Шифрование домашнего каталога
Требуется зашифровать диск/раздел, который монтируется в /home.
В интернетах есть много всяких разных howto по поводу шифрования. Первое, что мне попалось на глаза - loop-aes и dm_crypt.
Соответственно первый вопрос: что выбрать? Чем лучше шифровать?
Оценивать инструмент желательно по степени бескостыльности/скорости/криптостойкости (поддерживаемых алгоритмов, длины ключа).
Кроме того очень не хочется, чтобы запись об означенном разделе светилась в fstab. Более того очень желательно, чтоб раздел монтировался на лету в процессе запуска xDM или после ввода пользователем своего пароля в xDM.
Для монтирования планируется использовать костыль-велосипед или уже имеющийся софт, работающий по следующему принципу:
Если к системнику подключен токен (флешка с ключом), читаем с флешки ключ, спрашиваем "СамоеСекретноеИзВсехСекретныхСлов" (а, может быть, и не спрашиваем, чтоб не тревожить нежную психику пользователя) и если все хорошо, монтируем раздел и продолжаем загрузку пользовательского окружения.
Если все плохо: пользователь не знает "СекретногоСлова" или токен не подключен, пользователь тоже благополучно авторизуется. Но, ясно-понятно, с девственно чистым/минимально наполненным домашним каталогом.
Пока первая мысль - использовать для этого PAM. Но я не знаю, какой модуль мне тут поможет и поможет ли в полной мере. Если я думаю в правильную сторону - подскажите :)
Либо же можно воскользоваться встроенными средствами конкретного DM (GDM, KDM, по крайней мере, точно умеют запускать скрипты на разных стадиях логина).
Либо использовать немного первого и немного второго...
За сим прошу указать направление, в котором стоит вести поиск информации. Наименования конкретных инструментов приветствуются.
А так же внемлю любой, даже самой деструктивной, критике :)
PS
Да, я параноик :)
UPD 001
Нашел pam_exec - вроде то, что нужно.
UPD 002
Еще вопрос: а какую ФС лучше использовать на шифрованном разделе?
- Для комментирования войдите или зарегистрируйтесь
Не интересовался вот этим? *
Не интересовался вот этим?
* app-crypt/truecrypt Latest version available: 7.0a-r2 Latest version installed: 7.0a-r2 Size of files: 1,949 kB Homepage: http://www.truecrypt.org/ Description: Free open-source disk encryption software License: truecrypt-3.0emerge Your world
Gentoogle
TrueCrypt мне известен. Хотя
TrueCrypt мне известен. Хотя я о нем больше слышал, чем видел в действии.
Меня интересует прозрачное и незаметное шифрование (незаметное, т. е. невидимое невооруженным взглядом и при беглом осмотре основных конфигов - тот же fstab).
Если truecrypt это умеет, замечательно - можно воспользоваться и им.
С некоторой потерей производительности я готов смириться.
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
TrueCrypt есть "портабле". То
TrueCrypt есть "портабле". То есть в самой системе его может и не быть.
Уже больше года таскаю съёмный HDD с "контейнерами", криптованными этим самым TrueCrypt. Там, где мне это нужно - запускаю монтирование контейнеров.
Пробовал ставить на серверы 1Сv7 (до 25 одновременных сессий). Шифровал весь HDD. На производительность жалоб не было. Никаких.
emerge Your world
Gentoogle
Вам поможет pam, pam_mount и
Вам поможет pam, pam_mount и cryptsetup
Прежде чем городить огородов
Прежде чем городить огородов с шифрованием неплохо было бы произвести некую классификацию информацию из хомы на предмет необходимости защиты методом шифрования. Для большинства случаев под линем вполне достаточно штатных средств разграничения доступа. Зачастую (при грамотной настройке) прикладные приложения обеспечивают собственный механизм защиты данных, типа шифрования мастер-паролем, использования кейрингов из гномокедовых наборов. Короче необходимо отделить котлеты от мух, во избежании ненужных тормозов при просмотре общедоступного контента с шифрованного диска. Затем мух можно и зашифровать. Шифрование хомы целиком (имхо) перебор. В принципе вполне реально замонтировать шифрованный диск в некую папку, а затем перемонтировать отдельные его папки при помощи -o bind в нужные места хомы.
