https://www.opennet.ru/openforum/vsluhforumID1/92812.html Здравствуйте!<br>Столкнулся с такой задачей - надо поставить сервер под FreeBSD, локальный доступ к нему не предусмотрен - просто коробка с сетевыми интерфейсами. Настройка по SSH и HTTP. При этом надо сделать так, чтобы доступа к содержимому диска (в идеале - к системному разделу, но можно хотя бы к какому-то монтируемому в fstab разделу, типа DATA) не было даже при снятии винта и установке его на другой машине. Очень смутно представляю технологии шифрования, возможно ли такое?<br>Заранее спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID1/92812.html#13 Mon, 26 Dec 2011 18:00:58 GMT &gt; средствами БИОС можно поставить пароль на контроллер накопителя. даже при изъятии/потере <br>&gt; диска прочитать хоть один сектор невозможно. Кроме случаев, когда у заинтересованных <br>&gt; есть аппаратный комплекс PC3000 + прямые руки.<br><br>оу, а линк по теме? чета в моем биосе нету такой опции <br><br>к Т.С. скрипт который будет монтировать вашу драгоценную фс вовсе не должен быть скриптом <br>можно ведь и скомпилить небольшой софт который как-то преобразует характеристики оборудования в ключ шифрования диска <br>абсолютной защиты конечно не получиться но отпугнуть неквалифицированого взломщика можно<br> https://www.opennet.ru/openforum/vsluhforumID1/92812.html#12 Mon, 26 Dec 2011 17:07:57 GMT &gt; Здравствуйте!<br>&gt; Столкнулся с такой задачей - надо поставить сервер под FreeBSD, локальный доступ <br>&gt; к нему не предусмотрен - просто коробка с сетевыми интерфейсами. Настройка <br>&gt; по SSH и HTTP. При этом надо сделать так, чтобы доступа <br>&gt; к содержимому диска (в идеале - к системному разделу, но можно <br>&gt; хотя бы к какому-то монтируемому в fstab разделу, типа DATA) не <br>&gt; было даже при снятии винта и установке его на другой машине. <br>&gt; Очень смутно представляю технологии шифрования, возможно ли такое?<br>&gt; Заранее спасибо.<br><br>средствами БИОС можно поставить пароль на контроллер накопителя. даже при изъятии/потере диска прочитать хоть один сектор невозможно. Кроме случаев, когда у заинтересованных есть аппаратный комплекс PC3000 + прямые руки.<br> https://www.opennet.ru/openforum/vsluhforumID1/92812.html#11 Mon, 26 Dec 2011 11:35:03 GMT PavelR понял чуть правильнее.<br>Дополню топик - машина стоит одна, доступа к консоли нет, и локалка там чужая. SSH - для настройки поставщиком (мной) в случае чего (машину нужно снимать и вести к нам). HTTP - для настройки сторонних сервисов клиентом, к делу не относится.<br>Смысл шифрования - чтобы не ковырялся кто не попадя в настройках системы, так как там используются наработки, которые мы не хотели бы распространять.<br>Как я понял, практически нереально, даже если сделать считывания системных данных в качестве пароля, все равно скрипт открыт, можно его вычислить и повторить<br> https://www.opennet.ru/openforum/vsluhforumID1/92812.html#10 Mon, 26 Dec 2011 11:26:14 GMT &gt; Решение, удовлетворившее бы топикстартера в этом <br>&gt; случае, я знаю, но говорить не буду. Мое know-how.<br><br>Да чоужтам - поправить код geli, чтобы после таймаута консоли он проверял железку. <br> https://www.opennet.ru/openforum/vsluhforumID1/92812.html#9 Mon, 26 Dec 2011 11:15:40 GMT &gt; А какая разница какой контекст применения?<br><br>да мозг потому что никто не хочет включать.<br><br>&gt; Сказано: <br>&gt; ...локальный доступ к нему не предусмотрен - просто коробка с сетевыми интерфейсами. <br>&gt; Настройка по SSH и HTTP...<br><br>Значит - нельзя сделать, потому что описано требование:<br><br>&gt; ...При этом надо сделать так, чтобы доступа к содержимому диска (в идеале <br>&gt; - к системному разделу, но можно хотя бы к какому-то монтируемому <br>&gt; в fstab разделу, типа DATA) не было даже при снятии винта <br>&gt; и установке его на другой машине...