В статье (http://forum.antichat.ru/thread51519.html) рассказано о шифровании дисковых разделов в Linux, с необходимостью предварительной загрузки с USB Flash карты.
На Flash хранятся не ключи к зашифрованной информации, но и загрузчик, восстанавливающий таблицу дисковых разделов, которая каждый раз удаляется после завершения работы с системой.URL: http://forum.antichat.ru/thread51519.html
Новость: http://www.opennet.me/opennews/art.shtml?num=12487
По-моему нет необходимости в таких ухищрениях, на флешке надо хранить таблицы подстановки, пароль в голове, а шифровать файловые системы или файлы.
Очень все геморройно и накручено а итоговая секурити хромая на обе ноги - кто угодно бутявит сервер без проверки идентити.Ну и напуркуа тогда весь этот траходром на 3 поста?Если поюзать трукрипт - можно не греть мозг пересборкой ядра.А вместо всех этих танцев с бубном достаточно хранить загрузчик на флехе и там же - немного заточенную под свои нужды initfs которая подцепит шифрованные диски, переназначит / и т.п..Бредятина с удалением таблиц разделов - это жоска.Много геморроя и черной магии (о, кернель перекомпилять!) ради никакой секурити.Типовые кулхаксоры, чего с античата взять?
>Очень все геморройно и накручено а итоговая секурити хромая на обе ноги
>- кто угодно бутявит сервер без проверки идентити.Имеется в виду что та фигня которая в GRUB в меру моего понимания отхакивается тупо заменой hash пароля на hash известного пароля.Дальше бутается как по маслу ибо от пароля введенного в грубе юзером как я понимаю ничего не зависит.Такая же защита как картонная стена, от совсем честных и глупых только.
У меня вопрос к гуру: есть ли способ создать дистр Linux, полностью загружающийся с флешки, но при этом с шифрованными разделами и лишенный всех вышеперечисленных недостатков? Очень надо.
Конечно есть. И даже не один
Поубивал бы!Откройте для себя LUKS - Linux Unified Key Setup, http://luks.endorphin.org/
Поддерживается всеми основными дистрибутивами
+1
А как же ecryptfs? Уж проще чем там и очевидно полезнее и надежнее я и не знаю, зачем придумывать. Там и имена файлов можно зашифровать, а не только контент. (Вот только за два присеста, когда я пытался таковой воспользоваться, ничего не получилось... Но я на себя пеняю.)А если пользоваться XFS (с которой удаленные файлы вроде бы не подлежат восстановлению), да еще и железным паролем на сам винт, то можно запросто терять по лаптопу в год с самой секретной государственной тайной. ИМХО.
>А как же ecryptfs? Уж проще чем там и очевидно полезнее и
>надежнее я и не знаю, зачем придумывать. Там и имена файлов
>можно зашифровать, а не только контент.А truecrypt вообще шифрует ВЕСЬ ТОМ (раздел или файл) как единое целое.Оперируя на уровне диска в целом а не файлов.Вы даже тип файловой системы не определите без знания пароля.Без ввода пароля это просто кучка рандомного мусора.
Еще плюс - можно создавать скрытые внутренние разделы, которые также невозможно обнаружить, даже зная пароль от основного раздела.
http://www.alrond.com/ru/2007/may/29/encryption-for-ubuntu/
>А если пользоваться XFS (с которой удаленные файлы вроде бы не подлежат
>восстановлению), да еще и железным паролем на сам винт, то можно...то НУЖНО не щелкать клювом и не доверять слепо всяким закрытым реализациям в железках когда дело касается криптографии.Часто этот самый пароль в железках сделан крайне халтурно и без проблем отшивается ремонтером средней квалификации не говоря уже о профи.Иной раз стоит просто проверка пароля до доступа к данным а сами они вообще никак не шифруются - если обойти проверку - сливай данные по самое нехочу.Дело в том что криптопроцессор способный шифровать данные приличными алгоритмами (ну хоть AES с 128...256бит ключом) в реальном времени со скоростью работы HDD стоит мягко говоря довольно заметных денег.
Поздравляю, еще один человек овладел технологией шифрования.
Таких статей в сетке НАВАЛОМ.
А вообще сделал это без проблем лет 5 назад. Доки в сети навалом.
И вообще тема для флейма - не более.