По вашей схеме получения девственно чистой хомы, возможна ситуация отсутствия юзерских настроек на многочисленное ПО, которое храниться в той же хоме, что нелогично (ибо юзверя тогда проще вообще в систему не пускать). Более того возможна рассинхронизация данных настроек в шифрованной и открытой части, в тех случаях когда юзверь решил развлечься и сознательно не подключил секретный диск.
Токен это не флешка с ключом это шифратор-дешифратор на усб. Вроде как, помимо алладиновского софта ( насколько помню частично закрытого, что под гентой не комильфо) с етокенами умеет работать opensc.
wi написал(а): Для
Однако есть такие случаи, когда лучше зашифровать. Например в свете торрентов и ответственности по 146 ст. УК РФ. Или в свете ноутбука и его потери или кражи.
Но остаётся два вопроса: какова стойкость алгоритма шифрования и не остаётся ли где хвостов.
До знакомства с убунтой, я считал что для общедоступного контента лучше создавать отдельного пользователя с отдельным домашним каталогом...
Почему же перебор? А ну как у Вас была ошибка при наборе команды su или sudo?
И что в этом плохого?
Реализовать токен можно разными способами, даже и самопальными. Для того чтобы это всё реализовать достаточно знаний pam и cryptsetup.
ArtSh написал(а): wi
Вы близки к истине :)
Особенно в свете некоторых событий.
Меня интересует не столько защита закладок в браузере, сколько защита от загребущих рук некоторых индивидов информации в целом.
У меня была мысль зашифровать только определенные каталоги. Возможно, что я так и поступлю. Я еще не решил, как в моем конкретном случае будет удобнее/проще.
Это все не сложно автоматизировать.
При желании, конечно.
Наличие/отсутствие настроек в ПО не имеет значения. Оно нужно исключительно "для отвода глаз"
А юзер будет всего один - я. Ну, еще, может быть, сестра время от времени.
Под токеном я подразумеваю обычную флешку, на которой лежит ключ шифрования, защищенный паролем. Всего-навсего.
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
Youshi написал(а): Особенно в
Пассивная оборона решением проблемы, увы, не является.
Имеет смысл как минимум пристрастная проверка принявших этот закон на его исполнение.
:wq
--
Live free or die
Мне понравилось и помогло
Мне понравилось и помогло encfs && pam_encfs
Шифрует не разделы, а HOME каталоги пользователей или просто каталоги
Working on Gentoo Linux for Asus P535 and Qtopia :-)
Вот это уже интересно.
Вот это уже интересно. Спасибо, почитаем.
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
Доп инфо: Алгоритмов к
Доп инфо: Скорость алгоритмов можно найти в Википедии.
А самый прикол в том, что самый стойкий и пока не кем не взломанный алгоритм IDEA(восьмикратный который)уже запатентован и находится под лицензией и с версии 2.1а его нет в truecrypt (. А все остальное, как я понял(прочитав 2 книги Шнайера) дело времени... Обидно....
知る者は言わず言う者は知らず
"Бабло, побеждает даже зло"
.
Сверяться с википедией можно лишь уже зная правильный ответ.
Ты чем-то удивлён?
Не только (и не столько) времени, сколько ресурсов (одним из которых, но не единственным и не определяющим является Время).
Мораль на самом деле заключается в том, что не стоит пренебрегать вспомогательными мерами.
А про принципиальную взламываемость алгоритмов шифрования...
Современные средства ПВО тоже вроде как способны "перехватить" артиллерийский снаряд (в сферических в вакууме тепличных условиях).
