我希望在自己的家用台式机上全新安装Debian系统。需要澄清的是,我要从Windows切换到Windows,并希望将其用作日常家用操作系统-我不会运行任何服务器或类似的服务器。

我也有理由相信我的某些家庭成员(可以物理访问我的机器)会尝试访问它,并查看我的数据,甚至可能安装键盘记录器。

为此目的问题,请忽略社会方面,除非我不能公开对抗。不能锁定我的房间,以防止任何人访问我的电脑。即使他们可能缺乏足够的经验,他们也知道如何绕过Linux,并且如果可以通过谷歌搜索找到某些东西,并且可能花一两个小时弄乱它,那么很有可能会尝试使用它。话虽这么说,但我可以肯定的是,购买专业设备不会让他们烦恼,这意味着我不必担心大多数硬件攻击,例如键盘键盘记录程序或我的主板上的错误/ RAM嗅探器/诸如此类。

另一件事是我拥有一个Windows 7系统,并且他们具有管理员访问权限(因此可以认为它受到了损害)。这是我切换到Linux的原因之一;但是,我想保留双启动系统,而不是直接删除Windows。我知道这将使攻击者彻底破坏我的Linux分区,这是我愿意承担的风险。

我不关心保护Windows系统的安全。我知道它受到了损害,并且并不在乎它发生了什么。如前所述,其他人在我的Windows系统上都有帐户,有时会使用它(出于正当理由!)。我当然希望保护我的Linux安装的安全,但是阻止Windows访问是没有意义的,除非它有助于提高我的计算机的Linux部分的安全性。实际上,如果可能的话,我宁愿避免限制对Windows的访问,因为我不想显得偏执或在家庭中造成冲突。

全磁盘加密将阻止任何人实际访问我的数据从我的Linux安装程序本身之外进行安装,这将同时照顾Windows系统,甚至使从USB驱动器启动几乎毫无用处(我非常确定,相关人员没有资源或动机来解密可疑的设备,加密的驱动器)。当然,我还需要用密码保护单用户模式。

还需要做什么其他事情来保护我的系统?我在命令行中很方便,并且愿意动手,但是我在Linux方面的经验有限,并且对计算机安全性的了解很少。 Debian的选择在很大程度上是任意的,如果对我来说更好的话,我可以尝试其他发行版。如果我错过了任何事情,或者您对我提到的事情有技巧(例如磁盘加密的最佳做法?),那么我将很高兴听到它们。

我不认为这个问题是重复的,因为我在此站点上保护Linux时发现的所有其他问题都与远程攻击者以及病毒和漏洞的防御有关。他们当然有很好的答案,但这不是我在这里寻找的信息。当我的帖子被标记为重复时,另一个问题引起了我的注意。但是,有人问,当其他人可以物理访问其机器时,他们的机器是否安全;答案通常归结为“物理访问=游戏结束”,并提供了一些技巧来减轻各种攻击(包括显示器上的后视镜等)。这些技巧中的许多技巧在这里都不适用,因为我知道不受限制的物理访问意味着从理论上讲该机器不再是我的机器,因此我在威胁模型中为攻击者提供了一些限制,适合我的个人情况。 >

评论

为什么不断开硬盘,从USB引导到Linux live环境,然后将任何内容存储在加密的外部HDD全盘上呢?使用TrueCrypt,这样您就可以使用2个密码(虚拟和真实)。

从安全Debian手册开始。

“谁可以物理访问我的机器”在IT中有句老话,物理访问等于结束游戏。祝您好运,但您可能正在浪费时间。

当您如此不信任室友时,最好的安全措施是停止与他们在一起居住。简而言之,搬家。

必须承认,我的第一个念头是“累了您的父母来到地下室,查看您的浏览器历史记录,对吧?”

#1 楼



为root用户使用强而困难的密码。其次,请始终从没有管理权限(也是强密码)的其他用户登录并工作。


启用BIOS密码选项。每次打开计算机电源时,BIOS都会在启动前要求您输入密码。它还会阻止每个人对BIOS设置进行更改。


加密硬盘驱动器的每个分区(请检查cryptsetup for Debian-如果它也不能加密Windows分区,请使用TrueCrypt(对于Windows,是Windows操作系统)


注意您以前从未使用过的PC上连接的外部硬件设备(例如USB记忆棒或集线器)。可能有人插入了键盘记录器或其他东西。


出门时总是锁定或关闭机器电源。


软件加固:
安装gufw(预先安装的iptables防火墙的GUI)并阻止传入流量。还安装rkhunter并不时检查系统中是否存在已知的rootkit和其他威胁。


我现在能想到的就是这些。如果您有任何疑问,请在下面发表评论。

评论


不要忘记grub密码。并完全锁定根帐户。

–蓝色
16 Jun 15'11:46



“启用BIOS密码选项”-这不会提供太多安全性。旧版BIOS通常具有服务密码(例如,对于某些奖励BIOS,则为AWARD_SW),某些UEFI也具有密码。进入BIOS / UEFI设置程序可让您从几乎任何设备引导任何操作系统。因此,您必须使用HDD加密,因为否则攻击者可以启动一些实时Linux发行版,装入磁盘,从而可以保护您的隐私。

–雅各布
16 Jun 15'11:49



在Windows上使用TrueCrypt无法解决任何问题。如果有的话,这会像他在Windows游戏中一样造成问题(这会降低计算机的速度)。

– k1308517
16年6月15日在12:19

至于BIOS密码,如果攻击者具有物理访问权限,则他们很可能只需拔下PC的电源,卸下CMOS电池,重新打开电源开关,等待几秒钟,再插上电源即可。

– arul
16年6月16日在0:39

BIOS密码很有用,但不是用于防止入侵,而是用于入侵检测。对于攻击者重置BIOS并不容易,但是下次尝试登录时,您会注意到密码提示已消失或旧密码不再起作用。所有假设您的特定BIOS没有后门,如@Ushuru所说。

