forum.opennet.ru - "Загружаем linux с шифрованных ФС. Как далеко можно зайти?" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Загружаем linux с шифрованных ФС. Как далеко можно зайти?"

Форум Информационная безопасность (Linux привязка / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Загружаем linux с шифрованных ФС. Как далеко можно зайти?"	+/–
Сообщение от cauldron (ok) on 20-Июл-10, 20:34
Сначала сделал просто шифрованный /home при помощи LUKS. Быстро выяснилось, что надо и /etc держать в зашифрованном виде. Сейчас хочу сделать всю корневую ФС тоже через LUKS. Как я понимаю /boot придётся делать в обычном виде. В свизи с этим возникли вопросы: 1. Получится ли загружаться с GRUB, если все необходимые модули встроить в ядро? 2. Как при запуске в ядро передать, где у меня там /корень? 3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал) 4. можно ли загрузочный раздел, где находятся ядра, тоже зашифровать? Есть ли в GRUB(или других загрузчиках) такая возможность? Всякие там EncFS мне не подойдёт, основное буду держать в Reiser4 или Ext4.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Загружаем linux с шифрованных ФС. Как далеко можно зайти?, vehn, 20:52 , 20-Июл-10, (1)

Загружаем linux с шифрованных ФС. Как далеко можно зайти?, cauldron, 21:49 , 20-Июл-10, (2)

Загружаем linux с шифрованных ФС. Как далеко можно зайти?, vehn, 22:09 , 20-Июл-10, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Загружаем linux с шифрованных ФС. Как далеко можно зайти?" +/–

Сообщение от vehn (ok) on 20-Июл-10, 20:52

>1. Получится ли загружаться с GRUB, если все необходимые модули встроить в
>ядро?
да
>2. Как при запуске в ядро передать, где у меня там /корень?
root=
>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)
никаких, при наличии продуманной политики backup-ов
>4. можно ли загрузочный раздел, где находятся ядра, тоже зашифровать? Есть ли
>в GRUB(или других загрузчиках) такая возможность?
Нет, нельзя. Но как вариант, можно разместить ядро (лучше вместе с загрузчиком) на флешке (или на чём-нибудь подобном, с чего возможно загрузиться), после того, как система полностью загрузится флэшку можно (и нужно) удалить (ядро всегда располагается в памяти). Это методика применяется для противодействия компрометации "физического" образа ядра (тот образ, который лежит в /boot, а не в оперативной памяти).
p.s. ради интереса, погуглите ещё на тему pam_usb. Можно организовать полностью беспарольный (точнее, без ввода пароля, сам пароль разумеется существует, удобство в том, что его не нужно запоминать, а соответственно, возможны очень стойкие пароли) вход в систему при помощи одной лишь флэшки.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Загружаем linux с шифрованных ФС. Как далеко можно зайти?" +/–

Сообщение от cauldron (ok) on 20-Июл-10, 21:49

>>2. Как при запуске в ядро передать, где у меня там /корень?
>
>root=
там же сначала loop-device с шифромание создаётся, а потом ФС монтируется.
как это всё завернуть в root= ?
>>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)
>
>никаких, при наличии продуманной политики backup-ов
Планирую raid 5 или 6 через mdadm. Бэкапы первое время врятли будут, из-за ОЧЕНЬ больших объёмов инфы. Если только саму систему и её настройки отдельно бэкапить.
>p.s. ради интереса, погуглите ещё на тему pam_usb. Можно организовать полностью >беспарольный
>(точнее, без ввода пароля, сам пароль разумеется существует, удобство в том,
>что его не нужно запоминать, а соответственно, возможны очень стойкие пароли)
>вход в систему при помощи одной лишь флэшки.
Или двух,на всякий случай :-)
Хотя я обычно пароли символов по 14 делаю, но это уже не то, что было раньше :-) ломаются за две секунды.
Возможно ради безопасность USB придётся выпиливать, ну если что , буду пробовать через pam.