Правда современному алюминиевому крейсеру (да и авианосцу) в случае плотного (хотя бы 10-12 стволов) обстрела при использовании калибра всего-то в 6" ничем не поможет.
Даже если не использовать фирменную фичу типа "ядерный фугас".
Иначе говоря: принципиальная взламываемость алгоритма не означает реальной возможности дешифровки всего необходимого, особенно в потребрные атакующему сроки.
А если его будут ожидать некоторые "приятные" сюрпризы из вспомогательных мер, не принимаемых в расчёт при написании научных монографий и неизвестные атакующему...
:wq
--
Live free or die
Криптостойкость алгоритма в
Криптостойкость алгоритма в моем конкретном случае не играет решающей роли. Кому я нафиг нужен, расшифровывать мои интимные фотки :)
Да и чтоб начать что-то расшифровывать, надо знать, что зашифровано и зашифровано ли оно вообще...
Потому и ищется метод скрытого монтирования шифрованного ЖД.
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
.
Дык совсем пустой
/homeподозрителен (наводит на определённые мысли).А вот некоторый бинарный файлик в домашнем каталоге пользователя, с файловой системой, шифрованной, скрытно монтируемый при соблюдении определённых условий и хранящий защищаемые данные (для разнообразия --- далеко не один)...
:wq
--
Live free or die
Уважаемый, ну зачем же сразу
Уважаемый, ну зачем же сразу пустой? Туда всегда можно что-нить положить.
В том-то вся прелесть монтирования, что содержимое каталога перекрывается, но при этом никуда не девается.
Ну и как вариант, шифровать не весь хоум, а только некоторые, особые, подкаталоги.
Пользователь в системе один одинешенек. Шифровать надо только его данные.
Учитывая квалификацию некоторых "экспертов" и очень узкую направленность их поисков (ага. ищут строго определенные бинарники - приходилось сталкиваться) есть повод сомневаться. Наполненный чем-то
/homeи забитый псевдослучайными (но мы-то знаем, что они вовсе не случайные) последовательностями нулей и единиц жесткий диск наведут на определенные мысли только человека, который знает, что ищет. И знает, что оно там точно есть.Кроме того, учитывая разнообразие дистрибутивов и средств достижения означенной цели, поиск точки входа становится задачей нетривиальной.
А на неудобные вопросы - один ответ. Винт валялся без дела, решил подключить - чего месту пропадать. А что там раньше было - не знаю.
А кто сказал, что надо соблюдать какие-то условия? Кто знает, что за пустая флешка торчит в системнике? Да и зачем ей там торчать... Вставил, авторизовался, выдернул, спрятал.
Задача как раз в том, чтобы никак не выдать сам факт шифрования чего-либо.
Хотя конечно уже сам факт открытого обсуждения сей затеи ставит пользу от ее реализации под сомнение :)
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
Youshi написал(а): Задача
Стеганография хоть и смежная наука, но, всё-таки, существенно отличается от криптографии...
Основной упор все-таки на
Основной упор все-таки на шифрование, но при этом сокрытие существования шифрованного контейнера.
Первое без второго - лишние подозрения.
Второе без первого неосуществимо по техническим причинам.
Следовательно надо сочетать.
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
Youshi написал(а):Основной
Ответьте для себя на вопрос: от кого скрывается факт наличия конфиденциальной информации. Первое без второго — вполне нормальное явление. Далеко не каждый человек стремиться исследовать таблицу разделов вдоль и поперёк, а некоторые программы разметки специально оставляют разделы или неразмеченное пространство. И, наконец, раздел /boot, который рекомендуется в настольной книге создавать и не монтировать по умолчанию, ни у кого не вызывает подозрений?
Второе без первого вполне осуществимо: исходные коды encfs доступны, нужно всего лишь поменять алгоритм преобразования файлов с шифрования, на использование steghide с фотоархивом, например.