–Agent_L
16年6月16日在14:52

#2 楼

我不想成为这个家伙,但是


第3部法律:


如果一个坏人可以不受限制地物理访问您的计算机,那不是您


您正在问如何最好地锁定胶合板门。人们给您关于锁的很好的建议,但是它们都不重要,因为您的系统在物理上很脆弱,攻击者也能胜任。他们只会使用一把斧头(或者,如果是螺丝刀的话)。

评论


就像我在OP中提到的那样,无需考虑这些类型的攻击。它们极不可能发生,无论如何要防御它们,我不仅要戴锡箔帽子,还要戴锡箔紧身衣,那时我同意,搬进自己的公寓可能会更容易,获得一台全新的PC。我目前不准备这样做。

–鲍里斯(Boris)
16年6月15日在21:24

这个答案错误地暗示,任何少于总安全性的安全性都是无用的。实际上,锁定胶合板门有时会很有用。

– dan1111
16年6月16日在6:54

尤其是,锁上胶合板门不会阻止攻击,但会引起攻击。尽管物理访问允许攻击者绕过全盘加密来格式化您的硬盘,但这也非常明显。考虑到有关从Windows取消Linux分区的言论,这里的威胁不是攻击,而是未被发现的攻击。

– MSalters
16年6月16日在9:06

一旦我问我的父亲,为什么我们在度假时要锁上自行车,小偷就可以带电剪了。他告诉我,他们“让诚实的人诚实”。上锁的门可以保持轻微的好奇心,就像其他问题带来的安全保护措施一样,可以使懒惰的用户对计算机不感兴趣。

–曼上尉
16年6月16日在16:18

@MichaelB:因为缓解很有帮助。解决方案是不完善的,安全性是一个折衷,攻击者的时间和资源有限。一个回答为“放弃,你不能这样做”的答案只是重复了一些廉价的投票建议,而没有以任何深度或细微差别真正检查这里面临的实际问题。

– Dietrich Epp
16年6月19日在16:02

#3 楼

根据您所需的性能和您愿意花费的金钱,考虑到您的“独特”性能,可移动的“ Live USB”或完全可引导的USB“硬盘”上的普通系统(小的ssd会很好用)可能是理想的解决方案需要针对本地攻击者的高度安全性的约束。这样,您就可以将受到感染的Windows系统留在原处,并在可随身携带的设备上创建Linux系统。对于最低的成本,您可以使用非常便宜的拇指驱动器。在快速的拇指驱动器或功能更强大的USB SSD上花更多的钱,您可以为大多数应用程序获得合理的性能。如果您与它分开,则加密是一个好主意,但是鉴于它始终存在并且它构成了整个操作系统,因此可以免受本地攻击。

评论


这对我来说似乎是最好的方法。他们无法篡改不存在的内容,并且相对于当前情况,计算机本身是完全未经修改的,因此,没有迹象表明您已保护任何东西。当前的整个PC(包括受损的Windows安装)都是不错的诱饵。对于Debian安装,确保根本没有网络服务在运行将大有帮助。删除rpcbind和nfs-common软件包。如果您安装SSH,请对其进行正确保护(意味着:仅允许公共密钥身份验证)。

– marcelm
16年6月15日在17:20

硬件按键记录程序仍然不容易受到攻击吗?

– 0xFF
16年6月15日在17:27

OP @fhlamarche表示缓解措施不需要考虑硬件按键记录程序。但是,在连接外部存储设备时,可以很容易地对USB端口进行基本检查,以排除该问题(假设您不关心隐藏得很好的键盘,即完全修改过的键盘)。

–杰夫·梅登(Jeff Meden)
16年6月15日在17:54

USB 3.1 PCI-e卡(如果您的系统尚没有3.1)和USB 3.1外部SSD可以消除性能问题。

–cas
16年6月15日在21:42

如今,您可以在HDMI棒上获得一台完整的计算机,随身携带,随身携带:digitaltrends.com/computing/best-stick-pcs

–马修·洛克(Matthew Lock)
16年6月17日在3:07



#4 楼

有一些需要考虑的问题与先前给出的所有答案有所不同:您正在寻找的是隐私,而不是安全性。实施每个都不同。如果要实现安全性,则将删除其他用户的管理员访问权限,锁定每个用户的帐户,并设置保护措施以防止滥用。当然,这是以可用性为代价的。

现在要使用隐私解决方案。
由于您只是在保护自己的信息,而其他所有人都完好无损,因此有3个主要方面要解决的攻击媒介(假设您按计划迁移到Linux):


静态数据(在硬盘上)
动态数据(在网络上)
设备处于打开状态(防火墙)时的保护

静态数据:您将需要使用某种加密方式。这样可以防止没有密钥/密码的任何人查看您保存的任何数据。关于此主题,还有很多其他答案,因此,请参考它们以获得具体的实现详细信息。

有关动态数据:我建议购买VPN服务(如果您拥有VPN服务,则可以在外部进行设置)资源)。这将加密并保护进出盒子的所有流量。它不仅保护流量,而且还保护基于连接信息的流量推断。例如,SSL加密您与您要访问的站点之间的所有流量;但是,如果有人嗅探您的流量并在最初的请求中看到facebook.com,尽管他们不知道您要发送给Facebook的内容,但他们知道您正在Facebook上做某事。 VPN将在发送到Internet之前通过其服务器传输所有流量,有效地消除了这种泄漏。

