Нашелся спонсор проекта портирования Linux на Xbox

2РТО

А что так ? Неужто МС денег жалко ? На рекламу-то вон сколько тратит.

Да и организация уже солидная, несколько тыс. Может расходитесь в чем

с генеральной линией партии?

Саныч

2РТО

Имхо название у Вас неудачное. Замшелое какое-то. User Group -

ну что это такое !! Современее надо. Например: "Идущие вместе с МС",

глядишь ребятишки к вам и потянутся и МС денег даст :)

Саныч

Саныч,  а Вы действительно об[явите кто такой РТО.
-Vlad

2Vlad

>Саныч, а Вы действительно об[явите кто такой РТО.

Не не буду, злой он и детей обижает. Помните как он ректору настучал ?

А ну как вышибут меня из ПТУ, и диплома сварщика не получу :(

Саныч

2 Саныч:

ну с криптографией в виндах все в порядке...

типа на экспорт идет с 128битным ключем...

тут проблема с _импортом_ начинается :)

но на самом деле контор, которые делают Crypto Providers для CryptoAPI до фига... из Российских и сертификат ФАПСИ имеет соответствующий - www.cryptopro.ru

API открыт - садись и пиши свой модуль если хочешь

У меня в системе тоже ключа нет - он на смарткарте... так и удобнее и безопаснее...

2 Vlad:

Наверное... нам всякие дискретные штуки читали очень много, посему у меня отложилось в мозгу, что абстрактные алгебры и пр. часть данного раздела, потому как мы ее как-то быстро так пролетели и уже другими делами занимались...

что нужно/можно в RSBAC запретить root-у чтобы он не мог прочести физический диск по секторам и отключить данный запрет в РСБАК?

2 Саныч:

а зачем денег то с них брать? мы ж не коммерческая организация... не зависим не откого, народ, что костяк группы составляет зарабатывает неплохо...
нам важнее помощь информацией - которую мы получаем, т.е. есть контактные люди, которым можно задать каверзный вопрос, если он возникает у кого-либо из наших друзей.

Да и расходится с генеральной линией проще :)

Название такое гуру-организаторы придумали... посему там и слово "НТ" остается и слово юзер-групп... а идем мы не с МС вместе, а с народом, которому надо помогать данную платформу пользовать...

2 Vlad: а в чем смысл?

2 Саныч: ну тока уж не надо из меня делать монстра :)

   что  нужно/можно  в  RSBAC  запретить  root-у чтобы он не мог прочести
   физический диск по секторам и отключить данный запрет в РСБАК?
В общем сначала нужно прочесть что такое РСБАК.
Что нужно сделать - запретить загружать модули, убрать возможность
чтения из соотв. устройств в /dev/ и создавать новые символьные устройства,
на также отрубить доступ в /proc. В общем рекомендую читать описание
РСБАКа- все станет понятно.
-Vlad

В общем таки можно дискету на ntfs отформатировать - Irsi в флейме
про клон NT сказал:
   На  счет  форматирования  флопиков  в  NTSF - это можно, чуть ли не на
   системинтерналс  утилитка  валялась...  Но вот какая у нее после этого
   емкость  будет  (сколько  места  останется)  это вопрос... Насколько я
   помню - килобайт 400...;)
Так что, РТО, тебе надо RTFM, RTFM и еще раз RTFM. И врать уверенным
тоном по-меньше.
-Vlad

2 Vlad:

не, описание RSBACа я прочитал... мне интересно только одно - как запретить root-у снять наложенные им ограничения?

про дискетку - я говорил про встроенные средства (да и вы про ВСТРОЕННЫЕ исключительно спрашиваете)...

более того, в НТе сделано все чтобы не дать дискету отформатировать (к примеру создается сразу лог в 2 МБ на НТФСе... т.е. СРАЗУ на дискету не лезет)... Руссинович как всегда сидя с отладчиком научился обманывать систему:
http://www.sysinternals.com/ntw2k/freeware/ntfsfloppy.shtml

после работы данной утили остается где-то мегабайт на дискете свободным... кто проверит работает ли она на Вин2К/ВинХР вы или я?

2PTO

>из Российских и сертификат ФАПСИ имеет соответствующий - www.cryptopro.ru

Вы что смеетесь что ли "сертификат ФАПСИ" ?

А на кой хрен он нужен вдумчивому параноику.

Да и продают это все частному лицу только после предоставления

ВСЕХ паспортных данных.

