URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 36615
[ Назад ]

Исходное сообщение
"Тематический каталог: Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)"

Отправлено auto_topic , 05-Фев-07 10:37 
Обсуждение статьи тематического каталога: Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)

Ссылка на текст статьи: http://www.opennet.me/base/sys/freebsd_geli_root.txt.html


Содержание

Сообщения в этом обсуждении
"Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)"
Отправлено freeseacher , 05-Фев-07 10:37 
от кого в таком случае мы шифруемся если для старта системы ничего ненадо, ни пароля ни ключа.
и каким образом предусмотрена защита, от того от кого собственно защищаемся ? конкретно что нельзя сдлать с такой системой?

"Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."
Отправлено www.andr.ru , 05-Фев-07 11:18 
если получить доступ к винту, то, смонтировав его с правами рута, можно всё с диска поиметь. для этого не надо даже сервак разбирать, достаточно кликнуть резет, загрузиться с USB-накопителя, быстро выполнить руткит, выдернуть USB и снова нажать резет.

эти операции легко может выполнить обслуживающий персонал с вашим сервером collocation. тут как раз и требуется старт системы без паролей и ключей, требуется защитить информацию, если вражина получил физический доступ к диску. система после старта достаточно защищена.

другое дело, что здесь имеют место те же недостатки, что и у систем DRM - ключ хранится вместе с шифрограммой, и если его раскопать, то информация будет прочитана.
  http://andr.ru/lib/cyber/articles/doctorow-drm.html

но опять же этого не сделать за несколько минут загрузившись с USB, надо тащить образ диска, а это гигабайты.

короче - нужная и ценная технология, и статья "для чайников" тоже вполне читабельна, ИМХО.


"Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."
Отправлено mezantrop , 05-Фев-07 11:35 
В данном случае, все партиции с данными находятся внутри зашифрованного слайса. Мминус, заключается в том, ядро выложено на отдельную незашифрованную партицию, и злоумышленник  может попробовать его подменить. Впрочем, если бы мы грузились только с флэшки, как на это намекает хэндбук, ядро на флэшке тоже можно было бы попробовать подменить.

"Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."
Отправлено DeadLoco , 25-Янв-08 09:25 
По хорошему, первым делом после старта кернела, с шифрованой партиции стартуется скрипт, который считает хэш кернела. И если хэш не совпадает с заданным... Ну, дальше по желанию.

"Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)"
Отправлено anonimus , 05-Фев-07 12:51 
to freeseacher
Гражданин с чиво вы решили что систему удастся загрузить просто так без паролей? даже если вы выставите жесткий диск в другой компутер и попытаетесь смонтировать разделы то у вас потребуют пароль :) от сюда выводы что с такой системой незная пароля или не имея ключа ничиво нельзя будет сделать:)

"Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."
Отправлено freeseacher , 05-Фев-07 13:00 
то есть в присутсвии человека знающего пароль такая система загрузится. а в его отстутсвие сервака не будет. очень приятно. тока как то... хотя цена информации бывает разной. иногда и админа не проблемма в 3 часа ночи поднять.
кстати в статье я так и не нашел момента что пароль все таки в водится. рассуждения о том что его будет видно нашел и о том что тормозить при вводе будет нашел. но по наивности понадеялся что его таки запихали в какой нить файл.

статья действительно не плохая. просто я сраза не понял для кого она ? для новичков ? так им лучше сразу привыкать к хорошему(читай флешке).


"Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)"
Отправлено mezantrop , 05-Фев-07 13:13 
Разные ситуации бывают... не обязательно так "защищать" сервер. Вполне можно и свой секретный ноутбук.

Если так делать с сервером, то админ, с паролем в конверте, должен находиться в непосредственной близости от сервера, либо флешка должна быть опять-же с админом недалеко от сервера (либо флешка прямо в порту, что - глупо). Т.е. совсем не факт, что "лучше сразу привыкать к хорошему(читай флешке)". Потому, как админу в любом случае придется просыпаться и тащиться черти-куда среди ночи. Кроме того, в случае с сервером, уверен, что баг с паролем скоро пофиксят, и проблем с засвечиванием тогда не будет.

P.S. Пароль будет спрошен в момент загрузки ядра, как только прогрузится geli и сразу перед монтированием корневой ФС (там картинка специально приложена).  


"Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."
Отправлено freeseacher , 05-Фев-07 13:18 
да, ноут это вариант.
а флешка может быть просто воткнута. а в случае чего вытащена и "случайно повреждена".

PS: вторую строчку на скриншоте я таки не заметил. прошу прощения. теперь все понятно.


"Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."
Отправлено mezantrop , 05-Фев-07 13:28 
Особенно обидно, когда это "случайно", происходит действительно случайно :)

"Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)"
Отправлено aZ , 05-Фев-07 18:51 
Недели две назад на своём ноуте сделал по ман гели примерно то, что в статье написано.