为了在设备开机时提供保护:假设所有硬件攻击都没有发生(例如键盘记录器或摄像机),则机器暴露的唯一区域是以太网。如果打开的服务存在漏洞,则有可能从网络上攻击该服务并获得对计算机的控制(在您认为的谷歌搜索后的几个小时内)。为了防止这种情况,您需要设置防火墙。在Debian上,iptables应该可以。在任何传入流量上,您将希望阻止所有未建立或未建立的内容。为了进一步限制,您可以阻止所有不来自VPN的流量。这样,它几乎可以完全消除任何攻击面,并使攻击者比您的空手更专注。

以下是iptables用来设置限制的选项示例:

# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT DROP
# iptables -A INPUT -s [VPN IP] -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# iptables -A OUTPUT -d [VPN IP] -j ACCEPT


每个都在做什么:


将所有数据包都丢弃到机器中
将所有数据包都丢弃通过机器路由
丢弃从机器发送的所有数据包
允许来自VPN IP的数据包通过已存在的连接(您对VPN进行的连接)创建,以进行处理
允许从您的计算机发送到VPN的任何数据包

您还只能允许VPN使用的特定端口来进一步限制攻击媒介。
请务必注意,除通过VPN之外,无法访问Internet,因此在应用这些更改之前,请确保已设置并运行。

一旦应用了所有这些更改,该框几乎应该是不可能的在尝试使用数据时或在您不在时被试图查看您的数据的人闯入。防范社会工程学和类似的攻击要困难得多。

#5 楼

这是一个全面的解决方案,因为您说过您不必担心硬件/ USB /物理攻击。在桌面上安装Virtualbox / VMWare / Other。开始创建客人并将该客人放在可移动USB钥匙上。完成工作后,请关闭虚拟机的电源,拔下密钥,然后将其包装起来。容器,然后将客人安装在该容器中。如果有人在偷窥,这会发出危险信号:“哦,所以他现在正在藏东西……必须找到!”与随身携带操作系统有关。您可以在USB钥匙,可移动驱动器上执行此操作,也可以引导到一次性系统(Kali,可引导Linux)中,将数据保存到云中(Dropbox等),并且不必担心操作系统,因为它将被引导从DVD中取出,每次都重新安装。

关于服务。如果所有服务都没有漏洞,运行1000个服务就没有任何意义。有什么可以访问的,以及如何访问的?强大的密码始终是关键,但请想象这里的情况更糟。 Windows上的按键记录器...由于您正在通过主机输入,它将破坏您的访客安全性。最好的选择是引导至可启动发行版,利用云来保存/存储数据或可移动磁盘。

评论


这是最安全的最佳答案-但这可能很不方便。下一个答案将更方便,但安全性较低(尽管仍然非常安全)。这取决于您有多偏执...(或必须如此)。

–石真
16年6月15日在13:15

这并不能保护隐藏的远程访问特洛伊木马程序的可能性,该特洛伊木马程序会记录/中继所有活动,从而即使他一直拥有它,也放弃了机密信息。此外,如果它们甚至更具破坏性,他们可以进行键盘记录并在他坐在USB驱动器时静默复制他的USB驱动器,从而使他们以后可以不受限制地访问他的系统和数据快照。任何涉及虚拟机管理程序受损的情况都是完全无法启动的。

–杰夫·梅登(Jeff Meden)
16 Jun 15'14:54



虚拟盒子如何打败Windows 7的按键记录器或流量嗅探器?

–帕特里克·特伦丁(Patrick Trentin)
16年6月15日在15:53

我看到的最大问题是您建议我从(受感染的)Windows计算机创建来宾。 (如果您还有其他意思,那么从您当前的措辞中还不清楚。)在一种极端的情况下,我可以认为我创建的整个系统都受到了威胁;更现实的说,它至少会提醒任何观看我要隐藏某些东西的人。现在,当然,完整的Linux分区要明显得多,但可疑程度也要低得多-嘿,我喜欢OS!与创建可实时启动的USB相比,提倡调查的可能性要小得多。

–鲍里斯(Boris)
16年6月15日在17:14

仅当您在框内放置窗口以限制其对linux文件/分区的访问时,带有虚拟机的零件才有意义。还是我错过了什么?

–hkBst
16年6月16日在6:09

#6 楼

我喜欢建议您从可移动媒体运行Linux的答案。它掩盖了一个事实,那就是您正在对不太好的室友采取预防措施。从实际的角度来看,它存在一些问题。您正在牺牲驱动器的速度和空间,但是更重要的是随身携带整个操作系统很麻烦。当您在家需要时,您会忘记在学校/工作中使用的驱动器。如果将可移动OS磁盘放错位置或将其丢弃过多次,则很容易丢失所有数据。

如果您不介意在计算机上存在加密分区的情况下给房客小费,那么有一种更简单的方法可以为您提供相同数量的安全性,而不会出现问题。

如果在内部硬盘驱动器上安装Linux,则显然需要加密所有Linux分区。但是,您无法加密包含内核的引导分区,因此建议您将引导分区复制到可移动(最好是写保护)的USB驱动器,并始终从USB驱动器引导系统。因此,即使有人将(未加密的)内核,初始ram驱动器甚至引导加载程序弄乱了,以使软件密钥记录程序进入您的系统,也没关系,因为您通过从您的引导中绕过混乱的引导过程(希望)清洁USB驱动器。

您可能希望对两个引导分区(硬盘驱动器上的一个和USB记忆棒上的一个)进行哈希处理,然后立即检查分区是否更改,只是想知道是否有人实际上在试图与您惹恼。实际上,您可以自动执行此操作,在加密的根分区上使用初始化脚本来检查引导分区,并在其中一个分区更改时发出警告。这样,即使您并不总是将启动USB驱动器始终置于严密监视之下,您也可以确信自己的启动分区很好。

只需将引导加载程序,内核和初始ram磁盘保留在USB驱动器上,即可使该解决方案更加实用。另外,如果您在驱动器中装入一些无害的文件夹,您的USB记忆棒中就不会立即包含可引导的内核,尽管当然,除了最基本的检查之外,它不会通过任何检查。

