neues Thinkpad benutzerfreundlich absichern

[bcbg]

Guten Tag
In den nächsten Wochen kommt ein T470s an. Installiert wird darauf Ubuntu 16.10. Wie sichere ich das Ganze möglichst laienfreundlich/bequem ab?
SVP, Startkennwort (und ein Kensingtonschloss) sind gesetzt. Was an Zusätzlichem ist angemessen: HDD-Passwort allein oder mit vollverschlüsselter Ubuntu-Installation oder doch nur das Letztere?

Das Gerät ist für ein Familienmitglied, das möglichst gerade heraus arbeiten möchte.

Für eure Hinweise danke ich vorweg.
bcbg

 

[buddabrod]

Setze das HDD Passwort auf das Startkennwort, dann muss man es nur einmal eingeben. Außerdem würde ich ein GRUB Passwort setzen, zumindest gegen Änderungen.

Die Ubuntu Installation würde ich auch verschlüsseln. Idealerweise per (langem!) Kennwort, was irgendwo fernab hinterlegt ist, und per Schlüsseldatei auf einem Stick o.Ä., für einen komfortablen Start. Das Teil darf dann halt nicht dauerhaft am Gerät hängen, sonst ist das ja witzlos ;-)

 

[bcbg]

Danke. Genau das Witzlose "befürchte" ich - deshalb die Frage, ob das HDD-Passwort (= Startkennwort) u.U. reicht, weil ja auch noch die Benutzeranmeldung folgt. Das wären dann zwei Passworteingaben.
bcbg

 

[harpo]

Ich würde meinen, SV- und HDD-PW reicht schon. Viele SSDs, wie die aktuellen Pro- und Evo-Reihen von Samsung z.B. bringen auch schon Hardwareverschlüsselung mit, die schon standardmäßig aktiviert ist, nur halt ohne PW-Eingabe. Das braucht man dann lediglich mit dem setzen des HDD-PW nachholen.

Für absolute Sicherheit sollte man aber auch die Option "PW bei Restart" aktivieren, da sonst das PW beim warmen Neustart im Speicher bleibt und automatisch gesetzt wird und man dann evtl. von einem Live-System auf die SSD/HDD zugreifen kann.

Alternativ kann man auch die Bootreihenfolge so einstellen, dass die interne SSD/HDD immer zuerst startet und dann im BIOS die Option setzten, dass beim Aufruf des Bootmenüs (F12) das PW abgefragt wird. Dann spart man sich die die Eingabe des HDD-PW bei jedem Restart. Oder man verschlüsselt halt zusätzlich nochmal über Ubuntu.

 

[terry_mccann]

Ist das Ding für den Geheimdienst?

 

[laptopheaven]

Nur mal so als Frage. was soll Dir im privaten Nutzungsfalle das SuperVisorPasswort bringen ?
Das SVP schützt ja das BIOS vor Veränderungen wie z.B. die Bootreihenfolge. Ist meines Erachtens für die private Nutzung völlig wumpe.
Ein POP (sprich Power-On-Passwort) ist ebenfalls völlig nutzlos, das das POP durch das Ziehen der BIOS Batterie gelöscht wird.

Besser und vollkommen ausreichend ist das HDD Passwort, denn nur mit der richtigen Eingabe dieses Passwortes gibt die HDD überhaupt erst Daten frei, sprich auch an einem Rechner tut sich erst mal nichts, wenn man nicht dieses Passwort kennt.
Sprich: Was Komfort und Sicherheit anbelangt, liegst Du mit dem HDD Passwort ganz weit vorne.

 

[bcbg]

Geheimdienst: Nein. Ziel ist, dass Langfinger das Teil maximal als Briefbeschwerer verwenden können und Begabte, aber allzu Neugierige ein wenig zu knabbern haben.
Mehr als zwei Passwortabfragen sollten es nicht sein.

SVP: Ich möchte den Zugriff auf die Grundeinstellungen des Geräts verschliessen, weil Spieltrieb/Experimentierlust der nutzenden Person Zusatzaufwand verursachen, der an mir hängen bleiben wird ...


Bis anhin lief es in Anlehnung auf Folgendes hinaus:
1. SVP
(2. Startkennwort (mit Abfrage bei Restart))
3. SSD-Passwort USER (=Startkennwort) und MASTER
4a Ubuntu unverschlüsselt
(oder
4b Ubuntu vollverschlüsselt kombiniert mit automatischer Anmeldung)
5. Kensington

bcbg

 

[Schwartz]

4b war was ich mit meinem Manjaro Linux gemacht hatte. Die Benutzeranmeldung wird unwichtig, wenn sowieso zum Start ein (Festplatten)Kennwort abgefragt wird, ohne welches das Teil zum Briefbeschwerer wird. Man kann auch z.B. 'blurlock' und andere Tools so einstellen, dass nach dem Aufwachen aus dem Standby oder nach neuerlichem Einschalten des Bildschirms das Benutzerkennwort nochmals abgefragt wird, also alle Fälle abgedeckt sind.

Auch kannst du überlegen evtl. nur die /home Verzeichnisse zu verschlüsseln wo ja die meisten wichtigen Daten liegen. Generell ist die Crypto im Linux-Kernel recht schnell, aber bei Vollverschlüsselung geht trotzdem viel CPU-Zeit unsinnigerweise verloren. Denn eigentlich sind es ja nur die Configs, die nicht lesbar sein sollen.. nicht die Programme und das OS selbst.

Edit: Wobei es mit Hardwarebeschleunigtem AES echt egal ist.. man merkt dass ich nur ältere Systeme benutze.

 

[harpo]

Das SVP schützt ja das BIOS vor Veränderungen wie z.B. die Bootreihenfolge. Ist meines Erachtens für die private Nutzung völlig wumpe.

Wenn das SV-PW für die private Nutzung völlig wumpe ist, dann das HDD-PW erst recht. Denn mit Zugriff aufs BIOS-Setup kannst Du das HDD unter Umständen leicht aushebeln, siehe meinen Post oben. Ich habe es ausprobiert, es geht! Natürlich ist das nur ein absoluter Spezialfall; dazu muss ein Angreifer natürlich das Gerät im angeschalteteten Zustand erwischen, mit Möglichkeit zum warmen Neustart. (Also z.B. beim Anmeldebildschirm)

(2. Startkennwort (mit Abfrage bei Restart))
3. SSD-Passwort USER (=Startkennwort) und MASTER

Jupp, das HDD-PW als quasi-Startkennwort neben dem SV-PW reicht aus. Es gibt ja zusätzlich noch die Möglichkeit, ein extra-Startkennwort zu vergeben (zumindest bei aktuellen TPs). Das ist in dem Fall aber völlig unnötig, da bei Optionen wie "PW on Restart" das HDD-PW abgefragt wird.

SVP: Ich möchte den Zugriff auf die Grundeinstellungen des Geräts verschliessen, weil Spieltrieb/Experimentierlust der nutzenden Person Zusatzaufwand verursachen, der an mir hängen bleiben wird ...

Ja, das ist in dem Fall eine sehr gute Idee, kenne ich auch nur zu gut!