Situación: Un Linux de escritorio (por ejemplo, Debian, escritorio de Xfce, inicio de sesión de Lightdm) con particiones encriptadas con LUKS (en la medida de lo posible, por ejemplo, los archivos Efi no están encriptados, por supuesto). La computadora está en modo de suspensión (no hibernación, es decir, Luks en desbloqueado y clave en la memoria RAM).
Ahora un ladrón roba la computadora y quiere encontrar una manera de entrar.
- Cualquier cosa que involucre apagarlo no ayudará, por supuesto, debido al cifrado del disco.
- Instalar keyloggers de hardware, reemplazar Bootloader / Efi con algo maliciours, y cosas similares no ayudarán porque el propietario sabe que es robado y no se puede confiar en él.
- ataques elaborados que por ejemplo. leer las claves directamente desde la RAM a través de algunos medios está fuera de las capacidades de los ladrones y / o el riesgo que el propietario asume para poder usar el modo de suspensión en lugar del apagado.
- Eso deja el riesgo de que la pantalla de inicio de sesión (de LightDM) se pueda omitir de alguna manera, dado el escritorio que se está ejecutando detrás.
Mi pregunta es, ¿qué cosas debo hacer para prevenir esto?
Los siguientes puntos ya los conozco:
- Terminales de conmutación (CtrlAltFn).
- Si la GUI se inicia con startx, esto permite obtener un TTY donde el usuario ya ha iniciado sesión. Sin embargo, no existe tal TTY cuando se utiliza LightDM.
- También hay una pantalla GUI que solo muestra "Esta sesión está bloqueada, cambiará para iniciar sesión en unos segundos" (o un mensaje similar). Sin embargo, no parece que haya una manera fácil de salir de eso.
- X Server tiene una opción de configuración DontZap que permite matar a X con el acceso directo CtrlAltBackspace. Esto podría ayudar en la pantalla "bloqueada" o incluso en Lightm, sin embargo, está desactivada de forma predeterminada, por lo que no hay problema.
- Hay otro atajo con X CtrlAlt * (estrella) (config AllowClosedownGrabs) que mata a todos los procesos que tienen un "bloqueo" (sea cual sea el bloqueo, esto significa). Esto también está deshabilitado por defecto.
- Kernel SysRQ shortcut F para OOM killer. Se puede deshabilitar, y tal vez las dos GUIs estén entre los procesos protegidos (lo intenté unas 50 veces y no logré matar a LightDM, pero no estoy seguro de la razón exacta).
¿Qué otros riesgos podrían existir en 2018?