这一切都假定您的对手将无法使用键盘记录器来感染计算机的BIOS,在这种情况下,所有选择都被取消了,但是如果他们知道如何做到这一点并竭尽全力,话虽如此,您仍然迷路了。

说了这么多,您确定解决您家庭中显然存在的社会问题不会更简单,更有效,尤其对您的福祉更好吗

关于如何实现此操作的一些指导(回答鲍里斯的评论):

我自己还没有进行这样的设置,所以我不能给您分步说明。但是,这里有一些提示:


首先,在具有加密根分区的硬盘驱动器上安装普通Linux发行版。如果需要多个分区,
请使用底层加密的LVM,因此您只需输入一次
密码,而不是每个分区都输入一次。您需要提供一个较小的(例如200 MB)未加密的引导分区,其中将包含
引导加载程序,内核和初始ram驱动器。 Ubuntu
和Debian标准安装程序可让您轻松完成所有操作。
确保系统启动,然后在
安装程序尚未允许您进行加密的情况下对交换分区进行加密(必须尚未尝试过任何
最近的安装程序)。互联网上有各种分步说明
,只需在Google上进行加密交换即可。
现在将引导分区放入USB记忆棒。
困难的部分是让内核从USB闪存驱动器启动(我认为它不像常规的外部USB驱动器那样启动)。可能是
最简单的方法是再次使用标准安装程序在USB记忆棒上放置同一分发版的另一个完整安装。我之前做过一些类似的事情,并且效果很好
(尽管我似乎记得我不得不经历一些麻烦-我
使用了Ubuntu发行版,但不确定是否使用标准
Ubuntu安装程序或自定义的Ubuntu live系统),当然
实际上使用闪存驱动器系统是个坏主意,因为它会不断地写入USB磁盘(主要是/var/log/消息),并且
短短几周就毁了棍子-发生在我的两个人身上。确保
可以从USB闪存驱动器引导第二个纯闪存驱动器系统。
您需要做的是更改闪存驱动器系统的根分区。
它指向闪存驱动器上的根分区,但是您希望
闪存驱动器内核使用内部
硬盘驱动器上的根分区。要更改此设置,您需要打开USB闪存驱动器上的初始RAM驱动器
,该驱动器应位于闪存驱动器的引导
分区上,并被称为
initrd.img -xxxxx,将/etc/fstab从内部硬盘驱动器的根分区复制到提取的initrd中,然后重新打包initrd。同样,网络上的各种教程还介绍了修改初始RAM驱动器映像。请注意,一种更简单的方法可能是
,将USB闪存驱动器上的initrd.img文件替换为
位于HDD引导分区上的那个文件。但是我还没有尝试过
,所以我不知道它是否行得通。
完成此操作后,您应该得到一个闪存驱动器,该驱动器会从闪存驱动器,但使用内部HD的根
分区。然后,您可以清理闪存驱动器。唯一的东西
您需要保留的是引导加载程序,内核和初始ram
驱动器(基本上,/ boot下的所有内容)。 >闪存驱动器并对其进行修补,直到获得使用内部
HD根分区的权限为止。但是,这可能要困难得多,因为已设置实时分发,因此它们使用写入RAM而不是闪存驱动器的覆盖
文件系统来延长闪存驱动器的寿命。因此,您也必须将其剔除。
另外,您还必须确保使用与内核
内核版本兼容的实时发行版,该内核版本与内部
HD的系统兼容根分区。

关于为启动分区构建哈希校验和,
假设您知道启动分区的设备名称,并且内部启动分区的名称为/dev/sda1,对于
闪存驱动器分区,构建哈希可以很简单
拾取对引导加载程序的更改。我不确定用于启动USB闪存驱动器的协议;在内部硬盘上,您还应该建立磁盘第一兆字节的指纹,因为这通常是主引导记录和grub引导加载程序的第一阶段的保存位置:

  $ sha256sum -b /dev/sda1 > hd-boot-fingerprint.sha256
  $ sha256sum -b /dev/sdb1 > usb-boot-fingerprint.sha256


一旦有了这些指纹,就可以定期重新计算
,并将计算出的新指纹与原始指纹进行比较。



评论


我实际上真的很喜欢这个答案。您是否有一些提示或资源来说明将如何进行?

–鲍里斯(Boris)
16年6月16日在15:11

我扩展了答案,请参见上文。但是,我真的对您所处的社会状况感到好奇。我知道您说过不要理会所有这些,但是您是否会透露您是否是一个少年,试图阻止父母对您进行监视?这里的一些张贴者似乎是这样假设的,尽管我坚信每个人的隐私权都不受年龄限制,但我担心通过技术解决方案来解决您的问题将使您无法解决社会问题,这可能会使您的处境更糟从长远来看,如果您实际上是在与父母而非同伴打交道。

–带外
16年6月22日在21:35

好吧,为什么不呢。是的,正如你所说的,我实际上是一个十几岁的少年,试图向父母隐瞒。现实情况是,当我在大约10台左右购买第一台PC时,我真的很不负责任,所以我的父母开始执行严格的父母控制,包括键盘记录器(实际上是在家庭监控器上销售的)。数年后,它一直延续到今天,仍然会时不时地使用。现在,我有一台显然无法使用的便携式笔记本电脑,以及一部带4G的智能手机,基本上可以让我绕过父母为阻止或监视我而做的任何事情,但是在我的主PC上,我仍然...