ArtSh написал(а): Ответьте
Наличие раздела с информацией, которую не имеет смысла скрывать, либо неразмеченного пространства подозрений не вызовет. А вот запись в fstab, к примеру, где указано использование шифрования для пусть даже не примонтированного раздела (что в общем-то уже не имеет принципиального значения, поскольку известен факт шифрования раздела), еще как вызовет.
Похоже, мы с Вами друг друга недопонимаем. Быть может, я плохо объяснил свою цель - уж извиняйте.
Да, раз уж на то пошло, существует StegFS.
Но у меня нет такого количества фоток, чтоб уместить в них даже сотню мегабайт информации, а ее может быть значительно больше. Опять достаточно заглянуть в тот же fstab, и увидеть, что используются специализированные ФС => сделать выводы. Тут не приципиален метод непосредственно сокрытия информации. Будь то стеганография или криптография, или их сочетание. Важен сам вопрос, а защищается ли вообще что-то?
Ключевая фраза: "сделать выводы". Что последует за этим и последует ли - это уже другой вопрос и к обсуждаемой теме относится лишь косвенно.
Мне не нужно городить огородов, навешивать кучу файловых систем. Нужно всего-навсего неявное монтирование некоего раздела при соблюдении некоторых условий. А при их несоблюдении отсутствие панических сообщений от системы и нормальное продолжение работы, но уже без монтирования защищенного контейнера. А чтобы этот контейнер нельзя было постороннему примонтировать явно и увидеть на нем что-то, требуется его зашифровать, дабы создать впечатление, что ЖД с защищаемыми данными не используется/пуст.
Относительно стеганографии: можно, например, использовать незанятое пространство на разделе и вообще ничего не шифровать. Но я не достаточно хорошо владею предметом, чтобы утвержать, насколько сложно/легко извлечь сокрытую таким образом информацию.
А можно пойти дальше и зашифровать контейнер, находящийся на незанятом разделе. В этом и предыдущем случае для посторонних это просто пустой раздел на диске.
Но опять в полный рост встает вопрос: как неявно этот хитрый контейнер примонтировать? Вот главная мысль всего топика.
Надеюсь, теперь я понятно объяснил.
ЗЫ
Чукча не писатель. Чукча - читатель.
Исходя из вышесказанного, будем считать, что информация скрывается от "делающих выводы".
Это может быть некий "эксперт" или же вор, стащивший системник... Не принципиально.
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
мысль. просто мысль. Как
мысль.
просто мысль.
Как известно, чтобы надёжно спрятать информацию, её надо положить на самое видное место ;)
Разместить раздел в файле, а фалик положить в общедоступное место, например, /usr/lib64/qt4 или в наглую в /lost+found
И назвать сей фалик попроще, типа libxFreeDesktopModule_engine.so.k2.3.6.2-v.1
А с флэшки-токена выполнять элементарный скрипт монтирования (и секретных слов можно и не знать ;) )
А какой метод шифрования в этом файле - это уже вторично, имхо, найти такой файлик в "системном мусоре" задача нетривиальная (как уже сказали выше),
а найдя этот файлик - хер знает что с ним делать, если нет утечки инсайдерской информации.
Конечно, файлик размером гигов на 50 будет вызывать некоторые мысли, но тут думать надо как это всё организовать
Имхо, наличие неиспользуемого раздела на 50Гиг, пусть явно и не примонтированного, не спасёт его от dd и очень притягивает глаз ;)
что-то добрый я сегодня ....
От dd не спасет ничто :) Мне
От dd не спасет ничто :)
Мне приходила мысль запрятать файл, но его размер... Вот если б его еще фрагментировать как-то (что-то вроде многотомного архива). В разумных пределах.
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
leryc написал(а): И назвать
...если он зарегистрирован
portage.Иначе знание о существовании утилиты типа
findcruftзначительно облегчит жизнь атакующему.:wq
--
Live free or die
Ну вот. Мы уже дошли до
Ну вот. Мы уже дошли до написания
ebuild, который поместит куда-то пустой файл. :)Правда, тут появляется дургой подводный булыжник. Скажем, пересборка мира.
