OT: bezpecnost zcizeneho harddisku
Petr Vejsada
daemon na svoboda.nevotravovat.cz
Pondělí Březen 29 12:34:11 CEST 2004
Michal Kara wrote:
> Na druhou stranu sifrovani ma jednu zasadni nevyhodu. Pokud nemam klic v
> nejakem USB, tak musim pri bootovani vzdy zadavat passfrazi => pocitac
> nemuze nabootovat bez lidskeho zasahu, coz je obcas dost omezujici.
linux je nastesti natolik flexibilni, ze ani toto tvrzeni neni tak docela
pravda. Jelikoz nejsem moc velky kamarad s initrd, zvolil jsem jine reseni.
Mam nejprve "maly root" a pak - sifrovany - "velky root". Napred se nabootuje
do "maleho" rootu, ktery sifrovany neni. V nem si mohu klidne spustit treba
sshd nebo cokoli co potrebuji, primountovat treba na dalku "velky" root,
pivot_root a exec /sbin/init.
Tedy - priznavam - ve skutecnosti ten sshd zatim nespoustim, nicmene mam IMHO
vse pripravene na to, abych to mohl udelat a mohl na dalku mountnout "velky"
root.
Trochu problem bude v tom, ze init=/bin/bash, takze sshd zrejme nebude moci
bezet na pozadi + dalsi problemy, o kterych jeste nevim, ale principialne by
to touto cestou melo jit. Ostatne by to melo jit i s initrd.
Neni mi jeste uplne presne jasne, jak udelat postrileni bezicich procesu
(konkretne treba toho sshd). Mozna tak, ze jakmile se ukonci sshd (na dalku
ho strelim), shell script bude pokracovat a spusti ten init. Chce to
vyzkouset, ale myslim, ze by to mohlo jit.
Dalo by se udelat treba to, aby si bootojici pocitac sam pres ssh stahnul klic
odnekad z netu, coz ale nepovazuji za bezpecne. S ukradenym PC si takto muze
stahnout klic i zlodej, pochopitelne.
Nu, napadum se meze nekladou :)
--
Zdraví
Petr Vejsada
ID klíče: 2BDE1F6C
Fingerprint klíče FDA9 F8A1 276B 1E28 544E 87CE 3642 C9E8 2BDE 1F6C
Další informace o konferenci Linux