The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Тематический каталог: Шифрование корневого раздела диска во ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Тематический каталог: Шифрование корневого раздела диска во ..."  +/
Сообщение от auto_topic (??) on 05-Фев-07, 10:37 
Обсуждение статьи тематического каталога: Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)

Ссылка на текст статьи: http://www.opennet.dev/base/sys/freebsd_geli_root.txt.html

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от freeseacher email(??) on 05-Фев-07, 10:37 
от кого в таком случае мы шифруемся если для старта системы ничего ненадо, ни пароля ни ключа.
и каким образом предусмотрена защита, от того от кого собственно защищаемся ? конкретно что нельзя сдлать с такой системой?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от www.andr.ru email on 05-Фев-07, 11:18 
если получить доступ к винту, то, смонтировав его с правами рута, можно всё с диска поиметь. для этого не надо даже сервак разбирать, достаточно кликнуть резет, загрузиться с USB-накопителя, быстро выполнить руткит, выдернуть USB и снова нажать резет.

эти операции легко может выполнить обслуживающий персонал с вашим сервером collocation. тут как раз и требуется старт системы без паролей и ключей, требуется защитить информацию, если вражина получил физический доступ к диску. система после старта достаточно защищена.

другое дело, что здесь имеют место те же недостатки, что и у систем DRM - ключ хранится вместе с шифрограммой, и если его раскопать, то информация будет прочитана.
  http://andr.ru/lib/cyber/articles/doctorow-drm.html

но опять же этого не сделать за несколько минут загрузившись с USB, надо тащить образ диска, а это гигабайты.

короче - нужная и ценная технология, и статья "для чайников" тоже вполне читабельна, ИМХО.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от mezantrop (??) on 05-Фев-07, 11:35 
В данном случае, все партиции с данными находятся внутри зашифрованного слайса. Мминус, заключается в том, ядро выложено на отдельную незашифрованную партицию, и злоумышленник  может попробовать его подменить. Впрочем, если бы мы грузились только с флэшки, как на это намекает хэндбук, ядро на флэшке тоже можно было бы попробовать подменить.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от anonimus on 05-Фев-07, 12:51 
to freeseacher
Гражданин с чиво вы решили что систему удастся загрузить просто так без паролей? даже если вы выставите жесткий диск в другой компутер и попытаетесь смонтировать разделы то у вас потребуют пароль :) от сюда выводы что с такой системой незная пароля или не имея ключа ничиво нельзя будет сделать:)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от freeseacher email(??) on 05-Фев-07, 13:00 
то есть в присутсвии человека знающего пароль такая система загрузится. а в его отстутсвие сервака не будет. очень приятно. тока как то... хотя цена информации бывает разной. иногда и админа не проблемма в 3 часа ночи поднять.
кстати в статье я так и не нашел момента что пароль все таки в водится. рассуждения о том что его будет видно нашел и о том что тормозить при вводе будет нашел. но по наивности понадеялся что его таки запихали в какой нить файл.

статья действительно не плохая. просто я сраза не понял для кого она ? для новичков ? так им лучше сразу привыкать к хорошему(читай флешке).

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от mezantrop (??) on 05-Фев-07, 13:13 
Разные ситуации бывают... не обязательно так "защищать" сервер. Вполне можно и свой секретный ноутбук.

Если так делать с сервером, то админ, с паролем в конверте, должен находиться в непосредственной близости от сервера, либо флешка должна быть опять-же с админом недалеко от сервера (либо флешка прямо в порту, что - глупо). Т.е. совсем не факт, что "лучше сразу привыкать к хорошему(читай флешке)". Потому, как админу в любом случае придется просыпаться и тащиться черти-куда среди ночи. Кроме того, в случае с сервером, уверен, что баг с паролем скоро пофиксят, и проблем с засвечиванием тогда не будет.

P.S. Пароль будет спрошен в момент загрузки ядра, как только прогрузится geli и сразу перед монтированием корневой ФС (там картинка специально приложена).  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от freeseacher email(??) on 05-Фев-07, 13:18 
да, ноут это вариант.
а флешка может быть просто воткнута. а в случае чего вытащена и "случайно повреждена".

PS: вторую строчку на скриншоте я таки не заметил. прошу прощения. теперь все понятно.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от mezantrop (??) on 05-Фев-07, 13:28 
Особенно обидно, когда это "случайно", происходит действительно случайно :)
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от aZ on 05-Фев-07, 18:51 
Недели две назад на своём ноуте сделал по ман гели примерно то, что в статье написано.