До этого пол года рут раздел был не зашифрован.


"Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)"
Отправлено Jay , 05-Фев-07 22:18 
А вот если сюда еще приделать "однопользовательский режим FreeBSD с доступом по SSH" (http://linux.opennet.ru/opennews/art.shtml?num=6512), то вводить пароль можно будет и из дома или удаленного офиса.

--
Jay


"Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."
Отправлено abigor , 06-Фев-07 08:25 
а что мысль. надо будет попробывать =)

"Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)"
Отправлено abigor , 06-Фев-07 08:25 
пробывал это где-то пол года, год назад, нужно было как раз защитить удаленный сервер от такого рода доступа. доверенный человек был, кому можно было сообщить пароль для загрузки. когда все вроде завелось все замечательно, но тогда ps/2 клава сразу отваливалась, а usb после ввода пароля. что мне и не позволило ввести в строй эту конструкцию. вот и вопрос, если использовать usb клаву она как, после ввода пароля остается в рабочем состоянии? или отваливается?

"Шифрование корневого раздела диска во FreeBSD (freebsd crypt..."
Отправлено mezantrop , 06-Фев-07 09:35 
У меня банг проявлялся в отваливании клавиатуры до ввода пароля; после удаления kbdmux, в том, что буквы пароля вводятяс с сильной задержкой, как-будто буфер клавиатуры то включается то отключается. Думаю, если включить эхо, то костыль срабатывает.

"Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)"
Отправлено neth , 12-Фев-07 03:31 
ммм. польза от шифрования / весьма и весьма эфемерна. что там шифровать? /bin/ls? я знаю, что мне сейчас возразят, но, обращаю ваше внимание, господа: нет абсолютно никакой разницы, что может подменить злонамеренный усер из числа персонала, обслуживающего колокейшн-площадку, /бин/лс или /бут/кернель/тот_же_гели.ко Или ещё_что_то.ко Или (оужос) /бут/кернель/кернель. Который потом грузиться будет. И пыссворд спрашивать.

геля вообще-то немного для других целей создавалась (я не спрашивал создателя, но это же очевидно). и для этих:) целей она откровенно рулит. лично я ей обязан несколькими годами жизни на свободе.


"Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)"
Отправлено neth , 12-Фев-07 03:37 
p.s. имнсхо, единственно верное решение - именно съёмный носитель (та же флешка). и носить его с собой. и злонамеренным усерам в руки не давать. и куда попало не совать. а в случае чего - съесть.

"Софт от пиратов и взлома как и чем лучше защитить?"
Отправлено Багси , 26-Мрт-07 15:28 
USB key под Freebsd как правило не имеют дров (типа Alladin, Guardant которые тоже ломают).
Надо чтоб сервер сам стартовал. Подразумеваем что нет доверенного персонала на месте, скорее наоборот.
Шифровать раздел, усб флэшка - это позволяет или склонировать или влезть в систему.

Как защитить коммерческий софт на сервере продаваемом клиенту?


"Софт от пиратов и взлома как и чем лучше защитить?"
Отправлено Анонимус_сибирякус , 23-Июл-11 20:57 
Присоединяюсь к вопросу.
Причем FreeBSD не обязательна, возможна любая ОС, которая позволит грузиться без пароля (на шифрованный раздел, пароль от системы клиенту никто не даст), но только на данном железе. Ну или на любом железе, но чтобы пароль вводить было не нужно (проверку клонирования можно вести через интернет - встроить в софт).

"Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)"
Отправлено Lion , 29-Апр-07 17:12 
есть ли способы шифрования уже существующего раздела с даными ?

"Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)"
Отправлено hishnik , 12-Сен-07 18:17 
предлагаю вместо последнего раздела использовать
hint.kbdmux.0.disabled="1"
в файле /boot/device.hints

кажись быстрее


"Шифрование корневого раздела диска во FreeBSD (freebsd crypt disk geom)"
Отправлено close , 18-Сен-07 19:07 
в loader.conf надо добавить:
vfs.root.mountfrom="ufs:ad0s2.elia"

чтобы ядро с покриптованного корневого раздела грузилось


"Шифрование корневого раздела диска во FreeBSD (freebsd crypt"
Отправлено этсново , 22-Мрт-09 02:47 
При geli init ... вылазит ошибка geli: cannot store metadata on /dev/ar0s2 input/output error, выяснил, что нормально этот процесс проходит только на первом слайсе, по этому сделал второй слайс загрузочным, хотя с геометрией второго мудрил довольно долго, думал чтото не так указал, а может и из-за райда.

"Шифрование корневого раздела диска во FreeBSD (freebsd crypt"
Отправлено этсново , 22-Мрт-09 15:06 
а проблемка была в том, что биос неправильно выдавал информацию о винте );