http://home.eunet.no/pnordahl/ntpasswd/

Под Linux такое не прокатило бы, да?

Погугли на тему rainbow tables. А также загляни на http://ophcrack.sourceforge.net/

> Под Linux такое не прокатило бы, да?

Технически реализуемо, но ниразу не надобилось.

> Под Linux такое не прокатило бы, да?

Если диск зашифровать - не прокатило бы. Была ссылка на статью, описывающую как это сделать. Но в Linux никогда и не пытались штатно ограничить доступ к системе для того, кто к ней имеет физический доступ.

> Если диск зашифровать - не прокатило бы.

Если диск в винде зашифровать - под виндой это проканает?

Под вендой тоже можно зашифровать.

> в Linux никогда и не пытались штатно ограничить доступ к системе для того, кто к ней имеет физический доступ.

Тоже враньё. Шифрование дисков, на которое ты сам же сослался, применяется только для того, что бы "ограничить доступ к системе для того, кто к ней имеет физический доступ".

> Под вендой тоже можно зашифровать.

Сейчас нас обвинят в том, что Микрософт платит нам за разоблачение лживой пропаганды красноглазых фанатиков.

> http://ophcrack.sourceforge.net/

Спасибо, может когда и пригодится :) Но сейчас не было цели влезть незаметно для админа.

> Тоже враньё. Шифрование дисков, на которое ты сам же сослался, применяется только для того

Читаем внимательнее, я сказал "штатно". А вот в винде, если не ошибаюсь, шифрование дисков - полумера, каталог с самой системой не шифруется.

Виновен!

> Под Linux такое не прокатило бы, да?

Я не видел в книгах про линукс высказываний, что он неприступен если есть физический доступ :)

>Если диск в винде зашифровать - под виндой это проканает?

В винде не шифруется системные компоненты (windows/*), так что buildin админа получить можно. С криптованными данными пользователя сложнее, если потерял пароль - пиши пропало. А вот злоумышленнику прощще - wbscript в shell для изятия расшифрованного закрытого ключа - и имей юзера во всех позициях как хочешь.

В Linux хоть бутлоадер с ключем на флешку можно записать...

> Я не видел в книгах про линукс высказываний, что он неприступен если есть физический доступ :)

Вообще-то такое можно сделать, если всё зашифровать. Тогда загрузчик после ввода пароля дешифрует раздел с /boot /bin и /etc (или их частью) затем грузится linux в минимальном варианте и после ввода логина/пароля монтируется и дешифруется на лету остальная часть системы и пользовательские данные, запускаются незапущенные сервисы. Вроде примерно так было описано в одной из статей.

для ноутбуков шифрование диска из э маст

> С криптованными данными пользователя сложнее, если потерял пароль - пиши пропало.

Не буду особо врать :) но мне смутно припоминается, что я читал что как-то шифрование EFS вскрывается или вскрывалось. Во всяком случае, в наличие запасного ключа верится больше, чем в его отсутствие.

> для ноутбуков шифрование диска из э маст

За всё надо платить. Шифрование - это потеря скорости работы.

> загрузчик после ввода пароля дешифрует раздел с /boot /bin и /etc (или их частью) затем грузится linux в минимальном варианте

А если вместо этого шифровать initrd, а дальше так же?

Кстати в тему про винды: http://freed0m.org/?index=dcrypt

шифрование *диска*? аааа! инопланетянцы узнают содержание моего .zshrc!! казахи в ужасе вздрогнули.

>А если вместо этого шифровать initrd, а дальше так же?

Зачем такие сложности?

Достаточно выдернуть флеху с boot и все

Без отключения питания / перезагрузки линух не поиметь - факт (если пароль рута не 123)

> А если вместо этого шифровать initrd, а дальше так же?

а ядро откуда будетгрузиться и логон? Хотя для этого /bin и /etc в принципе не обязательно дешифровывать, но вот /etc/shadow тоже нужно.

>Вообще-то такое можно сделать, если всё зашифровать. Тогда загрузчик после ввода пароля дешифрует раздел с /boot /bin и /etc (или их частью) затем грузится linux в минимальном варианте и после ввода логина/пароля монтируется и дешифруется на лету остальная часть системы и пользовательские данные, запускаются незапущенные сервисы. Вроде примерно так было описано в одной из статей.

При наличии физического доступа меняем нужным образом тот код, который выполняет расшифровку при вводе пароля, так, чтобы он при следующем включении введённый пароль записал куда следует для дальнейшего использования.