До этого пол года рут раздел был не зашифрован.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от Jay (??) on 05-Фев-07, 22:18 
А вот если сюда еще приделать "однопользовательский режим FreeBSD с доступом по SSH" (http://linux.opennet.ru/opennews/art.shtml?num=6512), то вводить пароль можно будет и из дома или удаленного офиса.

--
Jay

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от abigor email on 06-Фев-07, 08:25 
пробывал это где-то пол года, год назад, нужно было как раз защитить удаленный сервер от такого рода доступа. доверенный человек был, кому можно было сообщить пароль для загрузки. когда все вроде завелось все замечательно, но тогда ps/2 клава сразу отваливалась, а usb после ввода пароля. что мне и не позволило ввести в строй эту конструкцию. вот и вопрос, если использовать usb клаву она как, после ввода пароля остается в рабочем состоянии? или отваливается?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от abigor email on 06-Фев-07, 08:25 
а что мысль. надо будет попробывать =)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от mezantrop (??) on 06-Фев-07, 09:35 
У меня банг проявлялся в отваливании клавиатуры до ввода пароля; после удаления kbdmux, в том, что буквы пароля вводятяс с сильной задержкой, как-будто буфер клавиатуры то включается то отключается. Думаю, если включить эхо, то костыль срабатывает.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от neth on 12-Фев-07, 03:31 
ммм. польза от шифрования / весьма и весьма эфемерна. что там шифровать? /bin/ls? я знаю, что мне сейчас возразят, но, обращаю ваше внимание, господа: нет абсолютно никакой разницы, что может подменить злонамеренный усер из числа персонала, обслуживающего колокейшн-площадку, /бин/лс или /бут/кернель/тот_же_гели.ко Или ещё_что_то.ко Или (оужос) /бут/кернель/кернель. Который потом грузиться будет. И пыссворд спрашивать.

геля вообще-то немного для других целей создавалась (я не спрашивал создателя, но это же очевидно). и для этих:) целей она откровенно рулит. лично я ей обязан несколькими годами жизни на свободе.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от neth on 12-Фев-07, 03:37 
p.s. имнсхо, единственно верное решение - именно съёмный носитель (та же флешка). и носить его с собой. и злонамеренным усерам в руки не давать. и куда попало не совать. а в случае чего - съесть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Софт от пиратов и взлома как и чем лучше защитить?"  +/
Сообщение от Багси email on 26-Мрт-07, 15:28 
USB key под Freebsd как правило не имеют дров (типа Alladin, Guardant которые тоже ломают).
Надо чтоб сервер сам стартовал. Подразумеваем что нет доверенного персонала на месте, скорее наоборот.
Шифровать раздел, усб флэшка - это позволяет или склонировать или влезть в систему.

Как защитить коммерческий софт на сервере продаваемом клиенту?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от Lion email(??) on 29-Апр-07, 17:12 
есть ли способы шифрования уже существующего раздела с даными ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от hishnik (??) on 12-Сен-07, 18:17 
предлагаю вместо последнего раздела использовать
hint.kbdmux.0.disabled="1"
в файле /boot/device.hints

кажись быстрее

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от close email on 18-Сен-07, 19:07 
в loader.conf надо добавить:
vfs.root.mountfrom="ufs:ad0s2.elia"

чтобы ядро с покриптованного корневого раздела грузилось

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."  +/
Сообщение от DeadLoco (??) on 25-Янв-08, 09:25 
По хорошему, первым делом после старта кернела, с шифрованой партиции стартуется скрипт, который считает хэш кернела. И если хэш не совпадает с заданным... Ну, дальше по желанию.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

21. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt"  +/
Сообщение от этсново on 22-Мрт-09, 02:47 
При geli init ... вылазит ошибка geli: cannot store metadata on /dev/ar0s2 input/output error, выяснил, что нормально этот процесс проходит только на первом слайсе, по этому сделал второй слайс загрузочным, хотя с геометрией второго мудрил довольно долго, думал чтото не так указал, а может и из-за райда.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Шифрование корневого раздела диска во FreeBSD (freebsd crypt"  +/
Сообщение от этсново on 22-Мрт-09, 15:06 
а проблемка была в том, что биос неправильно выдавал информацию о винте );
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Софт от пиратов и взлома как и чем лучше защитить?"  +/
Сообщение от Анонимус_сибирякус on 23-Июл-11, 20:57 
Присоединяюсь к вопросу.
Причем FreeBSD не обязательна, возможна любая ОС, которая позволит грузиться без пароля (на шифрованный раздел, пароль от системы клиенту никто не даст), но только на данном железе. Ну или на любом железе, но чтобы пароль вводить было не нужно (проверку клонирования можно вести через интернет - встроить в софт).
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру