• #106171 PROHARDVER!

  Új Válasz 2025-08-29 16:38:34 #106171

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  PROHARDVER!

  (rögzített hozzászólás)

  Legyetek szívesek az offtopik témákat ne ebben a topikban tárgyaljátok ki. A topikgazda is jelezte, most törölni kellett jópár hozzászólást, most már maradjatok a (szakmai) topik keretei között.

Új hozzászólás Aktív témák

• #106148 Dißnäëß nagyúr Normi™ #106144

  Új Válasz 2025-08-29 12:29:59 #106148

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Dißnäëß

  nagyúr

  válasz Normi™ #106144 üzenetére

  Szóval több dolog, eredeti kérdésedre válaszolva (kicsit vissza a gyökerekhez):

  1. UEFI-ben jelszó az SSD-nek, a büdös életbe fel nem nyomják. Hegyekben állnak az elfelejtett jelszavas SSD-k a világ legkülönbözőbb elektronikaihulladék temetőiben és szervizeiben, mind kifogástalanul működik, csak elfelejtették a jelszavukat - kuka.

  2. Laptopon (de akár desktopon is) egyébként SSD-n ha UEFI-ből aktiválod annak a saját titkosítását, az a legjobb, mert trim-el is kompatibilis marad minden műveleted, míg LUKS esetén a TRIM parancsok használata default off (biztonsági leak miatt), így kicsit jobban nyúzódik az SSD (a maiaknál már nem aggódnék emiatt sem amúgy), hisz a szabad helyed alatt is titkosított random adat van, amiről NEM TUDJA az SSD kontroller, hogy az szabad hely és játszhat vele, ergo olyan, mintha nem lenne szabad helyed egyáltalán, hogy wear leveling-ezhessen, míg ha luks titkosított diszket discard opcióval használunk, átengedi a fölötte lévő tényleges fájlrendszeren lévő üres helyeket (trim) az alatta lévő luks réteg a kontroller fele, hogy az tudja, az ott üres hely és használhatja wear leveling-re.

  Ennek annyi biztonsági kockázata van, hogy az adataid továbbra sem látszanak, annak mintázata viszont igen, hogy mely helyeken van tényleges adat egy háttértáron és mely helyeken nincs. Ezzel az infóval önmagában sokra nem lehet menni, de van, aki erre is háklis (egyfajta metaadat) és inkább discard nélkül brutálba titkosítja a teljes SSD-t. Hát ez olyan, mintha teleírnád csurig, nulla provisioning, ergo LUKS esetén (discard nélkül) jó, ha az SSD 20%-át szabadon hagyod és csak mondjuk a 80%-át foglalod be partíciókkal és titkosítod azokat be, így a kontrollernek marad némi mozgástere TÉNYLEGES üres helyet érzékelni és arra át-mappelni blokkokat (titkosítástul mindenestül), ergo valamiféle belső wear-levelinget tud csinálni TRIM hiányában is, míg Te boldogan használod a luks réteg felett a helyet amire akarod és idegen gépbe betéve a megfelelő program/jelszó ismerete nélkül semmit nem fognak tudni felnyitni belőle földi halandók. (Ez nem olyan, mint a filmekben, hogy nekiesünk, miközben pisztoly a fejünknek nyomva és 40 mp alatt Tomkrúz feltörte).

  3. A Mint default install-al ha a titkosítást pipálod, lesz kívülről látva egy EFI partíciód, egy /boot-nak használt ext4-ed (nyitva, olvashatóan) és egy hatalmas nagy titkosított partíciód, amiről látni fogja minden Linux, hogy LUKS titkosított, mert a fejléccel kezdődik. Ergo, bármilyen másik gépbe betéve duplakatt rá fájlkezelőben és felnyitja Neked a jelszó ismeretében. Mivel a teljes rendszered titkosítva ezáltal, mint partició, a /home-ot már felesleges még extrán is titkosítani, csak bonyolítod..

  Szóval még mindig maradnék a jó öreg bevált uefi jelszónál, az bekapcsolja az SSD-d saját titkosítását (ami azelőtt is ment, csak jelszó nélkül átengedett Téged ezen a rétegen, mintha nem lenne titkosítva). Ugyanez SED típusú, jellemzően enterprise HDD-k esetén is amúgy.. már jó régóta a szerver világban. Trim használva lesz UEFI-s jelszó esetén és a wear leveling, minden egyéb gyönyörűen teszi a dolgát.

  Ha öreg SSD, LUKS-oznék discard-al. Ha viszonylag újabb, azon erősebb algo lehet, simán UEFI módszer, kényelem, öröm, bódottág.

  btrfs: én fázom tőle (és erről vitába se megyek senkivel, ez csak saját véleményem, de nem vagyok egyedül), engem a zfs elvitt. De az meg csak NAS-ra, úgyhogy desktop-on, laptopon ext4-eznék, atime=off paraméterrel, az picit könnyít a dolgokon.

  Fun fact: akkor is érdemes titkosítani, főleg sokterás HDD-t, ha nincs kitől és mit féltened, vagy nincs annyira érzékeny adat rajta, mint mondjuk egy faukettes műszaki leírása. Ugyanis ha eladod a meghajtót, elég csak törölnöd a titkosítást róla, vagy beleformázni az elejébe pár száz megányit egy DD-vel és viszlát, lecsatolod, zacsi, mehet eladásra.

  Nagyvállalatoknál is régen voltak ezek a merevlemez-sanitizer meg mindenféle progik a diszkek nullával teleírására, ma már úgy megy, hogy reset-eli a lemez tartalmát a kontroller vagy alaplapi UEFI-ben, a háttérben ez annyit csinál, hogy a meglévő titkosítási kulcsokat eldobja és újakat ad neki, ergo szűz lemez üresen láttatja magát innentől, nem férnek hozzá semmihez. Ennek ellenére is - egyesek - még ezen felül is luks-oznak.

Új hozzászólás Aktív témák