Portageпросто затрет драгоценный контейнер.Я, наверное, невнимательно читал ebuild howto, но не видел там методов защиты существующих файлов от затирания. Разве что для конфигов существует такой механизм.
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
но это уже "высший
но это уже "высший пилотаж"...
А чтоб знать особенности portage - так это надо весь отдел "К" (или "Р" ? ) пересадить... на gentoo....
что, впрочем, - благородная задача....
А хулиган с улицы - всё-равно ниаслит....
Вероятность хулиган-гентушник? ;)
Ну, не знаю....
что-то добрый я сегодня ....
/
Глядишь они заради лулзов начнут хотя бы:
1. Проверять по крайней мере госучреждения на предмет соответствия условий используемого ПО условиям лицензионных "соглашений" (но не с репрессиями для исполнителей, а с выявлением источников откатов и примерным наказанием соответствующих разработчиков). А то получается, что требования "политики безопасности" --- наличие виндавса (почему?) с последними обновлениями, наличие касперского с последними обновлениями, а каким требованиям эти два компонента удовлетворяют (должны удовлетворять) --- то никому неведомо (И на всякий случай, заради недопущения даже принципиальной возможности конкуренции, не формулируется. Обыкновенное делегирование ответственности, так что согласно капиталистической законности случись что --- виновного не найдёшь. Побочное следствие "демократии", см. статью Алексея Борового "Парламентский кретинизм".);
2. Приводить требования разработчиков в согласие с здравым смыслом и антимонопольным законодательством.
:wq
--
Live free or die
Anarchist написал(а): leryc
По-моему, это утопия... даже "заради лулзов".
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
Youshi написал(а): Ну вот. Мы
Почему {пустой, затрёт}?
Не пустой, а соответствующий среднему размеру библиотечек (а данные потребного обюъема разносить по нескольким файлам, шифровать можно тоже по-разному).
И соответственно файлов несколько.
Вика здесь рекомендует читать Portage Overlay.
ЕМНИМС не то читал. Ebuild Howto про написание ебилдов (а не систему управления ПО).
FEATURE collision-protect:wq
--
Live free or die
Anarchist написал(а): Youshi
Про оверлеи мне известно. Более того я ими активно пользуюсь.
Это малость другое. Это для разных пакетов, которые хотят один и тот же файл.
А я говорю про переустановку пакета, которому принадлежит наш контейнер.
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
/
Понял.
Здесь ты был прав (или просто внимательнее...) ;)
Но твоя беда решается просто: переопределением в ебилде функции установки.
Грубо (лень писать на баше, потому пишу просто по-русски):
Если целевой файл существует, то просто
touch'ем ставим ему текущее время модификации --- и всё.И не будет ебилд переписывать его при обновлении (хотя при простом обновлении он и так не будет переписываться, бо ебилд в оверлейчике не меняется, но на случай
-av1альбо-eпредусмотреть, т.е. переопределитьsrc_install) надо).:wq
--
Live free or die
Мысль понята.
Мысль понята. Но...
src_install копирует файлы во временный каталог image, откуда уже они индексируются portage и отправляются в систему.
Ведь portage работает в песочнице и ему нет никакого дела до уже существующих в системе файлов.
Мне кажется, это тоже немного не то. Вот если б управлять стадией merge...
Если не прав, поправьте.
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
Youshi написал(а): Мысль
Ну... Я в такие ньюансы работы
portageне залезал....Но у нас есть ход конём :)
Переопределить
src_installна простоcontinue, аtouchвынести вpkg_postinst(или как там она зовётся).:wq
--
Live free or die
монтировать положим довльно
монтировать положим довльно легко, через pam_mount, но в топике реальная реализация никого не колышет :)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
slepnoga
А реальную реализацию никому, кроме автора, меня то бишь, знать и не положено ;)
От вас (форумчан вообще) я жду названий инструментов, советов и конструктивной критики, чего вы мне понаписали уже немало и, быть может, еще напишете. За это вам моя благодарность!