Не, меня интересуют вещицы типа:

Эта штука шифрует сетевой трафик, стоит ~$87.

Specifications:

* Hi/fn 7951 security accelerator chip * 128 Kbyte high speed buffer memory * Total system throughput at up to 64 Mbps * Compression, LZS and MPPC at 43 to 99 Mbps * Encryption, DES, Triple-DES and RC4 at 70 to 188 Mbps * Authentication, SHA-1 and MD5 at 66 to 79 Mbps * Public Key, RSA and DH, 2 to 8 connections/sec using 1024 bit keys * Hardware random number generator * vpn1201: Low Profile PCI, universal board for 3.3V and 5V systems * vpn1211: Mini-PCI type III form factor * Power max 1.2 Watt * Operating temperature 0-60 °C

Software:

* OpenBSD fully supported in latest release. * FreeBSD fully supported in latest release. * Linux support under development.

Видали какой ключик - 1024 бита, рулит адназначно.

Вот как такую херовинку прикрутить к винде, и почему нет драйверов

под нее - это большой вопрос.

Саныч

2РТО

Мериканские вояки шапку сертифицировали !!

См. первую страницу.

Red Hat Linux Advanced Server is the first Linux platform to achieve Department of Defense (DoD) Defense Information Systems Agency (DISA) Common Operating Environment (COE) certification. COE is a DoD software security and interoperability specification and is broadly recognized as a critical computing standard across the U.S. Government.

Еще один гвоздь в гроб МС !!!

critical computing standard - энто Вам не фунт изюма !

Вроде МО США - гос. контора ?

Что теперь уважаемый скажете насчет посикса ?

Саныч :)

2 Саныч:

вы хоть назвали что за карточка... а то пришлось по чипу искать...

для начала драйвер для виндовс для такого чипа есть в опенсоре :)
в такой же бете, что и для линукса...

да и потом что свет клином сошелся на хифн-е? есть еще туева хуча контор, которые делают различные акселераторы

пример:
http://www.safenet-inc.com/technology/pci_boards/index.asp
http://www.3com.com/products/en_US/detail.jsp?tab=prodspec&sku=3CR990-TX-...
http://solutions.compaq.ru/Bulletin/Default.asp?ID=3217
http://www.pericosecurity.com/products/cryptoswift/index.htm
http://www.aep.ie/pdf/AEP_SureWare_Runner_S1000.pdf

т.е. на любой вкус и карман...

по сертификации редхатовского АдвСервера отвечу когда вернусь из коммандировки... сорри... пора ехать в аэропорт уже скоро

2 Саныч: ой, видишь Виндузятник меня опередил в том треде - я уж было думал идти искать когда и какой виндовз аналогичный сертификат получил... а он вишь уже нашел :)

Короче - этот сертификат к ПОСИКСу никакого отношения не имеет.
вы уж лучше по физике выступайте или там по алгебре абстрактной.

и никакой это не гвоздь в гроб МСа... вы посмотрите сколько стоит этот Адв. Сервер... при этом лицензия нужна на каждый сервер на самом деле... ИСОшник так просто не лежит :)

2PTO

Это все поделки от третьих фирм.

Интересует решение как Вы любите говорить "из коробки",

непосредственно от МС с более глубоким уровнем интеграции с ОС.

Когда из ком. вернетесь ?

Саныч

   не,  описание  RSBACа  я  прочитал...  мне интересно только одно - как
   запретить root-у снять наложенные им ограничения?
Плохо читал. При использовании RSBAC назначением ограничений занимается
спец. пользователь - security officer - который и ограничивает то, что
может делать рут и другие.
   про  дискетку  -  я  говорил  про  встроенные  средства  (да  и вы про
   ВСТРОЕННЫЕ исключительно спрашиваете)...
   более того, в НТе сделано все чтобы не дать дискету отформатировать (к
   примеру  создается  сразу лог в 2 МБ на НТФСе... т.е. СРАЗУ на дискету
   не   лезет)...  Руссинович  как  всегда  сидя  с  отладчиком  научился
   обманывать систему:
ОК, беру свои слова обратно.
-Vlad

2 Саныч:

я вернулся :) но скоро снова улечу в другую коммандировку... время, когда я мог тут постоянно сидеть заканчивается.

