https://www.opennet.ru/opennews/art.shtml?num=58366

Суть всего описанного сводится к тому, что на вашем компьютере можно загрузить зловреда, или атакующий может подменить ваш загрузчик, ядро, или что-то там ещё.

https://github.com/AonCyberLabs/EvilAbigail

Вот прототип зловреда, давайте посмотрим сценарий, цитирую

Scenario

    Laptop left turned off with FDE turned on
    Attacker boots from USB/CD/Network
    Script executes and backdoors initrd

АААААААААА ОРУ ОРУ!

И тут я не могу сдержаться и не заорать в голосину.

Ещё раз.

Laptop left turned off with FDE turned on

И ещё раз.

turned off

Привет!

Я вам третий год говорю про работу ОС в tmpfs.

Я третий год на форумах распинаюсь про то, как круто и безопасно крутить одноразовую ОС в tmpfs, которая в случае поломки заново загружается с флешки и работает как ни в чём небывало.

А тут выясняется, что помимо всего прочего, я могу добавить к features своего метода загрузки, ещё и безопасность и защищённость от всех этих Secure Boot на которые так яро дрочат копрорации и пытаются их протолкнуть?

Если я обнаружу свой лаптоп выключенным, у меня УЖЕ появятся вопросы, кто такой хитровыебанный им пользовался, выключал.

А потом махну рукой и просто загружусь со своей флешки как обычно в tmpfs, не получив никакого урона со стороны потенциальных зловредов, которые могли бы быть оставлены на моём ноутбуке БЕЗ ДИСКА.

Ну что, соснули, ламеры системдэшные?!

Перемещено crypt из feedback

  • torvn77
    link
    fedilink
    arrow-up
    0
    ·
    4 years ago

    Вот на таких хитрецов как ты и делают systemd который по умолчанию содержит всё что счёл нужным тот кто нужно.

    А вообще смысл во всяяких бекдорах в системд если сам EFI запускает ОС как гостя своего супервизора?

  • cocucka
    link
    fedilink
    arrow-up
    0
    ·
    4 years ago

    ЯННП, вроде же всегда было, что если у кого-то есть физический доступ к машине, то всё – абзда безопасности. Панацея это TPM и верификация подписей всей цепочки загрузки + полное шифрование дисков.

    • crypt
      link
      fedilink
      arrow-up
      0
      ·
      4 years ago

      надо переименовать ссылки в меню.

      спуф, еще раз. такие темы создаются в Тех.

      • SpoofingOP
        link
        fedilink
        arrow-up
        0
        ·
        4 years ago

        в этой теме нет ничего про тех.

        тех – это когда у тебя есть конкретные задачи и/или их решения.

        здесь сплошная вода, просто флейм на тему тех.

        поэтому толксы.

        • crypt
          link
          fedilink
          arrow-up
          0
          ·
          4 years ago

          нет, спуф. токсы сейчас - это только темы Наше сообщество.

            • crypt
              link
              fedilink
              arrow-up
              0
              ·
              4 years ago

              там над списком топиков надпись “Наше сообщество”.

                • SpoofingOP
                  link
                  fedilink
                  arrow-up
                  0
                  ·
                  4 years ago

                  вот поэтому у меня (как и любого другого выходца с ЛОР) и происходит путаница.

                  Talks – это НЕ технические разговоры НА технические темы.

                  если это уже не Talks, то назовите по-другому и путаницы не будет ниукого.

                  • crypt
                    link
                    fedilink
                    arrow-up
                    0
                    ·
                    4 years ago

                    ладно-ладно, ща поправлю… я же все думаю, что вы такие же умные, как и я …

                • crypt
                  link
                  fedilink
                  arrow-up
                  0
                  ·
                  4 years ago

                  потому что кому-то надо с сорскодом разбираться. ты как-то сам говорил, что не шаришь.

  • sorrow
    link
    fedilink
    arrow-up
    0
    ·
    4 years ago

    Как обновлять твою ОС в tmpfs?

        • SpoofingOP
          link
          fedilink
          arrow-up
          0
          ·
          4 years ago

          Ты обновляешь ОС на накопителе, с которого та загружается. С флешки. Пересобираешь образ с исправлениями и обновлениями. Записываешь на флешку.

          (Опционально) тестируешь флешку в виртуалке чтобы всё загружалось и работало.

          Нажимаешь кнопку Reset.

          Поздравляю, вы великолепны!

          • sorrow
            link
            fedilink
            arrow-up
            0
            ·
            4 years ago

            Пересобираешь образ с исправлениями и обновлениями.

            Это понятно. Как именно это делать?

            • SpoofingOP
              link
              fedilink
              arrow-up
              0
              ·
              4 years ago

              Загляни в мой блог https://linuxtalks.co/blogs/personal/45970

              Там я расписал как сделать загрузочную флешку с Debian, чтобы официальный ISO Debian, не трогая его вообще, загружать в RAM. Со своими параметрами.

              Ну и вот, берёшь этот Debian, любой, хоть в редакции KDE/Gnome/MATE/XFCE, хоть standart+nonfree (консольная редакция).

              Загружаешься в Debian с флешки. Получаешь систему целиком в RAM. Официальный Debian. Я повторяю это так часто, чтобы вы понимали, что это не моя личная васянская сборка.

              Вы аналогичным образом можете взять за основу любой другой дистрибутив который вам лично нравится.