–鲍里斯(Boris)
16年6月22日在22:30

...有那个键盘记录器。由于我一直想迁移到Linux,所以我很好奇这是否可以用来或多或少地全面保护我的计算机免受父母的侵害。 (我还打算在大学毕业并找到一份稳定的工作后才搬出去,到那时我将年满22岁。)我几乎肯定不会费心将整个系统放在外部驱动器上;如果我的父母决定让我接受所有NSA,那么我可能真的非常需要与他们交谈。您的解决方案似乎真的很有趣,因此我可能会出于兴趣而实施它。

–鲍里斯(Boris)
16年6月22日在22:34

正如上面提到的,尽管大多数答案实际上对我没有多大用处,但显然(在撰写本文时)有129个人认为这是一个好问题,因此我基本上将其保留。顺便说一句,我正在认真考虑接受您的答案,因为它对我最有帮助,但是与当前接受的答案不同,它仅详述一种方法(虽然是一种很好的方法),因此可能不太适用于将来的访客。既然这是我的第一个问题,那么关于更改已接受答案和以相对较少的票数接受答案的礼节是什么?

–鲍里斯(Boris)
16年6月22日在22:38

#7 楼

您不能在问题条件下保护系统安全。

无论如何,对计算机的物理访问都没有安全性。除bios密码外,可以通过进入紧急模式(一种形式或另一种形式)来规避此页面上的每项对策。

BIOS密码易于重置。通常是跳线或电池卸下。

最可能的答案涉及可移动媒体。如果您在USB硬盘驱动器上运行Linux,并且始终随身携带,那么它们就没什么大不了的。但是再次通过物理访问,他们可以调整您的启动顺序并将您的启动顺序调整为平方。

您唯一的真实选择就是解决信任和访问控制的根本问题。

ps磁盘加密会有所帮助,但这不是100%的解决方案,因为它们可以访问。

评论


如今,许多(大多数?)系统都不会通过卸下CMOS电池来重置BIOS密码。例如,我的旧联想W510 ThinkPad无法以这种方式重置,并且已经过时了。

–user2338816
16年6月16日在23:28

但是,某些BIOS在几次尝试失败后都会显示一个代码,您可以使用它来呼叫供应商以使它们通过重置密钥发送。另请参阅bios-pw.org,它可以为一些供应商计算密钥。

– Kirb
16年6月17日在7:53

#8 楼

只需购买笔记本并随身携带即可。

如果您不希望其他人检查您的数据,请不要将数据留在他们附近。机器受损。黑客硬件不一定很昂贵,您真的不知道此人将走多远才能访问您的数据。避免在本机上泄漏的最佳方法是完全停止使用它。

正如许多人告诉您的那样-物理访问等同于安全领域的游戏。不要在与不想访问您的数据的人共享的计算机上存储敏感或私有数据。

评论


由于无法避免物理访问,因此删除物理访问的想法非常好,并且在问题之外进行思考。

–松脆
16年6月20日在1:51

“如果您的计算机的任何部分遭到破坏,则您的计算机上的所有事物都会受到破坏”-如果通过永久标记对英特尔内部标签进行了篡改,则并非所有内容都受到了损害。

–user253751
16年6月21日在5:19

@immibis损坏与受损不一样。如果您确实设法破解了该标签以用作键盘记录程序,那么可以,您的计算机已受到威胁!

– T. Sar
16年6月21日在10:11

#9 楼

不知道为什么还没有人提到这件事(也许我对这个网站不太了解)。设置好Linux系统,在聊天时随便向室友提起它。可以)帮助搬出。或者,将室友丢给A),严重违反法律,B),而不尊重您的隐私。闯入某人的个人计算机无异于窃取。

这对我来说是最简单的解决方案。设置陷阱。最好的辩护是一项良好的罪行。

评论


这种情况听起来像是一个孩子将计算机固定在父母的保护下,在这种情况下,将他们逮捕是不可行的。

– MSalters
16年6月16日在9:10

是什么让您认为OP是孩子?

–莫格说要恢复莫妮卡
16年6月16日在13:12

尽管OP没有提及,但社会因素确实适合这种情况,例如无法将房间的门锁上。公开行动特别提到公开对抗,我敢肯定,掩护试图逮捕他们。

–paulw1128
16年6月16日在14:08



首先,我不明白您为什么要排除键盘记录器。将一个隐藏在键盘/鼠标/个人电脑/任何其他设备中是微不足道的。其次,如果他们是父母或类似的人,那么他们是否不会看到您使用这个已锁定的其他系统,并要求采取任何措施来使用它?

–詹姆斯·瑞安(JamesRyan)
16 Jun 18'在1:14



#10 楼

我会得到两个USB记忆棒。第一个可以在具有密码保护的硬件级别上设置为只读,第二个可以是普通记忆棒或启用PIN的记忆棒(但是如果输入了错误的PIN,它们会自我毁灭几次,请注意...)。

将操作系统安装到第一个记忆棒上,并将第二个记忆棒配置为使用全盘加密。设置分区,以便任何需要写访问权限的东西都可以存储在第二根记忆棒上,例如/ home。完全配置并使用安全密码锁定后,将USB记忆棒设置为只读。只读操作系统意味着单用户模式将不会成为一种攻击形式,因为您无法在锁定状态下将任何内容写入OS记忆棒,并且如果没有解密密码就无法读取第二个记忆棒,从而保护了所有敏感数据。

#11 楼

这是我的行动计划:


通过在设置中添加BIOS密码来锁定BIOS。我不会添加启动密码以允许用户在我的监督下使用计算机。禁用从USB,CD和网络自动引导。
从USB / CD强制引导,并安装带有加密主文件夹和硬盘上加密交换的Linux。如果可能,我会尝试将系统分区保留在非常快速的USB磁盘上,但是如果您仍然需要性能,那是不可能的。如果您选择此选项,请考虑将Linux配置为在引导时将整个系统加载到RAM中。
完成!