> При наличии физического доступа меняем нужным образом тот код, который выполняет расшифровку при вводе пароля, так, чтобы он при следующем включении введённый пароль записал куда следует для дальнейшего использования.

Загружаемся с флешки тогда.

>Загружаемся с флешки тогда.

В биосе меняем порядок загрузки, ставим на хард загрузчик, который копирует оригинальный загрузчик с флешки, патчит код, который принимает пароль, и загружает изменённый загрузчик.

Что то вы замудрили... зачем шифровать весь винт? Я зашифровал только user home с помощью encfs + libpam. Вводишь линуксовый пароль монтируется расшифрованная папка пользователя... очень удобно :)

> В биосе меняем порядок загрузки,

Ставим пароль на биос. Не очень надёжно, но сейчас паролей типа AWARD_SW нет или они неизвестны так широко :)

> ставим на хард загрузчик, который копирует оригинальный загрузчик с флешки

Если диск _целиком_ зашифрован, даже таблицы разделов, это будет несколько затруднительно сделать. То есть воткнуть в MBR левый загрузчик может оказаться нетривиальной задачей, банально из-за отсутствия места для хранения оригинального MBR, да и загрузчик с флешки некуда копировать. Хотя можно попробовать наудачу откусить откуда-нибудь кусок с конца или середины. Всё равно, делать проверку контрольной суммы для диска несколько накладно.

Можно и биос пропатчить с интересным эффектом. И спецплаты вставить. В общем, соперничество брони и снаряда.

Но для защиты от обычных крякеров достачно шифрования + загрузки с флешки, плюс пароль на биос. Если этого мало или информация в компьютере настолько важная, тут уже надо применять другие решения как технические, так и организационные.

> зачем шифровать весь винт?

Чтобы руткита какого никто не подсунул в отсутствие хозяина.

симметричное шифрование работает очень быстро, любой современный проц может шифровать несколько гигабайт в секунду (только шин памяти таких в десктопах не бывает)

Поздравляю, сынок, ты только что невосстановимо убил большую часть локальной инфы о секьюрити и крепко подставился.

>Поздравляю, сынок, ты только что невосстановимо убил большую часть локальной инфы о секьюрити и крепко подставился.

это кому реплика была?

> Читаем внимательнее, я сказал "штатно". А вот в винде, если не ошибаюсь, шифрование дисков - полумера, каталог с самой системой не шифруется.

Штатно нигде не шифруется, опционально только.

По поводу винды надо спросить лоровских вендузятнеков, если ещё всех не перебанили - я тоже не помню - можно ли зашифровать весь диск под системой или нет, а попробовать не на чем. Хотя здравый смысл мне подсказывает, что винда не будет спрашивать дополнительный Н-байтный пароль на расшифрование драйва до логина пользователя в систему, а значит все credentials должны лежать на диске доступными для НТ-лоадера.

>Ставим пароль на биос. Не очень надёжно, но сейчас паролей типа AWARD_SW нет или они неизвестны так широко :)

А можно пароль и сбросить. :)

>Хотя можно попробовать наудачу откусить откуда-нибудь кусок с конца или середины. Всё равно, делать проверку контрольной суммы для диска несколько накладно.

Вот-вот.

>Можно и биос пропатчить с интересным эффектом. И спецплаты вставить. В общем, соперничество брони и снаряда.

Или просто засунуть в клаву или в порт для неё кейлоггер. :)

>Если этого мало или информация в компьютере настолько важная, тут уже надо применять другие решения как технические, так и организационные.

Даже если на компе важных данных нет, но с него подключаются к важным данным другого компьютера (аккаунт в интернет-банке, сервер или ещё что-то). Кстати, один из вариантов - круглые сутки носить с собой ноутбук или PDA, не упуская его из вида ни на минуту, даже ночью. :)

>Кстати, один из вариантов - круглые сутки носить с собой ноутбук или PDA, не упуская его из вида ни на минуту, даже ночью. :)

Но и тут нет никакой гарантии, что продавец/производитель не встроил туда троянец с радиопередатчиком, который включается только в час X для передачи данных. :)

> Поздравляю, сынок, ты только что невосстановимо убил большую часть локальной инфы о секьюрити и крепко подставился.

Ты это о чём?

//olegd с чужой машины

>Ставим пароль на биос

http://www.linux.org.ru/view-message.jsp?msgid=2237130#2237610

> загляни на http://ophcrack.sourceforge.net/

Уже пригодилось :) Ещё раз спасибо.