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
/
Изыди, нечистый :)
Не мешай вести дискуссию в высоком штиле :)))
:wq
--
Live free or die
Youshi написал(а): Наличие
Я не зря упоминал pam_mount и cryptsetup, а Вы, видимо, решили не углубляться в этот вопрос.
Если Вы считаете, что кто-то будет копаться в /etc/pam.d (кто этот кто-то, и зачем он будет там копаться?) то шифруйте весь /.
За три дня можно было уже не только выучить конфигурационные файлы pam и найти все модули в интернете, но и написать свой модуль...
Выделенные части не связаны причинно-следственной связью. Тот самый упорный «кто-то», который в наглую исследует / может спокойно записать в пустое место что угодно. Насколько важна для Вас потеря конфиденциальной информации?
Шифруйте / и не парьтесь.
ArtSh написал(а): Youshi
Я, видимо, проморгал Ваше упоминание...
Вот про
/etc/pam.dя ничего не говорил. Собственно, я изначально предполагал использовать именноpam.Можно. Но всегда есть разные но.
Предполагается хранить информацию различной степени важности.
ОК :)
Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!
прикупил намедни диск
прикупил намедни диск Hitachi
в нём есть фишки:
- systen password (на монтирование)
- data encrypt
- quick data erase (при n-ом неправильном пароле и\или в "чужом" компе)
хотелось бы попробовать эти фишки до того, как разверну боевую систему
- как перевести эти опции из off в on ? (с диском никаких сопроводительных\установочных дисков не шло)
- какой софт использовать?
- шифруется весь диск или возможно отдельными партициями?
(может кто сталкивался с этим чудом и не надо заморачиваться как выше?)
что-то добрый я сегодня ....
.
Быстрота не должна достигаться в ущерб надёжности.
Главное здесь --- процедура обновления аппаратной части "своего" компьютера.
Чтобы самому не залезь в яму, аналогичную виндавсу.
А фича интересная...
:wq
--
Live free or die
там что-то на аппаратном
там что-то на аппаратном уровне
примерно 240 сек на террабайт
что-то добрый я сегодня ....
это что то есть в любом хдд
это что то есть в любом хдд лет 10 как :) маны на t10 и t13 как бе намекают :)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
.
Ты бы ещё сказал в каких пакетах сии маны обитают :)
:wq
--
Live free or die
прости, не догнал.... ;( я
прости, не догнал.... ;(
я никогда так глубоко в железо не смотрел и это есть мой первый девственный опыт.
t10 и t13 - это из какой песни\пакета ?
простой копи\пасте не спас отца русской демократии.
гугл говорит о многом, в том числе и лишнем.
t10.org и t13.org - оно?
Если оно - то там много академической информации и без спец.подготовки не осилить.
И не нашел прикладного применения.
И вряд ли что стоит искать в обход портеджа.
Поэтому уточню - в портедже и\или оверлее есть необходимый софт? где смотреть?
Маны к этому софту уж освою какнить
А так - искать нечто сам не знаю чего
Проблема не в том, чтоб найти, а в том, чтоб задать правильный вопрос.
что-то добрый я сегодня ....
t10.org и t13.org - оно? Оне,
Оне, родимые
судя по обходу портежа, даже не то что не пытался, а даже и не понял, о чем сайты :)
есть конечно, hdparm давно уже в дереве ;)
П.С сайты - офф хомяки рабочих групп по разработке протоколов IDE && SCSI. Восможность стирания инфы с диска заложена в стандарте, паролирование контроллера - там же.
возможность снести таблицу ремаппа програмно тоже есть.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
.
Вот тут многие боятся большого размера файла - мол, спрятать тяжело.
Внезапно предлагаю вместо одного большого делать несколько небольших.
Это поставит "делающих выводы" в тупик :)
а эта строка - это просто подпись
/
БоянЪ ;)
Я необходимость отработки параметра размер файла уже озвучил.
:wq
--
Live free or die