每次我想使用计算机时,我都会将其关闭并检查是否有问题。硬件键盘记录器。然后,我将连接我的USB磁盘(假设系统已安装在USB磁盘上)并强制从USB引导以引导系统。这样可以大大降低攻击向量:


没有人可以查看我的个人文件(它们是加密的)。我的USB磁盘或BIOS已锁定,从而使访问Linux分区更加困难)

请记住,远离计算机时始终关闭计算机,以防止冷启动攻击。

也很难注意到您使用此设置隐藏了某些东西。主分区很难从Windows查看和访问。如果他们可以访问主分区,则会看到一堆看起来很随机的文件,它们的随机文件名包含随机信息。假设Linux安装在USB磁盘上,他们甚至看不到其他操作系统!

使用单独的home和systemm分区安装Linux非常简单,但我暂时不介绍它。如果需要此信息,请添加评论。

评论


关闭计算机如何防止冷启动攻击?

– RozzA
16年6月17日在7:20

冷启动攻击是用于直接从内存中恢复加密密钥的攻击。关闭计算机可以防止其他人关闭计算机并立即将其重新启动到其内存转储程序中。我认为在您关闭计算机并尝试恢复密钥之后,没有人会立即走到您的面前,因为您可能会怀疑。

– nullull
16年6月17日在11:39

#12 楼

另外,我忘了提。如果要设置BIOS密码,并且要根据要处理的麻烦而定,则可以投资购买侧面有锁的机箱。虽然这并不能完全防止入侵,但可以防止人们不希望被入侵而对其进行篡改。这样一来,他们不仅可以移除CMOS或访问主板/跳线来重置BIOS密码。

如果您不希望不在周围的房间消失时,也可以将Kensington锁在桌子上。不知道这些人将访问您的数据的长度。

#13 楼

几年前,我遇到了一个过于妄想的人:每次计算机启动时,主密码的字母都会更改。尝试交换它。 (您可以通过这种方式将其很好地存储在计算机旁边的情况下。)

评论


尽管如此,仅需有人用自定义的启动软件或硬件来修改计算机,这些软件会窃取可移动/ boot的内容,以供以后向用户显示伪造的密码输入屏幕以窃取其密码。如果硬件不安全,那就没有希望了。劫持引导程序会说类似“从USB引导”,但实际上不是BIOS打印该消息。

– Alex Cannon
18年4月19日在16:23

@AlexCann​​on:替换系统BIOS的内容以便能够执行此操作几乎超出了所有人的范围。大多数主要的计算机制造商现在都使用签名的BIOS。穆哈哈哈

–约书亚
18年4月19日在16:56

您所需要做的就是解锁CMOS密码,然后将其配置为从隐藏的USB驱动器等启动。然后,它会窃取真实启动驱动器的一小部分副本,然后进行链式加载。这只会造成用户可能不会注意到的小延迟。

– Alex Cannon
18年4月20日在15:06

@AlexCann​​on:您的意思是每次都不使用F12-> choose boot media吗?

–约书亚
18年4月20日在15:08

#14 楼

我过去在一家过去的管理员没有留下很多笔记的公司里做过一些管理员工作。但是有些硬件是至关重要的,已连接到网络并且不值得信任。从那次经历中,我可以告诉你一句古老的说法是正确的:如果您有身体接触并且有决心,那么比赛结束只是时间投入的问题。您可能会在不注意的情况下更难破坏数据,但这只是为攻击者花费更多的时间。确定的攻击者可以安装微型摄像机来获取您的密码。或者,取决于键盘,便宜的麦克风录制您的按键可能就足够了。在您输入超级机密密码时,您的手机上发生了无辜呼叫。您的情况:


如其他答案中所述,请随身携带系统,例如。在USB记忆棒上。对其进行加密,然后将其戴在脖子上或在睡觉时将其锁定。
对Linux分区进行加密,但是每次使用脚本更改密码。使用单独的设备(您的电话?)重新生成该密码。它可以是同步的,也可以捕获您的PC生成的一些图像,并使用该图像来同步并重新生成密码。这就是某些银行保护其在线银行业务的方式。使用与基于USB的系统相同的严格性来保护第二台设备。
将数据存储在远程服务器上,您可以在其中查看文件的访问时间和位置。密切监控访问(从一个独立的安全位置)。这不会给您保护,但是会给您证明。仅从Live DVD访问数据。再说一遍:保护Live DVD就像可写一样。仅在纸上工作并在使用后烧毁该纸。确保它完全燃烧,并且不会像电影中那样在下面的表上留下凹痕。但是请不要吸毒,不要让自己被绑架,并确保没有人将任何东西滑入您的饮料中。 >也不要忘记保护您的备份,USB记忆棒以及您插入PC的其他任何物品。特别是在选择选项6时。

评论


我还认为,他应该将实际的计算和数据移至云中。通过LiveDVD进行访问,并实现Yubi键或等效键。

– Paulb
16年6月18日在12:53

#15 楼

其他人有一些好主意。我没有读下来确定是否已经提到过,所以我很抱歉。我知道您提到您无法物理锁定房间的门,但是如何单独使用外部硬盘驱动器,对其进行加密并将其锁定在其他地方,密码箱或保险箱中呢?然后隐藏密钥或确保密钥始终在您的个人身上。

您甚至可以将一个装有外部加密硬盘驱动器的小型密码箱放到汽车的手套箱中。然后锁上你的车。然后这最多是4个障碍(解密数据,密码箱的钥匙,手套箱的钥匙,汽车的钥匙),这些骇客必须经历才能访问您的数据(取决于您是否有与门相同的密码到你的车上)。

正如其他人提到的那样,完全使用实时CD工作是一个好主意。

评论


我认为固态硬盘比物理旋转高清硬盘更好地经受住了振动的困扰。至于整天都停在阳光下的热量,可能对两者都不利。

– Xen2050
16年6月16日在9:48

@ Xen2050在低频下,非操作HDD通常额定为几百G,因此这并不是什么大问题。 (如果您感到好奇,请检查数据表中的特定数据表。)操作时的震动通常要少得多。至于温度,我同意。

