LINUX.ORG.RU

Продвинутый способ шифрования разделов в Linux


0

1

Интересная статья о том, как построить из своей системы крепость от нежданных гостей. Описывается способ имитации "нерабочего" винчестера после выключения системы, и использование USB Flash в качестве ключа к восстановлению работоспособности и загрузке системы.

>>> Читать статью

anonymous

Проверено: anonymous_incognito ()

мне кажется с удалением таблицы разделов автор перегибает палку )

alt0v14 ★★★
()

"нерабочего" все-таки слитно пишется.

anonymous
()

>Но симлинк лучше сделать с помощью LiveCD, предварительно удалив папку /tmp.

какой-то новый метод создания симлинка? :) или имеется ввиду загрузиться с livecd потом удалить /tmp? думаю это излишне, синглмод подойдет

alt0v14 ★★★
()
Ответ на: комментарий от Lockywolf

Это фигня.... вот если бы Lockywolf каменты на ЛОРе писало....

anonymous
()

мне кажется интересная статья, к тому же для меня очень в тему, как раз недавно одно дите микрософта поспорило со мной что сможет получить данные с моего линукс харда :)

anonymous
()
Ответ на: комментарий от Lockywolf

>Это фигня.... вот если бы линукс на шифрованный раздел поставить.... Ресурса не хватит, система будет очень медленно работать

Lok
()

Хорошая статья. Анонимусу благодарность.

anonymous
()
Ответ на: комментарий от Lok

>Ресурса не хватит, система будет очень медленно работать

А ты пробовал? На пне 1,2 ггц все нормально пашет...

По теме: не понятна сама суть затеи. То есть чем флешка в кармане лучше пароля? Недостатка у флешки 2: 1) ею может воспользоваться кто-угодно (у кого в руках она окажется) 2) ты сам ее можешь где-нибудь посеять (хотя ее содержимое и забэкапить можно).

Удаление разделов - ну, это защита от дурака, ибо если кто копаться будут, то откопают. Да и смысл в этом? Все равно же все зашифровано.

На фиг нужно это через loopback делать? Короче, автору рекомендуется посмотреть разок на luks и забить на такие извращения.

Вот как это делается на генте (но в целом идеи можно и на других дистрибутивах использовать):

http://gentoo-wiki.com/HOWTO_Setup_fully_crypted_Gentoo_on_EVMS http://gentoo-wiki.com/SECURITY_System_Encryption_DM-Crypt_with_LUKS http://gentoo-wiki.com/SECURITY_LVM_and_EVMS_over_cryptsetup-LUKS http://gentoo-wiki.com/SECURITY_Encrypting_Root_Filesystem_with_DM-Crypt_with...

Harliff ★★★★★
()

мля. ужоснах. Сто лет уже лежит crypto loop root fs howto в каждом дистре, везде, где только можно. С полным описанием, чего, как и зачем. Читал 2.5 года назад в ASP, сейчас тоже везде есть.

Нет идей новых?

anonymous
()

гм. у меня раздел где оракл стоит и внутренний сайт зашифрованны. но вообще, насколько я знаю особенности российского бизнеса, то спецслужбы сажают сразу (и на винтчестер даже не смотрят), а конкуренты просто приходят и вежливо просят назвать пароль. и ты им даже спасибо скажешь после того как они паяльник выключат.

vahvarh ★★★
()

Ничего интересного не нашёл. Мне больше нравится решение, реализованое в truecrypt - когда на свободном месте зашифрованного раздела может создаваться второй, зашифрованый с другим ключом. При этом узнать, что там вообще есть второй раздел, не зная второго пароля, нельзя. Делали специально с расчётом на возможное применение терморектальных методов - ценную информацию можно держать на втором разделе, а первый пароль можно спокойно сообщить.

slav ★★
()
Ответ на: комментарий от slav

паяльник обычно выключается ПОСЛЕ того как информация получена. =)

честно скажу, если кто-то придёт я прямо сразу все пароли скажу. ибо нафиг мне такое счастье.

vahvarh ★★★
()
Ответ на: комментарий от Harliff

>не понятна сама суть затеи. То есть чем флешка в кармане лучше пароля?

