Как заставить работать grub 2+криптованная файловая система с ОС+токен?

0

1

Необходимо заставить работать grub и токен таким образом, чтобы перед загрузкой ОС необходимо было ввести логин, пароль и, при включении токена в usb порт, ОС должна продолжить загружаться.

Подкиньте пожалуйста литературу, где можно почитать, как это можно осуществить. Можно на английском. Спасибо.

Ссылка

←	Крадут пароль от сервера баз данных

OpenVPN и шифрование

→

Именно grub? Может, все-таки посмотришь в сторону dm-crypt?

leave ★★★★★
(12.06.13 23:41:19 MSK)

в галерее как-то был скрин с тем, что Вам нужно

smilessss ★★★★★
(12.06.13 23:50:24 MSK)

Ссылка

Ответ на: комментарий от leave 12.06.13 23:41:19 MSK

да, необходим именно граб

egortmb
(12.06.13 23:57:12 MSK) автор топика

Ответ на: комментарий от egortmb 12.06.13 23:57:12 MSK

первый ответ был намёком

~~mos~~ ★★☆☆☆
(13.06.13 00:07:09 MSK)

Ответ на: комментарий от mos 13.06.13 00:07:09 MSK

нужен именно граб, чтобы все это дело выполнялось не в ос, а перед ее загрузкой

egortmb
(13.06.13 00:10:33 MSK) автор топика

Ну, для начала надо позвонить изготовителям токена и запросить спецификацию протокола. Потом сесть и напедалить соответствующее дерьмо для граба. Как-то так

vasily_pupkin ★★★★★
(13.06.13 00:22:45 MSK)

Ответ на: комментарий от egortmb 13.06.13 00:10:33 MSK

чтобы что-то «выполнялось не в ос, а перед ее загрузкой», используют не граб. для этого используют initrd. граб ничего такого не умеет и не должен. можешь использовать любой загрузчик, осиливающий загрузку ведра и соотв. рамдиска. вот там-то всё и будет делаться.

~~mos~~ ★★☆☆☆
(13.06.13 00:23:10 MSK)

Ответ на: комментарий от vasily_pupkin 13.06.13 00:22:45 MSK

позвонить изготовителям токена и запросить спецификацию протокола

они её насвистят в трубку... на частоте 9600.

~~mos~~ ★★☆☆☆
(13.06.13 00:25:09 MSK)

Ссылка

Ответ на: комментарий от mos 13.06.13 00:23:10 MSK

спасибо, т.е. все вышеперечисленное осуществляется с помощью initrd? можно ли обойтись средствами только initrd для этого?

egortmb
(13.06.13 00:58:46 MSK) автор топика

Ответ на: комментарий от egortmb 13.06.13 00:58:46 MSK

тебе лучше в гугл. с такими познаниями в предполагаемом деле. «dm-crypt token»

~~mos~~ ★★☆☆☆
(13.06.13 01:16:20 MSK)

Ссылка

Вряд ли токен возможно использовать не то что в грабе, а даже на ранних этапах загрузки ядра. Производители, как правило, предоставляют библиотеку с интерфейсом PKCS#11, которая, с другой стороны использует интерфейс PCSC, который до запуска демона pcscd мягко говоря, бесполезен.

segfault ★★★★★
(13.06.13 10:05:31 MSK)

Ссылка

К сожалению, так и не понял, как это можно осуществить. Гуглил dm-crypt token, результат не получил. :(

egortmb
(13.06.13 22:44:15 MSK) автор топика

Ссылка

Замок Соболь(?) от ИнформЗащиты

anonymous
(14.06.13 05:55:57 MSK)

Ответ на: комментарий от anonymous 14.06.13 05:55:57 MSK

главное потом корпус заварить не забыть...

Linuxman ★
(14.06.13 06:13:02 MSK)

Ссылка

Все еще в поисках решения.. Поделитесь идеями пожалуйста) Пытался рыть в сторону dm-crypt, безуспешно.. Можно даже литературу на английском.

egortmb
(15.06.13 21:11:34 MSK) автор топика

Ответ на: комментарий от egortmb 15.06.13 21:11:34 MSK

Самосборное ведро + initramfs + скрипты + kexec. GRUB нинужен.

anonymous
(16.06.13 17:41:47 MSK)

Ссылка

Ответ на: комментарий от egortmb 15.06.13 21:11:34 MSK

Может это поможет: http://wejn.org/how-to-make-passwordless-cryptsetup.html

ziemin ★★
(16.06.13 17:53:55 MSK)

Ссылка

Если в компьютере есть tpm, то посмотрите в сторону trusted grub. Это, конечно, немного не то, но, например, вы можете зашифровать вашу rootfs с регистрами tpm, а при изменении menu.lst, ядра или initrd, или даже mbr и самого grub, rootfs просто не распакуется.

ValdikSS ★★★★★
(16.06.13 18:50:11 MSK)