–用户
16年6月16日在20:26



#16 楼

我看到很多人提到物理访问已成为游戏的终结。 https://www.qubes-os.org/

Qubes本质上是运行Fedora VM的Xen(您可以拥有其他VM,包括Debian和Windows)。一个程序,该程序使用TPM(硬件安全模块)对机密进行加密,然后在启动时将其解密并提供给您。用于此加密的密钥来自ROM,引导加载程序等的哈希。如果此列表中的内容发生更改,则哈希会更改,并且您的机密无法解密。这样一来,您的计算机就可以在启动时对您进行识别,并告诉您“自从您加密了机密以来,我一直没有变过”。在USB键盘记录器中,当您愉快地绑定dom0并最终转发到活动的VM时,键盘记录最终将记录不活动的VM。 USB VM永远不会处于活动状态,因为它的作用是坐在那里并控制USB控制器。如果需要USB端口,则可以将其临时转发到另一个VM。

由于Qubes分区将被加密,因此您无需担心Windows用户转储该分区。尝试修改引导加载程序以记录磁盘密码将导致antievilmaid无法向您提供您的秘密,因为引导加载程序将散列到其他密钥。

评论


我刚买了一个键盘记录器,并把它放在键盘和计算机之间,这恰好是您碰巧没碰到的一天(假设您排在第一位)。尽管Qubes采取了安全措施,但不到50美元,我就拥有了您所有的帐户和解密密码。

– Qwerty01
16年6月16日在1:38

我并不是说这是一个错误的答案,但是物理访问肯定已经结束了。

– Qwerty01
16年6月16日在1:38

嗯,是的。我想台式机也要容易得多。但是这个问题确实说物理访问是一个硬性前提,所以...

–user36303
16年6月16日在7:10

@ Qwerty01:您想尝试将其插入我的笔记本电脑键盘吗?

–约书亚
17-10-28在2:11

#17 楼

除了别人所说的(Live CD,全盘加密等)之外,以下是一些预防措施。

(1)在受信任的计算机上下载Linux发行版。不要在Windows系统上执行此操作,因为ISO映像可能会被秘密替换/感染/修改。不要只相信校验和(校验和实用程序也可能是伪造的)。

(2)在Live CD / DVD / USB记忆棒上签名。我的意思是在上面贴上物理签名,以便您可以检查是否有数据存储设备。用伪造的操作系统准备Live CD / DVD并不难。最好使用一次写入多次读取的CD / DVD。

(3)请勿在物理键盘上打字。如果您知道一些编程知识,则可以编写自己的屏幕键盘。不要使用qwerty布局。而是创建一个只有您自己知道的自定义布局。不要在按键上绘制字符。只要键盘上没有显示任何字符,您的家庭成员就无法用隐藏的摄像机记录您键入的内容。请记住,仅当您在密码字段中键入密码(该字符中的字符被其他符号(例如点)替换)时,才使用该自定义键盘,以免显示您的布局。密钥混淆器在后台调度随机密钥事件。如果存在键盘记录器,则他们将收到所有随机的键盘击键,这意味着要恢复您的凭据要困难得多。

#18 楼

另一个想法:

您可以购买便宜的单板计算机(例如Raspberry Pi)。如果您仅浏览互联网和看电影等,Pi 3的速度足以取代台式机,价格约为40美元。

它由USB手机充电器电缆(或另一台计算机的USB端口)供电,并支持HDMI输出。它足够小,您可以将其隐藏在袜子中:-)或随身携带在夹克口袋中。对于硬件按键记录程序来说,这甚至可能是安全的,因为您可以立即看到任何操作,因为它只是一块板。它是从微型SD卡启动的,它很小,因此您几乎可以将其隐藏在任何地方(或放在旧的智能手机或相机中)。您可以轻松修改SD卡上的初始ram磁盘,以便系统使用另一个根分区-例如一个在外部USB驱动器上(这是您应该认真考虑的问题,因为SD卡并非用于在其上运行写密集型操作系统)。另外,如果您不想或无法隐藏Pi,可以很容易地解释它的存在-以及您突然使用Linux的事实-说您想修补Pi-购买一些额外的便宜连接器电缆,面包板和Led只需十几美元,然后看看您可以使用Pi进行的一些很酷的简单项目,这些项目会使Led眨眼。然后,您可以使用两个sdcard进行引导。您想要隐私时使用的秘密对象,以及用作诱饵的公共对象,它只包含标准的树莓派图像和一些闪烁的led项目。

该解决方案甚至都不会影响您的桌面系统,可让您更好地控制硬件(唯一剩下的硬件危险就是键盘),并且几乎不受任何现成的软件恶意软件的影响(因为这是一种罕见的硬件平台)。另外,它很容易解释,因为很多人喜欢修补Pi,因此,如果您甚至对这样的事情感兴趣,那么这就是您为何突然对拥有第二个感兴趣的原因的完美解释。仅运行Linux的计算机。

评论


“剩下的唯一的硬件危险就是键盘”,您可以将其卷起来,或者至少要使用非常纤薄的便携式键盘,并将其和Raspberry Pi装在手提袋中。

– pilkch
17年2月27日在1:57

#19 楼

从理论上讲,虽然无法通过物理访问来阻止攻击,但是您可以做很多事情来将物理访问限制在重要的范围内,从而限制攻击向量。定制的Linux引导CD以及用于存储的加密USB记忆棒。许多发行版使得制作自定义CD变得相当容易,包括Arch和Gentoo。也可以选择以安全为中心的发行版,例如Kali或Ubuntu Privacy Remix。如果您不与资源有限的攻击者打交道,即使是普通的启动CD,例如Knppoix,在很多情况下也可能足够。驱动程序可以正常工作,从而使您可以防止将驱动程序加载到可能受到威胁的硬件中。虽然仍然存在风险,但是例如入侵BIOS所涉及的困难要远远大于绝大多数随便攻击者所能承受的困难。 。使用有线键盘,切勿使用无线键盘;更好的是,使用一种可以通过拔出插头来防止访问的设备,例如便携式平板电脑键盘。在启动之前,请确保未安装任何外设,并且系统的内部未被篡改。任何USB或FireWire设备,PCI卡以及您不确定的任何硬件实际上都是潜在的攻击媒介。