Те карты которые я привел все имеют поддержку в Виндовз... если они выпущены _до_, то встроенную, если после, то на компакте/дискете/Интернете качается драйвер... по спецификации...
Ядро ВинНТ пересобирать не нужно :)

2 Vlad: ну дык это не решение... т.е. все-равно есть Бог и Царь... его только переименовали. Дык у меня нет проблем без RSBACK понаделать бюджеты пользователей, которые будут обладать _частью_ админских привелегий... при этом делегирование полномочий позволит очень удобно контролировать какие привелегии кто, на каком scope и как долго будет иметь... а Administrator я переименую в Security Officer... хотя обычно я его переименовываю в Maria Mihailovna Sidorova - personal assistand of V. Pupkin... типа эшелонированная оборона - злоумышленнику нужно еще будет узнать имя пользователя, который Админ... Да и Security Officer должен быть доменным - локальных админов изжить...

Вопрос еще один - есть 100 рабочих станций и 5 серверов... на всех RSBACK - можно сделать так, чтобы Security Officer у них был один, а не по экземпляру на каждую машину... а то умаятся можно пароли менять 105 раз..

2 РТО

С возвращеньицем Вас.

Что в Москве весь рынок уже окучили, за бугор решили податься ?

Объясните мне неразумному юноше, почему было столько воплей,

когда объявили, что для виндов, поставляемых в Россию, сделали

обрезание до 128 бит на ключ ?

Ведь достаточно купить железку+драйвер и шифруйся как хочешь.

Или проблемы какие могут быть с длинными ключами в Win32 API 4 Russia ?

Саныч

2 Саныч:

ну вот такие мы космополиты... да и "богатство России будет прирастать регионами" :)

не, обрезания не сделали - наоборот, до выхода Вин2К на экспорт шла поддержка SSL с ключем 56 бит... по ограничениям США на экспорт... теперь идет 128 бит SSL - типа США выдало лицензию на экспорт для МСа... борьба была чтобы Российские органы разрешили это продавать здесь - ибо низя... разрулили как-то...

в принципе в PKI ты можешь ключи делать большей длинны... я сертификаты центров делаю 2048 бит по жизни... :)

Карты собственно занимаются тем, что разгружают ЦП от обработки собственно шифрования/кодирования и дешифрации/разкодирования и пользуют их различные компоненты виндов через т.н. CryptoAPI... в него можно вставить любой алгоритм с любой длинной ключа... ранее было ограничение, что МС не мог поставлять СОБСТВЕННЫЕ Crypto Provider Service с длинной ключа более 56 бит... а третьи фирмы в разных странах решали эту проблему для локальных рынков... чем, кстати, и занимается Crypto Pro, т.к. если хочешь иметь шифрацию по Российским ГОСТам, то милости просим к ним - у них оно сертифицировано и любая контора, которая хочет соответствовать законам должна ими пользоваться... вон вроде Альты тоже постарались и отметились:
http://www.altlinux.ru/index.php?module=press&action=showfull&newsid=56

PTO, в общем читай что-нибудь про юникс, а потом про RSBAC. Мне некогда
тебе тут все пересказывать.
PS: Ну что там Dave говорит?
-Vlad

2РТО >т.к. если хочешь иметь шифрацию по Российским ГОСТам, то милости просим к ним - у них оно сертифицировано и любая контора, которая хочет соответствовать законам должна ими пользоваться... вон вроде Альты тоже постарались и отметились:

Ага, нужно идтить к дяде и рассказать про себя все.

А если я хочу использовать сильную крип. под вин анонимно ?

Без всяких дядей которые разрешают/запрещают это делать ?

Фриюнихи дают такую возможность, без участия третьих фирм.

Саныч

2 Vlad:

Дейв говорит, что мол так и должно быть - используйте EFS если не верите админу. Еще я нашел способ написать Storage Filter Driver, который может сие блокировать - но оно же "в коробке не лежит"... :)

Таки как мне управлять RSBACK централизованно.

Кстати, я тут нашел статейку одну, там как раз поднимались вопросы по устойчивости/взлому EFS в случае кражи нотебука... как раз NSA по этому поводу выступила. После того, как было уточнено, что мол пользователь доменный и recovery agent тоже доменный NSA _подтвердила_ что тут она бессильна.
http://nsa2.www.conxion.com/win2k/guides/w2k-7.pdf - тут рекомендации по использованию EFS

2 Саныч:
таки какие алгоритмы и с какой длина ключа поддерживают фрюнихи из коробки... без относительно экспорта/импорта?