LINUX.ORG.RU
ФорумSecurity

Шифрование директории


0

1

Всем доброго времени суток.

Попробую изложить проблему.

Есть одноплатный компьютер (на базе ARM) на котором должен жить apache. Исходя из требований, было решено КФС засунуть на внешнюю SD-карту, так как объем флеш-памяти самой машины крайне мал (от 8 до 64 Мб). Естественно, на сервере будут храниться и все выполняемые на нем скрипты.

Задача - как-то зашифровать корневую папку апача, чтобы пользователь не смог получить доступ к этим скриптам, даже вынув SD-карту.

В интернете натыкался только на всякие решения «для себя». Типа ввел пароль - примонтировался раздел. Но в данном случае это не выход. Все должно автоматически подгружаться и работать при старте системы.

Не подскажите, в какую сторону копать? Желательно что-нибудь попроще, т.к. опыта в этом деле нет, да и сверхсложная защита, думаю, не нужна...

★★
[ссзб][интересно][хз][хочу странного]Хочу заблокировать все ip адреса гугла
Настройка smb.conf, директории для гостей и требующие авторизации

даже вынув SD-карту

Залей клеем и впаяй чип. Ибо если кто-то настолько захочет выдрать скрипты, что займётся выпаиванием, то его не остановит шифрованный раздел, ведь ключ должен быть на том же устройстве.

i-rinat ★★★★★
()
Ответ на: комментарий от i-rinat

Ну это не вариант, сами понимаете.

Впаять чип было бы неплохо, но нет возможности...

А вообще, я не говорю, что кто-то прям сильно захочет выдрать скрипты. Скорее, это просто защита от дурака...

solovey ★★
() автор топика
Ответ на: комментарий от i-rinat

что займётся выпаиванием

Почему вынимание sd-карты сравнивается с выпаиванием, любите крайние варианты?

anonymous
()

8 до 64 Мб

Ядро + ключ туда, остальное на SD. Если конечно пользователь дуб и не сможет забутать и перепрошить ваш девайс, и TPM на девайсе нет

vasily_pupkin ★★★★★
()
Ответ на: комментарий от vasily_pupkin

А можно поподробнее?

Ядро и так во внутренней флеш-памяти сидит. И что такое ТРМ, простите за глупый вопрос?

solovey ★★
() автор топика

Ну комрад, если тебя устроит это, cryptsetup автомонитрование криптованной системы по ключю пали что нашел, и сверху acl налепить. Упрут SD - х№й им во всю рожу без ключа, пользователь по аклу не достучиться...ну рут - есть рут =) А vasily_pupkin вариант=KISS, что оч хорошо!

Spuddy
()
Ответ на: комментарий от Spuddy

Ознакомился. Действительно, может быть полезно. Возьму на заметку.

Спасибо!

solovey ★★
() автор топика
Ответ на: комментарий от i-rinat

Ну значит я плохо знаю свою платформу =)

Надо будет разобраться, что это за зверь и с чем его едят...

solovey ★★
() автор топика
Ответ на: комментарий от Spuddy

По ходу, вопрос снят... На emdebian в репозиториях нет cryptsetup

solovey ★★
() автор топика

Все должно автоматически подгружаться и работать при старте системы.

Ага, а злоумышленник в это время имеет доступ к железу? Тогда нужно начинать с ТЗИ, а именно сделать так, чтоб скрипты обрабатывались не покидая некой SHM-ки, а еще лучше - цельной микрухи, защищенной от атак по побочным каналам и вскрытию. Подобный подход реализован в HDCP, но это серийное производство, а под заказ такое будет стоить сумасшедшие деньги.

segfault ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
[ссзб][интересно][хз][хочу странного]Хочу заблокировать все ip адреса гугла
Security
Настройка smb.conf, директории для гостей и требующие авторизации