Bottom line: don’t trust your hardware, always make good (offline) backups, test backups regularly.
Also, I have lost some of the more recently encrypted files (thankfully, these were copies of paper documents I still have).
The new master key’s fingerprint is A8D2 90A1 8D1E 6486. I will try to get my new key signed in person by the CACert.org folks ASAP.
]]>Остаться в стороне я не смог, поэтому вот несколько советов.
Итак, самый простой способ доказать какому-либо сервису или сайту, что вы - это вы. Пароль.
Хороший пароль - это такой, который:
И вот тут мы встречаем первую проблему. Как сделать пароль одновременно запоминающимся и сложным для подбора злоумышленником?
Простой для запоминания пароль - это не qwerty
и не 12345
, и даже не кличка вашего кота (хотя, если вы назвали своего кота, например, moonbeam-barrack-dispose-tranquil
– я могу вам обоим только посочувствовать ;-). Стоп… а почему я буду звать своего кота именно так…?
Кличка для кота, мягко говоря, хреновая… а вот пароль хороший. Только, пожалуйста, не нужно использовать именно этот пароль везде, где только вздумается – этот окажется во всех словарях для подбора через несколько микросекунд после того, как я нажму кнопку “Опубликовать”.
Все просто: берем четыре случайных английских слова и получаем то, что относительно легко запомнить и очень сложно подобрать. Если вы ленивый и все еще доверяете интернету, то это можно сделать, например, здесь.
Отлично, теперь мы знаем, как сделать себе классный пароль. Но ведь нам нужен…
Пароль, который никогда не используется больше чем на одном сайте. О, боже! Что? Ведь у меня два десятка аккаунтов! Я же вам не Гугл, чтобы все это запоминать! А у меня для вас хорошие новости, запоминать все это и не придется, всю работу для нас сделает… менеджер паролей.
Менеджер паролей – это такая программа, которая умеет безопасно хранить все ваши разные, уникальные и сложные пароли от разных сайтов и сервисов под одним “замком” - мастер-паролем, который вы выберете. А еще умеет их создавать, автоматически заполнять, проверять, не угнал ли кто ваши учетки, и вообще всячески облегчать вам жизнь.
Вам нужно будет помнить только один пароль, который вы сами себе придумали, а все остальные будет за вас делать и обслуживать менеджер паролей. Причем эти пароли хоть и будут храниться “где-то” (в облаке или в файле у вас на диске), но будут там уютно зашифрованы и не доступны никому, кто не знает ваш (надеюсь, сложный и уникальный только для этого менеджера) мастер-пароль.
Лично я использую Bitwarden. К тому же, премиум с разными возможностями (включая использование аппаратных ключей) стоит всего 10 баксов в год. Рекомендую 🐾.
После регистрации в BitWarden, чтобы было удобнее пользоваться - поставьте себе расширение в браузер и мобильное приложение:
Отлично! Мы с вами только что сделали себе уникальный пароль для менеджера, сделали учетную запись в Bitwarden (например). А теперь пришла пора активно пройтись по всем сервисам, обязательно поменять все пароли на те, которые вы сделали в менеджере, и - внимание! - проверить, все ли устройства, которые вы увидите в настройках сервиса, вам знакомы.
Важная информация для Telegram! ОБЯЗАТЕЛЬНО поставьте сложный и уникальный (!) пароль в дополнение к SMS-авторизации! Именно учетки без дополнительного пароля “на раз” ломаются всеми, кому надо. Как это сделать - можно посмотреть здесь.
Вот ссылки на ресурсы, где можно посмотреть, как проверить сессии и поменять пароль в разных популярных сервисах. Итак:
Если нужного сайта здесь нет - то просто поищите в разделе “Безопасность” на сайте пункт “Сеансы” или “Подключенные устройства” - идем туда и проверяем, нет ли там чего подозрительного. Если вы находитесь в Москве, а у вас зачем-то там “светится” браузер из Северной Кореи – безжалостно нажимаем кнопку “удалить” и обязательно меняем пароль на новый, ведь менеджер паролей позволяет это сделать очень просто и абсолютно бесплатно.
Cправка у BitWarden тут (пока есть только на английском).
Как создать новый пароль в BitWarden:
А если вы поставите расширение для браузера или приложение на телефон, как это описано выше - то BitWarden будет даже автоматически заполнять пароли для вас и позволять быстро делать новые без лишних телодвижений.
Что это такое? Это такая штука, которая не позволит злому хакеру просто так войти на сервис, даже если он знает ваш пароль. Для этого ему еще придется, как минимум, завладеть вашим телефоном (или еще сложнее - аппаратным ключом) и вычитать оттуда дополнительный одноразовый код.
Теперь каждый раз при входе с нового устройства, вам потребуется достать телефон и ввести одноразовый код из него в дополнение к вашему паролю. Звучит сложно? На самом деле, не очень. Зато, поставив одно приложение, вы отсекаете 90% простых атак с “угоном” учеток, даже если ваш пароль где-то засветился.
Важная информация. НЕ НАДО использовать дополнительную авторизацию по SMS, если есть хоть какой-то другой способ. SMS очень легко перехватываются, в том числе и вашим покорным слугой, который мог это делать просто по работе. Используйте Google Authenticator или (что намного лучше) - аппаратный ключ (напишу про аппаратные ключи немного позже).
Ну вот! Теперь у нас появилось больше уверенности в том, что наши учетные записи никто не уведет. А об аппаратных ключах и почему они круче всего остального - напишу в следующей части.
Had little fun dealing with Hetzner’s support explaining that their IP KVM cable was flaky and causing issues with server video, so I couldn’t enter the damn decryption passphrase for 3 hours or so… Hopefully, it’s over now.
Notes to self: next time you move data, use pve-zsync – it ended up being the fastest and the most sane option.
I think I followed this tutorial for installing Proxmox itself from inside Hetzner’s rescue system and this one to reencrypt everything.
Then you have to ask Hetzner for a KVM and do all the usual network magic to put an OPNsense virtual machine in front of the real physical server.
Another thing I hate about Hetzner: they force you to have your primary MAC address match the physical one on the server’s motherboard, even if you wish to use, say, OPNsense in a virtual machine facing the public Internet instead of the real thing. So you have to always do something like this:
auto enp0s31f6
iface enp0s31f6 inet manual
hwaddress 00:00:00:00:de:ad
auto vmbr0
iface vmbr0 inet manual
bridge-ports enp0s31f6
bridge-stp off
bridge-fd 0
bridge_maxwait 0
hwaddress 52:54:00:11:22:33
#OPNsense WAN
where 00:00:00:de:ad
and 52:54:00:11:22:33
are bogus MACs. And then they’ll happily send you an ‘abuse’ notification claiming that you violated their MAC policy… but at least it all would work.
So far, there is no good way to automate decryption of ZFS datasets, so that I won’t have to ask Hetzner to attach a physical KVM dongle to the server in order to just enter the passphrase. For LUKS there’s unlock-cryptroot but I’m not aware about anything like this existing for ZFS.
So the sequence is like this:
# zfs load-keys rpool/data
# zfs load-keys hddpool/data
### maybe I have missed something?