняет восстановление / восстановление).
Безопасность - отключить подкачку
Если этот вид системы обнаружит раздел подкачки на внутреннем диске , он, вероятно, будет использовать его и может оставить следы, которые не зашифрованы. Поэтому, пожалуйста, отключите замену, если на внутреннем диске компьютера, где вы используете систему, есть раздел подкачки Linux.
Вы должны войти в систему или ввести su в идентификатор пользователя с разрешениями администратора, «guru», чтобы отключить замену
su - guru
/sbin/swapon -s # check
sudo /sbin/swapoff -a
/sbin/swapon -s # check
exit
Сравнение с установленной системой
Сравнение такого типа постоянной системы в реальном времени с установленной системой (в случае USB-приставки в обоих случаях) ,
Преимущество:
постоянная живая система (делает ее чувствительной)Недостатки:
[d38 ] постоянная живая система (делает ее чувствительной) зашифрованной системой (затрудняет восстановление / восстановление).Постоянный живой диск со стандартным пользователем, который не может монтировать внутренние диски
Я сделал постоянный живой диск с mkusb из ubuntu-16.04.1-desktop-amd64.iso, который имеет самую длинную поддержку существующих файлов iso.
Стандартный идентификатор пользователя (наряду с обычным пользователем автономной системы «ubuntu») не может запускать программы, которые нуждаются в sudo: «Стандарт не находится в файле sudoers. Об этом инциденте сообщается. Разделы на внутреннем диске не установлены. Для их монтирования вам нужны sudo разрешения как для mount, так и для udisksctl.
Стандартный идентификатор пользователя (наряду с пользователем нормальной жизни «ubuntu») не может запускать программы, которые нуждаются в sudo:
Шифровать дом с помощью users-admin
Можно создать стандартный идентификатор пользователя с зашифрованным домом и войти с [хорошим] паролем. Это можно сделать легко, если программа users-admin установлена путем активации репозитория universe и установки пакета gnome-system-tools.
sudo add-apt-repository universe
sudo apt update
sudo apt install gnome-system-tools
Отметьте поле в соответствии с скриншотом, чтобы создать новый пользователь с зашифрованным домом.
После использования зашифрованного дома компьютер должен быть выключен или перезагружен. В противном случае живой пользователь (или другой пользователь) получает доступ к зашифрованным данным.
Постоянный живой диск со стандартным пользователем и пользователем с разрешениями администратора
Я сделал постоянный живой диск с mkusb из ubuntu-16.04.2-desktop-amd64.iso, который является более новым LOT-файлом LTS, чтобы проверить, что эти задачи работают с более чем одним изо-файлом.
На некоторых компьютерах система может уйти вы с черным экраном после входа в систему (после выхода из системы). Это может зависеть от графического драйвера. Если это произойдет, вы можете сделать что-то с помощью мыши или клавиатуры, чтобы добраться до рабочего стола. Если вам еще не повезло, вы можете ввести текстовый экран, а затем вернуться к графическому экрану с помощью комбинаций горячих клавиш
ctrl + alt + F1
ctrl + alt + alt
Можно создать другой идентификатор пользователя с разрешениями администратора, которые могут управлять системными задачами, например, устанавливать и обновлять пакеты программ (если вы хотите отделить задачи, потому что из соображений безопасности). Один (или оба) идентификатор пользователя может быть сделан с зашифрованным домом, если вы пожелаете.
С помощью этих двух идентификаторов пользователя можно будет удалить обычного пользователя «ubuntu» в реальном времени. Вы можете сделать это из идентификатора пользователя с правами администратора после уничтожения процессов, запущенных с помощью пользователя «ubuntu»
ps -Af | grep ubuntu # identify which processes to kill
sudo kill <the PID numbers that you found (without any brackets)>
sudo deluser ubuntu
. После этого вы также можете удалить содержимое в разделе «casper-rw» (или файл) относительно удаленного пользователя (если хотите), но, вероятно, не так много данных, поэтому не очень важно, если вы не подозреваете, что есть некоторые конфиденциальные данные.
Теперь после удаления обычного пользователя в реальном времени 'ubuntu', Компьютер должен быть выключен или перезагружен после использования зашифрованного дома. Мне нравится это поведение, и я думаю, что это стоит дополнительных усилий (по сравнению с системой со стандартным пользователем рядом с
Важное значение имеет резервное копирование
Частая резервная копия важна, потому что это постоянная живая система
(делает ее чувствительной) зашифрованная система (затрудняет восстановление / восстановление).
Безопасность - отключить подкачку
Если этот вид системы обнаружит раздел подкачки на внутреннем диске , он, вероятно, будет использовать его и может оставить следы, которые не зашифрованы. Поэтому, пожалуйста, отключите замену, если на внутреннем диске компьютера, где вы используете систему, есть раздел подкачки Linux.