注意网络和Internet。您应该假设自己遭受了ARP中毒,并采取了诸如阻止所有非加密流量之类的措施。是。如果您想与一个通过Google搜索“键盘记录程序”的老婆保持亲密关系,那么您所需要采取的措施与您的室友为中文计算机智能工作时就大不相同了。

当然,启动CD +平板电脑键盘+ USB记忆棒方法的一个好处是,根据具体情况,攻击者甚至可能不会注意到这已经完成。您可以轻松地保持偶尔使用的虚拟安装,以保持外观。

#20 楼

为您的硬盘驱动器使用热交换笼,并在不使用时卸下硬盘驱动器。随身带走或放在安全的地方。

这种驱动器可以连接到通常的SATA连接。与USB不同,您不会失去速度,它可以是任何容量。操作系统可以从该驱动器启动没有问题-当您将驱动器拿走时,它们确实无法从您的计算机中获取任何东西。

#21 楼

我的主要PC由无密码的台式PC组成,家里任何人都可以使用。从这台计算机,我连接到在Azure上运行的Windows 10计算机。我没有安装键盘记录器等的任何问题(我不认为!),但是家庭用户可以免费使用许多2因子身份验证选项,这会使该机器的密码在没有您使用的设备的情况下无法使用登录。

使用清理脚本删除MSTSC保存的设置和VPN,就不可能知道您正在连接到VM。

这里的其他建议解决了键盘记录问题,从实时CD等引导将保持底层操作系统的清洁。

这里显然存在成本问题,但是您可以使用AWS竞价型实例,并且仅在希望做自己想保密的事情时才启动它,这使它成为合理的名义成本。

这是一种替代方法,也许不能完全满足您的需求,但它可以提供一种很好的隐私解决方案(除非您想使事物不受政府和大型公司的约束) )

#22 楼

其他答案中似乎没有提到的是HDD密码。

如果在驱动器上设置了HDD密码,它将拒绝与计算机对话,直到您将密码输入给计算机为止。密码。 BIOS在引导时提示输入密码。您还必须在BIOS设置程序中设置密码。

优点是,在计算机关闭电源后,将很难读取或更改驱动器上的数据,因为驱动器的控制器已成功运行。没用。

它不能代替加密(因为某些公司仍然可以直接读取磁盘),但是如果没有足够的动力(和愿意付费)。

请注意,如果您丢失了HDD密码,您的驱​​动器肯定会停止工作,肯定可以(某些制造商拥有“主密钥”,有些可以在Internet上找到,但是可以最后,要知道有些驱动器(例如Samsung的SSD 850 Evo)使用HDD密码对它们上的数据进行加密,从而提供了真正的安全性。

评论


仅在您关闭计算机后才能运行。如果OP正在使用全盘加密(如他所说),我不确定这会增加任何其他安全性。

– schroeder♦
16年12月13日在18:03

至少可以使邪恶女仆的攻击更加困难:加密提供机密性,HDD密码提供完整性。我认为这可能会有所帮助。

–嘿
16年12月14日在20:48

问题在于,越来越多的工具可用于解锁某些品牌的ATA锁定硬盘。

– Alex Cannon
18-4-19的3:12



#23 楼

在软件方面,大多数答案都过于复杂了。

如果您设置CMOS密码以防止BIOS更改并锁定引导驱动器,请锁定引导加载程序,设置登录密码,对所有通常被遗忘的登录屏幕绕过黑客进行一些研究,但您不会别忘了在您走开时锁定您的会话,那么实际上无论是GNU / Linux还是Windows,任何人都无法进入。

我知道您说过,您对保护需要自定义硬件或高度高级攻击的攻击没有兴趣,但是如果您这样做,则您希望禁用任何Firewire端口,因为那些端口可以进行DMA访问,可能会禁用USB即插即用功能,只是为了防止利用USB驱动程序的错误。

因此,如果他们想访问您的计算机,他们将直接进入硬件。因此,将其设置为全盘加密。然后,您可能希望拥有一个可锁定的机箱,并配置机箱入侵者开关以擦除内存中的加密密钥并擦除其余RAM。

如果您认为他们可能会选择机箱锁或修改键盘, ,然后在键盘和计算机机箱上贴上一些带有您的签名的好标签,以防损坏键盘和计算机机箱,如果您打开键盘或计算机机箱,它们会撕裂。确保它们良好,以免用吹风机加热不会损坏它们。您还可以使用诸如封蜡和自定义印章之类的东西。在蜡上贴上蜡会显示蜡是否已被加热。您必须养成每次打开计算机时都要检查防篡改功能完整性的习惯。否则,他们可能会在其中放置某种廉价的DMA硬件或一些外部PCIe附件,从而使某人可以从内存中检索您的磁盘加密密码。或者他们可以清除CMOS密码并重新配置BIOS,以启动全盘加密密码窃取工具,然后等待您输入密码。

确保屏幕保护程序解锁密码与全盘加密密码不同。否则,如果他们对加密的硬盘驱动器进行映像,则可以通过向您显示伪造的解锁屏幕来从您那里获取密码。当您输入密码并发现解锁屏幕是假的时,它可能已经通过网络将密码发送给了他们。

请确保他们没有通过监视键盘来监视您的键盘隐藏的相机对准它。

验证您下载的所有内容,以防它们对本地网络进行了某些操作,从而将恶意软件添加到下载的文件中。