              Ну и вот, после загрузки, получаете систему в RAM.

              Что осталось сделать? Настроить до готовности к работе.

              К сожалению на этом этапе я не нашёл необходимой опции у Debian, то есть, нам нужно, чтобы после загрузки Debian выполнил условный rc.local с внешнего устройства – с этой же флешки, откуда он только что загрузился в RAM. Он этого пока(?) не умеет.

              Поэтому я предлагаю просто на флешку самому положить скрипт, который набором команд производит всю необходимую донастройку дистрибутива.

              И так, загружаемся в Debian standart+nonfree с опциями toram user=sorrow и другими.

              Затем с той же флешки уже ручками (придётся так) запускаем скриптик с содержимым

              # apt update
              # apt install xorg fvwm firefox-esr
              # startx
              

              Всё готово, система в “один клик” загрузилась и работает в RAM. С флешки.

              Хочешь, можешь всё сломать, нажать Reset и вернуться к исходному состоянию.

              Понимаешь, как это здорово!?

              • sorrow
                link
                fedilink
                arrow-up
                0
                ·
                4 years ago

                нет, не понимаю. внесу я допустим какие то изменения в эту лайв систему. как их сохранить?

                • SpoofingOP
                  link
                  fedilink
                  arrow-up
                  0
                  ·
                  4 years ago

                  Вы не вносите изменения в систему.

                  Вы описываете эти изменения.

                  Вы описываете изменения в скрипте, после чего выполняете его и он вносит изменения в систему.

                  Так правильнее с точки зрения воспроизведения системы.

                  Забудьте старый подход, когда вы настраиваете систему прямо “в лоб”, а потом забываете что куда положили, что и как настраивали.

                  Вы описываете систему, всю инфраструктуру как код.

                  Вы сам себе девопс.

                  Подход, когда вы брали и настраивали систему напрямую – устаревший.

                  Поэтому не надо так делать.

                  Сохранение изменений – это костыль.

                  А данные храните в облаке мэйл руWW (шутка).

                  • sorrow
                    link
                    fedilink
                    arrow-up
                    0
                    ·
                    4 years ago

                    Поэтому не надо так делать.

                    Пошёл нахуй. Сам решу, что мне надо а что нет.

                  • TheAnonymous
                    link
                    fedilink
                    arrow-up
                    0
                    ·
                    4 years ago

                    «Вы не вносите изменения в систему. Вы описываете эти изменения.» NixOS?

                • SpoofingOP
                  link
                  fedilink
                  arrow-up
                  0
                  ·
                  4 years ago

                  Debian умеет это делать.

                  https://manpages.debian.org/testing/live-boot-doc/live-boot.7.en.html

                  persistence
                      live-boot will probe devices for persistence media. These can be partitions (with the correct GPT name), filesystems (with the correct label) or image files (with the correct file name). Overlays are labeled/named "persistence" (see persistence.conf(5)). Overlay image files are named "persistence".
                  
                • SpoofingOP
                  link
                  fedilink
                  arrow-up
                  0
                  ·
                  4 years ago

                  Создаёте на флешке файл /boot/persistence, форматируете в ext4 его.

                  В persistence.conf там же записываете строчку / union.

                  Всё готово, вы великолепны.

  • Minona
    link
    fedilink
    arrow-up
    0
    ·
    4 years ago

    @sorrow и @Spoofing нашли друг друга.

    • crypt
      link
      fedilink
      arrow-up
      0
      ·
      4 years ago

      разговор двух взрослых людей, че))

      • sorrow
        link
        fedilink
        arrow-up
        0
        ·
        4 years ago

        Я всегда говорил: не говорите мне, что делать и я не скажу, куда вам идти.

        • crypt
          link
          fedilink
          arrow-up
          0
          ·
          4 years ago

          это еще ниче) я как-то свой xorg.conf выложил и мне EXL сделал замечание, что мол нужно че-то там ломать таким, которые в xorg.conf индикацию раскладок на капс-лок вешают… ну я его и пригласил повторить это у меня дома, потому что он забыл, а мы-то в одном городе=) как-то я так удачно это выразил, что ни одного комментария в том треде от него больше не было)))

        • Александр
          link
          fedilink
          arrow-up
          0
          ·
          4 years ago

          Да тише ты, свинья. Спуф тебя не обижал, это ты тут начал визжать кому куда идти.

      • l-xoid
        link
        fedilink
        arrow-up
        0
        ·
        4 years ago

        Спуф нормальный чел, sorrow неадекват

        • crypt
          link
          fedilink
          arrow-up
          0
          ·
          4 years ago

          спуф к тебе с политикой просто не лезет. а проблемы социализации абсолютно одинаковые. я на стороне @sorrow потому что он еще хотя бы думает, как не стать спуфом, а у спуфа воли никакой.

          • l-xoid
            link
            fedilink
            arrow-up
            0
            ·
            4 years ago

            Лолшто

            Спуф на фоне сорроу просто титан воли и ума

            • crypt
              link
              fedilink
              arrow-up
              0
              ·
              4 years ago

              диссертацию защитил или бабу нашел? если тебе внизу там какая-то разница и видна, то мне нет.

                  • crypt
                    link
                    fedilink
                    arrow-up
                    0
                    ·
                    4 years ago

                    и еще одну фоточку себе в удовольствие. oh god, как же я люблю чб фото!