Спасибо!!!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Загружаем linux с шифрованных ФС. Как далеко можно зайти?" +/–

Сообщение от vehn (ok) on 20-Июл-10, 22:09

>>>2. Как при запуске в ядро передать, где у меня там /корень?
>>
>>root=
>
>там же сначала loop-device с шифромание создаётся, а потом ФС монтируется.
>как это всё завернуть в root= ?
Этой опцией вы говорите ядру на каком разделе (партиции) находится у вас корень, что не имеет никакого отношения к шифрованию. О шифровании будет уже беспокоиться ram-диск. Не думаю, что вам вообще нужно беспокоиться по данному вопросу. Подавляющее большинство дистрибутивов обрабатывают эту ситуацию автоматом при установке загузчика. Исключение: slackware и gentoo. Зато оба имеют исчерпывающую документацию относительно шифрования как полностью диска, так и отдельного раздела, к которой я рекомендую обратиться, дабы иметь понятие как вообще всё это работает.
>
>>>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)
>>
>>никаких, при наличии продуманной политики backup-ов
>
>Планирую raid 5 или 6 через mdadm. Бэкапы первое время врятли будут,
>из-за ОЧЕНЬ больших объёмов инфы. Если только саму систему и её
>настройки отдельно бэкапить.
>
Ну есть старая шутка о том, что пользователи делятся на две группы: первые -- ещё не делают бэкапов, вторые --_теперь_ делают.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Загружаем linux с шифрованных ФС. Как далеко можно зайти?"	+/–
Сообщение от vehn (ok) on 20-Июл-10, 20:52
>1. Получится ли загружаться с GRUB, если все необходимые модули встроить в >ядро? да >2. Как при запуске в ядро передать, где у меня там /корень? root= >3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал) никаких, при наличии продуманной политики backup-ов >4. можно ли загрузочный раздел, где находятся ядра, тоже зашифровать? Есть ли >в GRUB(или других загрузчиках) такая возможность? Нет, нельзя. Но как вариант, можно разместить ядро (лучше вместе с загрузчиком) на флешке (или на чём-нибудь подобном, с чего возможно загрузиться), после того, как система полностью загрузится флэшку можно (и нужно) удалить (ядро всегда располагается в памяти). Это методика применяется для противодействия компрометации "физического" образа ядра (тот образ, который лежит в /boot, а не в оперативной памяти). p.s. ради интереса, погуглите ещё на тему pam_usb. Можно организовать полностью беспарольный (точнее, без ввода пароля, сам пароль разумеется существует, удобство в том, что его не нужно запоминать, а соответственно, возможны очень стойкие пароли) вход в систему при помощи одной лишь флэшки.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Загружаем linux с шифрованных ФС. Как далеко можно зайти?"	+/–
	Сообщение от cauldron (ok) on 20-Июл-10, 21:49
	>>2. Как при запуске в ядро передать, где у меня там /корень? > >root= там же сначала loop-device с шифромание создаётся, а потом ФС монтируется. как это всё завернуть в root= ? >>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал) > >никаких, при наличии продуманной политики backup-ов Планирую raid 5 или 6 через mdadm. Бэкапы первое время врятли будут, из-за ОЧЕНЬ больших объёмов инфы. Если только саму систему и её настройки отдельно бэкапить. >p.s. ради интереса, погуглите ещё на тему pam_usb. Можно организовать полностью >беспарольный >(точнее, без ввода пароля, сам пароль разумеется существует, удобство в том, >что его не нужно запоминать, а соответственно, возможны очень стойкие пароли) >вход в систему при помощи одной лишь флэшки. Или двух,на всякий случай :-) Хотя я обычно пароли символов по 14 делаю, но это уже не то, что было раньше :-) ломаются за две секунды. Возможно ради безопасность USB придётся выпиливать, ну если что , буду пробовать через pam. Спасибо!!!
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Загружаем linux с шифрованных ФС. Как далеко можно зайти?"	+/–
	Сообщение от vehn (ok) on 20-Июл-10, 22:09
	>>>2. Как при запуске в ядро передать, где у меня там /корень? >> >>root= > >там же сначала loop-device с шифромание создаётся, а потом ФС монтируется. >как это всё завернуть в root= ? Этой опцией вы говорите ядру на каком разделе (партиции) находится у вас корень, что не имеет никакого отношения к шифрованию. О шифровании будет уже беспокоиться ram-диск. Не думаю, что вам вообще нужно беспокоиться по данному вопросу. Подавляющее большинство дистрибутивов обрабатывают эту ситуацию автоматом при установке загузчика. Исключение: slackware и gentoo. Зато оба имеют исчерпывающую документацию относительно шифрования как полностью диска, так и отдельного раздела, к которой я рекомендую обратиться, дабы иметь понятие как вообще всё это работает. > >>>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал) >> >>никаких, при наличии продуманной политики backup-ов > >Планирую raid 5 или 6 через mdadm. Бэкапы первое время врятли будут, >из-за ОЧЕНЬ больших объёмов инфы. Если только саму систему и её >настройки отдельно бэкапить. > Ну есть старая шутка о том, что пользователи делятся на две группы: первые -- ещё не делают бэкапов, вторые --_теперь_ делают.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору