Обсуждение статьи тематического каталога: Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)Ссылка на текст статьи: http://www.opennet.me/base/sys/freebsd_geli_root.txt.html
от кого в таком случае мы шифруемся если для старта системы ничего ненадо, ни пароля ни ключа.
и каким образом предусмотрена защита, от того от кого собственно защищаемся ? конкретно что нельзя сдлать с такой системой?
если получить доступ к винту, то, смонтировав его с правами рута, можно всё с диска поиметь. для этого не надо даже сервак разбирать, достаточно кликнуть резет, загрузиться с USB-накопителя, быстро выполнить руткит, выдернуть USB и снова нажать резет.эти операции легко может выполнить обслуживающий персонал с вашим сервером collocation. тут как раз и требуется старт системы без паролей и ключей, требуется защитить информацию, если вражина получил физический доступ к диску. система после старта достаточно защищена.
другое дело, что здесь имеют место те же недостатки, что и у систем DRM - ключ хранится вместе с шифрограммой, и если его раскопать, то информация будет прочитана.
http://andr.ru/lib/cyber/articles/doctorow-drm.htmlно опять же этого не сделать за несколько минут загрузившись с USB, надо тащить образ диска, а это гигабайты.
короче - нужная и ценная технология, и статья "для чайников" тоже вполне читабельна, ИМХО.
В данном случае, все партиции с данными находятся внутри зашифрованного слайса. Мминус, заключается в том, ядро выложено на отдельную незашифрованную партицию, и злоумышленник может попробовать его подменить. Впрочем, если бы мы грузились только с флэшки, как на это намекает хэндбук, ядро на флэшке тоже можно было бы попробовать подменить.
По хорошему, первым делом после старта кернела, с шифрованой партиции стартуется скрипт, который считает хэш кернела. И если хэш не совпадает с заданным... Ну, дальше по желанию.
to freeseacher
Гражданин с чиво вы решили что систему удастся загрузить просто так без паролей? даже если вы выставите жесткий диск в другой компутер и попытаетесь смонтировать разделы то у вас потребуют пароль :) от сюда выводы что с такой системой незная пароля или не имея ключа ничиво нельзя будет сделать:)
то есть в присутсвии человека знающего пароль такая система загрузится. а в его отстутсвие сервака не будет. очень приятно. тока как то... хотя цена информации бывает разной. иногда и админа не проблемма в 3 часа ночи поднять.
кстати в статье я так и не нашел момента что пароль все таки в водится. рассуждения о том что его будет видно нашел и о том что тормозить при вводе будет нашел. но по наивности понадеялся что его таки запихали в какой нить файл.статья действительно не плохая. просто я сраза не понял для кого она ? для новичков ? так им лучше сразу привыкать к хорошему(читай флешке).
Разные ситуации бывают... не обязательно так "защищать" сервер. Вполне можно и свой секретный ноутбук.Если так делать с сервером, то админ, с паролем в конверте, должен находиться в непосредственной близости от сервера, либо флешка должна быть опять-же с админом недалеко от сервера (либо флешка прямо в порту, что - глупо). Т.е. совсем не факт, что "лучше сразу привыкать к хорошему(читай флешке)". Потому, как админу в любом случае придется просыпаться и тащиться черти-куда среди ночи. Кроме того, в случае с сервером, уверен, что баг с паролем скоро пофиксят, и проблем с засвечиванием тогда не будет.
P.S. Пароль будет спрошен в момент загрузки ядра, как только прогрузится geli и сразу перед монтированием корневой ФС (там картинка специально приложена).
да, ноут это вариант.
а флешка может быть просто воткнута. а в случае чего вытащена и "случайно повреждена".PS: вторую строчку на скриншоте я таки не заметил. прошу прощения. теперь все понятно.
Особенно обидно, когда это "случайно", происходит действительно случайно :)
Недели две назад на своём ноуте сделал по ман гели примерно то, что в статье написано.До этого пол года рут раздел был не зашифрован.
А вот если сюда еще приделать "однопользовательский режим FreeBSD с доступом по SSH" (http://linux.opennet.ru/opennews/art.shtml?num=6512), то вводить пароль можно будет и из дома или удаленного офиса.--
Jay
а что мысль. надо будет попробывать =)
пробывал это где-то пол года, год назад, нужно было как раз защитить удаленный сервер от такого рода доступа. доверенный человек был, кому можно было сообщить пароль для загрузки. когда все вроде завелось все замечательно, но тогда ps/2 клава сразу отваливалась, а usb после ввода пароля. что мне и не позволило ввести в строй эту конструкцию. вот и вопрос, если использовать usb клаву она как, после ввода пароля остается в рабочем состоянии? или отваливается?
У меня банг проявлялся в отваливании клавиатуры до ввода пароля; после удаления kbdmux, в том, что буквы пароля вводятяс с сильной задержкой, как-будто буфер клавиатуры то включается то отключается. Думаю, если включить эхо, то костыль срабатывает.
ммм. польза от шифрования / весьма и весьма эфемерна. что там шифровать? /bin/ls? я знаю, что мне сейчас возразят, но, обращаю ваше внимание, господа: нет абсолютно никакой разницы, что может подменить злонамеренный усер из числа персонала, обслуживающего колокейшн-площадку, /бин/лс или /бут/кернель/тот_же_гели.ко Или ещё_что_то.ко Или (оужос) /бут/кернель/кернель. Который потом грузиться будет. И пыссворд спрашивать.геля вообще-то немного для других целей создавалась (я не спрашивал создателя, но это же очевидно). и для этих:) целей она откровенно рулит. лично я ей обязан несколькими годами жизни на свободе.
p.s. имнсхо, единственно верное решение - именно съёмный носитель (та же флешка). и носить его с собой. и злонамеренным усерам в руки не давать. и куда попало не совать. а в случае чего - съесть.
USB key под Freebsd как правило не имеют дров (типа Alladin, Guardant которые тоже ломают).
Надо чтоб сервер сам стартовал. Подразумеваем что нет доверенного персонала на месте, скорее наоборот.
Шифровать раздел, усб флэшка - это позволяет или склонировать или влезть в систему.Как защитить коммерческий софт на сервере продаваемом клиенту?
Присоединяюсь к вопросу.
Причем FreeBSD не обязательна, возможна любая ОС, которая позволит грузиться без пароля (на шифрованный раздел, пароль от системы клиенту никто не даст), но только на данном железе. Ну или на любом железе, но чтобы пароль вводить было не нужно (проверку клонирования можно вести через интернет - встроить в софт).
есть ли способы шифрования уже существующего раздела с даными ?
предлагаю вместо последнего раздела использовать
hint.kbdmux.0.disabled="1"
в файле /boot/device.hintsкажись быстрее
в loader.conf надо добавить:
vfs.root.mountfrom="ufs:ad0s2.elia"чтобы ядро с покриптованного корневого раздела грузилось
При geli init ... вылазит ошибка geli: cannot store metadata on /dev/ar0s2 input/output error, выяснил, что нормально этот процесс проходит только на первом слайсе, по этому сделал второй слайс загрузочным, хотя с геометрией второго мудрил довольно долго, думал чтото не так указал, а может и из-за райда.
а проблемка была в том, что биос неправильно выдавал информацию о винте );