Вы должны войти в систему или ввести su в идентификатор пользователя с разрешениями администратора, «guru», чтобы отключить замену
su - guru
/sbin/swapon -s # check
sudo /sbin/swapoff -a
/sbin/swapon -s # check
exit
Сравнение с установленной системой
Сравнение такого типа постоянной системы в реальном времени с установленной системой (в случае USB-приставки в обоих случаях) ,
Преимущество:
постоянная живая система (делает ее чувствительной)Недостатки:
постоянная живая система (делает ее чувствительной)
зашифрованной системой (затрудняет восстановление / восстановление).Постоянный живой диск со стандартным пользователем, который не может монтировать внутренние диски
Я сделал постоянный живой диск с mkusb из ubuntu-16.04.1-desktop-amd64.iso, который имеет самую длинную поддержку существующих файлов iso.
Стандартный идентификатор пользователя (наряду с обычным пользователем автономной системы «ubuntu») не может запускать программы, которые нуждаются в sudo: «Стандарт не находится в файле sudoers. Об этом инциденте сообщается. Разделы на внутреннем диске не установлены. Для их монтирования вам нужны sudo разрешения как для mount, так и для udisksctl.
Стандартный идентификатор пользователя (наряду с пользователем нормальной жизни «ubuntu») не может запускать программы, которые нуждаются в sudo:
Шифровать дом с помощью users-admin
Можно создать стандартный идентификатор пользователя с зашифрованным домом и войти с [хорошим] паролем. Это можно сделать легко, если программа users-admin установлена путем активации репозитория universe и установки пакета gnome-system-tools.
sudo add-apt-repository universe
sudo apt update
sudo apt install gnome-system-tools
Отметьте поле в соответствии с скриншотом, чтобы создать новый пользователь с зашифрованным домом.
После использования зашифрованного дома компьютер должен быть выключен или перезагружен. В противном случае живой пользователь (или другой пользователь) получает доступ к зашифрованным данным.
Постоянный живой диск со стандартным пользователем и пользователем с разрешениями администратора
Я сделал постоянный живой диск с mkusb из ubuntu-16.04.2-desktop-amd64.iso, который является более новым LOT-файлом LTS, чтобы проверить, что эти задачи работают с более чем одним изо-файлом.
На некоторых компьютерах система может уйти вы с черным экраном после входа в систему (после выхода из системы). Это может зависеть от графического драйвера. Если это произойдет, вы можете сделать что-то с помощью мыши или клавиатуры, чтобы добраться до рабочего стола. Если вам еще не повезло, вы можете ввести текстовый экран, а затем вернуться к графическому экрану с помощью комбинаций горячих клавиш
ctrl + alt + F1
ctrl + alt + alt
Можно создать другой идентификатор пользователя с разрешениями администратора, которые могут управлять системными задачами, например, устанавливать и обновлять пакеты программ (если вы хотите отделить задачи, потому что из соображений безопасности). Один (или оба) идентификатор пользователя может быть сделан с зашифрованным домом, если вы пожелаете.
С помощью этих двух идентификаторов пользователя можно будет удалить обычного пользователя «ubuntu» в реальном времени. Вы можете сделать это из идентификатора пользователя с правами администратора после уничтожения процессов, запущенных с помощью пользователя «ubuntu»
ps -Af | grep ubuntu # identify which processes to kill
sudo kill <the PID numbers that you found (without any brackets)>
sudo deluser ubuntu
. После этого вы также можете удалить содержимое в разделе «casper-rw» (или файл) относительно удаленного пользователя (если хотите), но, вероятно, не так много данных, поэтому не очень важно, если вы не подозреваете, что есть некоторые конфиденциальные данные.
Теперь после удаления обычного пользователя в реальном времени 'ubuntu', Компьютер должен быть выключен или перезагружен после использования зашифрованного дома. Мне нравится это поведение, и я думаю, что это стоит дополнительных усилий (по сравнению с системой со стандартным пользователем рядом с
Важное значение имеет резервное копирование
Частая резервная копия важна, потому что это постоянная живая система
(делает ее чувствительной) зашифрованная система (затрудняет восстановление / восстановление).Безопасность - отключить подкачку
Если этот вид системы обнаружит раздел подкачки на внутреннем диске , он, вероятно, будет использовать его и может оставить следы, которые не зашифрованы. Поэтому, пожалуйста, отключите замену, если на внутреннем диске компьютера, где вы используете систему, есть раздел подкачки Linux.
Вы должны войти в систему или ввести su в идентификатор пользователя с разрешениями администратора, «guru», чтобы отключить замену
su - guru
/sbin/swapon -s # check
sudo /sbin/swapoff -a
/sbin/swapon -s # check
exit
Сравнение с установленной системой
Сравнение такого типа постоянной системы в реальном времени с установленной системой (в случае USB-приставки в обоих случаях) ,
Преимущество:
постоянная живая система (делает ее чувствительной)Недостатки:
постоянная живая система (делает ее чувствительной)
зашифрованной системой (затрудняет восстановление / восстановление).Как уже упоминалось, нет реальной безопасности без физического контроля над машиной, но просто глядя на обычных пользователей и ограничивая доступ к диску, это значение по умолчанию. Если вы не введете запись в / etc / fstab, чтобы обычные пользователи могли монтировать раздел, они не могут его монтировать.
То, что вы говорите, меня немного смущает, но доступ к sudo может быть через группу sudo или группу «admin» (больше не существует после 11.10, но все еще в файле sudoers). По-видимому, «admin» - это не системные группы, перечисленные в /etc/adduser.conf). Поскольку запись «ubuntu» находится в файле /etc/sudoers.d/casper, это дает возможность ubuntu sudo.
Я загрузил aa (постоянный) USB-носитель mkusb, создал пользователя, и этот пользователь мог не монтировать мой жесткий диск и не иметь возможности sudo.
Таким образом, проблема заключается в том, что пользователь по умолчанию «ubuntu» не имеет пароля и имеет возможность sudo (непосредственно из /etc/sudoers.d/casper) - создание sudo доступны для всех, потому что они могут переключиться на пользователя ubuntu. Это живое медиа, некоторые вещи не будут работать, как при полной установке, но поскольку у вас есть другой пользователь sudo, попробуйте по порядку:
Удалите файл /etc/sudoers.d/casper. Это удаляет ubuntu из доступа sudo. Введите пароль для пользователя ubuntu. Может быть достаточно одного, но есть большой «NOPASSWORD», застрявший в файле /etc/sudoers.d/casper, который также может потребоваться изменить. Удалите пользователя ubuntu полностью.-
1«доступ к суду» может осуществляться через «администратор». группы (100-999) " Как? Что заставляет вас думать, что? – muru 27 July 2017 в 06:28
-
2@ C.S.Cameron. Можно создать стандартного пользователя с зашифрованным домом и войти с [хорошим] паролем. Это можно сделать легко, если программа users-admin установлена путем активации репозитория universe и установки пакета gnome-system-tools. - Компьютер должен быть выключен или перезагружен после использования зашифрованного дома. В противном случае у живого пользователя есть доступ к зашифрованным данным. – sudodus 27 July 2017 в 12:04
-
3@ ubfan1 / sudodus: я добавил пользователя Admin " cscameron " и стандартного пользователя "пробка" для постоянной установки mkusb. Загрузка как "пробка" Я получаю "Требуется аутентификация ... " при попытке открыть жесткий диск выпадающий список предлагает выбор между " cscameron " и ubuntu, а не «пробка». выбор Ubuntu устанавливает диск с пустым паролем. С полным установочным флеш-накопителем и теми же пользователями я получаю «Требуется аутентификация ...». окно с запросом пароля cscameron. Я согласен с тем, что стандартный пользователь не может запускать sudo, но у моего стандартного пользователя нет проблем с доступом к HDD в любом случае. – C.S.Cameron 27 July 2017 в 20:27
-
4@ C.S.Cameron, да, но если вы выберете другого пользователя, по крайней мере, вы знаете, что вам нужно сделать что-то особенное и потенциально опасное. В конце концов, вы можете загрузиться в реальном времени и получить доступ в любом случае: muru: «Существует защита от преднамеренного злоупотребления и защиты от несчастных случаев. Это может быть полезно для последнего ". Все становится немного безопаснее, если вы удалите стандартного пользователя live ubuntu, потому что тогда вам нужен пароль пользователя admin для использования sudo. – sudodus 27 July 2017 в 21:59
-
5@sudodus: users-admin - это раскрывающееся меню, о котором я упомянул в вопросе, он приходил с 10.04, спасибо. Как использовать это для шифрования дома? – C.S.Cameron 28 July 2017 в 02:00
Как уже упоминалось, нет реальной безопасности без физического контроля над машиной, но просто глядя на обычных пользователей и ограничивая доступ к диску, это значение по умолчанию. Если вы не введете запись в / etc / fstab, чтобы обычные пользователи могли монтировать раздел, они не могут его монтировать.
То, что вы говорите, меня немного смущает, но доступ к sudo может быть через группу sudo или группу «admin» (больше не существует после 11.10, но все еще в файле sudoers). По-видимому, «admin» - это не системные группы, перечисленные в /etc/adduser.conf). Поскольку запись «ubuntu» находится в файле /etc/sudoers.d/casper, это дает возможность ubuntu sudo.