Порядка семи 50ти символьных паролей запомнить собрался а потом все семь вводить каждый раз с клавиатуры?

>Удаление разделов - ну, это защита от дурака, ибо если кто копаться будут, то откопают. Да и смысл в этом? Все равно же все зашифровано.

Кто будет копаться сделают проще, возьмут утюг с паяльником и откопают все. Есть подозрительные разделы, значит что-то не так, нет никаких разделов, значит все нормально :))
Если честно, то корень криптовать не пробовал из-за необходимости, но обязательно попробую.

Lok
()
Ответ на: комментарий от isden

>O_o ?

Буга, дружок не знает как расшифровыется RAM? )

anonymous
()
Ответ на: комментарий от anonymous

>И почему я не удивлен тому, что автор гентушник?

Генту обычно используют те кто активно пытается разобраться в линуксе, начинающие нередко. Но общий уровень комьюнити при этом весьма высок. Одно вики гентушное чего стоит

prizident ★★★★★
()
Ответ на: комментарий от vahvarh

>а конкуренты просто приходят и вежливо просят назвать пароль. и ты им даже спасибо скажешь после того как они паяльник выключат.

А ты ещё будешь ждать, когда они его включат? Это твой бизнес или у тебя конкретная доля его?:)

Led ★★★☆☆
()
Ответ на: комментарий от anonymous

хм
LUKS (Linux Unified Key Setup) - позволяет хранить параметры шифрования в заголовке зашифрованного раздела, что позволяет менять ключ без перестройки всех зашифрованных данных и поддерживать несколько разных ключей для доступа к зашифрованному разделу;

Да на..й такое щастье :))

Lok
()
Ответ на: комментарий от prizident

> Генту обычно используют те кто активно пытается разобраться в линуксе, начинающие нередко. Но общий уровень комьюнити при этом весьма высок. Одно вики гентушное чего стоит

тихо щас набегут убунтологи, которые пол года назад первый линукс убунту поставили и будут гнуть пальцы, типа они лучче гентушников все знают :))

anonymous
()
Ответ на: комментарий от anonymous

зато в убунте шифрование разделов из коробки

anonymous
()
Ответ на: комментарий от vahvarh

> паяльник обычно выключается ПОСЛЕ того как информация получена. =)

Упомянутая методика может сработать если желающий получить доступ к зашифрованной информации не знае точно, что там находится и есть ли там то, что его интересует. В этом случае, получив первый пароль и увидев там какую-нибудь коллекцию порнухи (к примеру), он может и не догадаться что там есть ещё что-то. Если же он знает точно, _что_ там должно быть, то тут уж ничего не поможет...

slav ★★
()
Ответ на: комментарий от Erik_der_Zweite

> ТЕРМОректального криптоанализа

Т.е., если просто трахать будут, без паяльника, то сдюжишь, не выложишь парполи? ;-)

atrus ★★★★★
()
Ответ на: комментарий от atrus

мля ппц ... это лор.

начали за шифрование диска, закончили какими-то нездоровыми фантазиями

anonymous
()
Ответ на: комментарий от anonymous

стопудово кругом одни пи%%%%...
и откуда у вас такие фантазии беруццо про паяльнег ?
я конешно подозревал шо красноглазые все как один ахтунги, но млин, ненада обошлять серьезный ресурс, для этого есть другие сайты...
--------
... ну придумайте что то новое...

LocDog
()
Ответ на: комментарий от vahvarh

>честно скажу, если кто-то придёт я прямо сразу все пароли скажу. ибо нафиг мне такое счастье.