<br><br>Потому что:<br><br>&gt; Т.е машина должна грузиться, цеплять шифрованный диск.<br><br>без участия человека?<br><br>&gt; Снятый с этой машины диск в другом месте не должен быть прочитан. <br><br>таким образом без участия человека данный пункт не может быть выполнен, потому что:<br><br>&gt;Способ с получением ключа по ssh удовлетворяет условию. <br><br>_не удовлетворяет условию_. Потому что никто не помешает залезть, посмотреть, "как оно работает", вытащить ключ, подключить диск.<br><br>Именно от контекста задачи и зависит, https://www.opennet.ru/openforum/vsluhforumID1/92812.html#8 Mon, 26 Dec 2011 10:15:33 GMT &gt;&gt; Единственный вариант- раз уж есть ssh и http хранить ключ где-нить в <br>&gt;&gt; локальной сети. При загрузке получать это ключ по ssh и с <br>&gt;&gt; ним монтировать зашифрованный geli разделы.<br>&gt; Топикстартер не расписывает контекст применения, а поэтому ответ - "нельзя".<br>&gt; Если контекст применения - "локальная сеть" - то значит можно и ручками <br>&gt; вводить раз в год, ничего страшного.<br><br>А какая разница какой контекст применения?<br>Сказано:<br>...локальный доступ к нему не предусмотрен - просто коробка с сетевыми интерфейсами. Настройка по SSH и HTTP...<br><br>...При этом надо сделать так, чтобы доступа к содержимому диска (в идеале - к системному разделу, но можно хотя бы к какому-то монтируемому в fstab разделу, типа DATA) не было даже при снятии винта и установке его на другой машине...<br><br>Т.е машина должна грузиться, цеплять шифрованный диск. Снятый с этой машины диск в другом месте не должен быть прочитан. Способ с получением ключа по ssh удовлетворяет условию. Кстати, даже не обязательно что бы ключ хранился в локально https://www.opennet.ru/openforum/vsluhforumID1/92812.html#7 Mon, 26 Dec 2011 08:58:21 GMT &gt; Единственный вариант- раз уж есть ssh и http хранить ключ где-нить в <br>&gt; локальной сети. При загрузке получать это ключ по ssh и с <br>&gt; ним монтировать зашифрованный geli разделы.<br><br>Топикстартер не расписывает контекст применения, а поэтому ответ - "нельзя".<br><br><br>Если контекст применения - "локальная сеть" - то значит можно и ручками вводить раз в год, ничего страшного.<br> https://www.opennet.ru/openforum/vsluhforumID1/92812.html#6 Mon, 26 Dec 2011 08:13:14 GMT Единственный вариант- раз уж есть ssh и http хранить ключ где-нить в локальной сети. При загрузке получать это ключ по ssh и с ним монтировать зашифрованный geli разделы.<br> https://www.opennet.ru/openforum/vsluhforumID1/92812.html#5 Mon, 26 Dec 2011 05:52:02 GMT &gt;&gt;&gt; Очень смутно представляю технологии шифрования, возможно ли такое?<br>&gt;&gt; Будет возможно, если ключ шифрования будет храниться вне "коробки", например вводиться <br>&gt;&gt; при загрузке вручную. Я так полагаю, что это "не ваш <br>&gt;&gt; вариант", так что, скорее всего, точный ответ - "такое не возможно".<br>&gt; Да с какого же перепугу?<br><br>Да вот с такого:<br><br>&gt; кто мешает монтировать по nfs директорию с ключевым файлом..<br><br>1) Это всё-равно "ключ шифрования будет храниться вне коробки".<br><br>2) Условие:<br><br>"При этом надо сделать так, чтобы доступа к содержимому диска (в идеале - к системному разделу, но можно хотя бы к какому-то монтируемому в fstab разделу, типа DATA) не было даже при снятии винта и установке его на другой машине. " <br><br>выполняться не будет - скрипт виден, замонтировать NFS можно, а следовательно можно и получить доступ к содержимому диска".<br><br>вот с такого и перепугу.<br><br><br>Топикстартер не расписывает контекст применения, а поэтому ответ - "нельзя".<br>