Я загрузил aa (постоянный) USB-носитель mkusb, создал пользователя, и этот пользователь мог не монтировать мой жесткий диск и не иметь возможности sudo.
Таким образом, проблема заключается в том, что пользователь по умолчанию «ubuntu» не имеет пароля и имеет возможность sudo (непосредственно из /etc/sudoers.d/casper) - создание sudo доступны для всех, потому что они могут переключиться на пользователя ubuntu. Это живое медиа, некоторые вещи не будут работать, как при полной установке, но поскольку у вас есть другой пользователь sudo, попробуйте по порядку:
Удалите файл /etc/sudoers.d/casper. Это удаляет ubuntu из доступа sudo. Введите пароль для пользователя ubuntu. Может быть достаточно одного, но есть большой «NOPASSWORD», застрявший в файле /etc/sudoers.d/casper, который также может потребоваться изменить. Удалите пользователя ubuntu полностью.Как уже упоминалось, нет реальной безопасности без физического контроля над машиной, но просто глядя на обычных пользователей и ограничивая доступ к диску, это значение по умолчанию. Если вы не введете запись в / etc / fstab, чтобы обычные пользователи могли монтировать раздел, они не могут его монтировать.
То, что вы говорите, меня немного смущает, но доступ к sudo может быть через группу sudo или группу «admin» (больше не существует после 11.10, но все еще в файле sudoers). По-видимому, «admin» - это не системные группы, перечисленные в /etc/adduser.conf). Поскольку запись «ubuntu» находится в файле /etc/sudoers.d/casper, это дает возможность ubuntu sudo.
Я загрузил aa (постоянный) USB-носитель mkusb, создал пользователя, и этот пользователь мог не монтировать мой жесткий диск и не иметь возможности sudo.
Таким образом, проблема заключается в том, что пользователь по умолчанию «ubuntu» не имеет пароля и имеет возможность sudo (непосредственно из /etc/sudoers.d/casper) - создание sudo доступны для всех, потому что они могут переключиться на пользователя ubuntu. Это живое медиа, некоторые вещи не будут работать, как при полной установке, но поскольку у вас есть другой пользователь sudo, попробуйте по порядку:
Удалите файл /etc/sudoers.d/casper. Это удаляет ubuntu из доступа sudo. Введите пароль для пользователя ubuntu. Может быть достаточно одного, но есть большой «NOPASSWORD», застрявший в файле /etc/sudoers.d/casper, который также может потребоваться изменить. Удалите пользователя ubuntu полностью.-
1"sudo доступ можно через "админ" группы (100-999)" как? Что заставляет вас думать, что? – muru 27 July 2017 в 06:28
-
2@ C.S.Cameron. Можно создать стандартного пользователя с зашифрованным домом и войти с [хорошим] паролем. Это можно сделать легко, если программа users-admin установлена путем активации репозитория universe и установки пакета gnome-system-tools. - Компьютер должен быть выключен или перезагружен после использования зашифрованного дома. В противном случае у живого пользователя есть доступ к зашифрованным данным. – sudodus 27 July 2017 в 12:04
-
3@ubfan1/sudodus: я добавил Админ пользователей "cscameron" и обычного пользователя "пробки" на mkusb постоянные установки. Загружающий как "пробки" я получаю сообщение "требуется проверка подлинности ...", когда пытаюсь открыть жесткий диск, в выпадающем предлагает выбор между "cscameron" и Ubuntu, а не "пробки". выбирая в Ubuntu монтирует диск с пустым паролем. С полным установите флэш-накопитель и тех же пользователей я получаю сообщение "требуется проверка подлинности ..." окно с запросом пароля cscameron по. Я согласен, что обычный пользователь не может запускать sudo, но мой обычный пользователь не имеет никаких проблем в любом случае доступ к жесткого диска. – C.S.Cameron 27 July 2017 в 20:27
-
4@ C.S.Cameron, да, но если вы выберете другого пользователя, по крайней мере, вы знаете, что вам нужно сделать что-то особенное и потенциально опасное. В конце концов, вы можете загрузиться в реальном времени и получить доступ в любом случае: muru: «Существует защита от преднамеренного злоупотребления и защиты от несчастных случаев. Это может быть полезно для последнего ". Все становится немного безопаснее, если вы удалите стандартного пользователя live ubuntu, потому что тогда вам нужен пароль пользователя admin для использования sudo. – sudodus 27 July 2017 в 21:59
-
5@sudodus: users-admin - это раскрывающееся меню, о котором я упомянул в вопросе, он приходил с 10.04, спасибо. Как использовать это для шифрования дома? – C.S.Cameron 28 July 2017 в 02:00