Это правильно фильмы про советских разведчиков где они погибают но тайны фашистам не выдают это сказки... как говорил мой комбат если ты как разведчик попадаешь в плен то надо сразу выкладывать все что знаешь, тогда сразу пристрелят и пытать не будут... а так начнеться напильники по зубам и.т.п. всеравно все расскажешь и потом пристрелят..

branicki
()
Ответ на: комментарий от anonymous

>А как без применения пыток враги узнают, что ты им всё рассказал без утайки?

вот вот. так что лучше буду админствовать :)

Muromec ☆☆
()
Ответ на: комментарий от anonymous

а вот возможно ли сделать чтобы введении специального ложного пароля криптораздел как-нибудь изощренно портился чтобы больше нельзя было никаким методом его расшифровать? Тут уже все придется до конца терпеть паяльник - ничего не сделать ))) Я лично за стеганографию.

anonymous
()
Ответ на: комментарий от Lok

>>Это фигня.... вот если бы линукс на шифрованный раздел поставить....

>Ресурса не хватит, система будет очень медленно работать

учим матчасть! с какого фига система будет всё время что-то читать с рут-раздела?

софт запускаться - да будет медленнее. я какое-то время использовал такую конфигурацию, но потом обострение прошло :)

Muromec ☆☆
()
Ответ на: комментарий от vahvarh

>паяльник обычно выключается ПОСЛЕ того как информация получена. =) >честно скажу, если кто-то придёт я прямо сразу все пароли скажу. ибо нафиг мне такое счастье.

Для этого и нужна флешка - паяльник не поможет, флеха далеко и надёжно спрятана +))) и ни каких паролей.

vtVitus ★★★★★
()
Ответ на: комментарий от vtVitus

> Для этого и нужна флешка - паяльник не поможет, флеха далеко и надёжно спрятана +))) и ни каких паролей.

Молодой человек, если бы вы поработали в конторе где есть насущная потребность в технологиях скрытия данных, вы бы понимали насколько ПЛОХОЙ совет вы предложили. Вот поставь себя на место конкурента, представь, неужели если ты придёшь к сисадмину с паяльником и прочими инструментами а он скажет "ой, а все данные на флешке а она дааааалеко" то ты просто пожмёшь ему руку и уйдёшь?

Тут будет два варианта... Либо админа помучают и пристрелят (если конкуренты поглупее) либо например убьют на глазах админа его жену а дочку/сына скажут что убьют если в течение суток ты не принесёшь РАСШИФРОВАННЫЕ данные сам на DVD-дисках.

Эх блин, кровавые деньги как-то делают меня циничным и пессимистичным...

vahvarh ★★★
()
Ответ на: комментарий от vahvarh

> а конкуренты просто приходят и вежливо просят назвать пароль. и ты им даже спасибо скажешь после того как они паяльник выключат.

Мне просто интересно, когда тебе последний раз выключали паяльник?

Sano
()

п***ц

зашел почитать кто как шифрование пользует, а тут такое ....

фильм "пила" просто отдыхает

nu11 ★★★★★
()
Ответ на: комментарий от AiFiLTr0

> Киллер шоле?

Нет, просто люди из ЮКОСа организовали новую фирму. а я в ней программером работаю. Деньги их а разделы шифруем я и системный администратор. И мы с ним сразу договорились что все пароли расскажем если потребуется. Ибо за то чтобы бодаться с ФСБ нам деньги не платят.

vahvarh ★★★
()

Пользую LUKS, доволен.

P.S. Комментарии в духе лора.

schakal
()
Ответ на: комментарий от vahvarh

>vahvarh Просто в нормальных конторах работать нужно, и жопа от паяльника болеть не будет :-\

calculator
()
Ответ на: комментарий от vahvarh

Вам надо больше гулять и меньше смотреть телевизор с "криминальной россией" и т.п. "кровавые" постановки.

vtVitus ★★★★★
()
Ответ на: комментарий от vahvarh

>> либо например убьют на глазах админа его жену

> Вам надо больше гулять и меньше смотреть телевизор с "криминальной россией" и т.п. "кровавые" постановки.

+1! Обсмотрелись боевиков.

szh ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.