The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Загружаем linux с шифрованных ФС. Как далеко можно зайти?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux привязка / Linux)
Изначальное сообщение [ Отслеживать ]

"Загружаем linux с шифрованных ФС. Как далеко можно зайти?"  +/
Сообщение от cauldron (ok) on 20-Июл-10, 20:34 
Сначала сделал просто шифрованный /home при помощи LUKS.
Быстро выяснилось, что надо и /etc держать в зашифрованном виде.
Сейчас хочу сделать всю корневую ФС тоже через LUKS.
Как я понимаю /boot придётся делать в обычном виде.
В свизи с этим возникли вопросы:
1. Получится ли загружаться с GRUB, если все необходимые модули встроить в ядро?
2. Как при запуске в ядро передать, где у меня там /корень?
3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)
4. можно ли загрузочный раздел, где находятся ядра, тоже зашифровать? Есть ли в GRUB(или других загрузчиках) такая возможность?

Всякие там EncFS мне не подойдёт, основное буду держать в Reiser4 или Ext4.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Загружаем linux с шифрованных ФС. Как далеко можно зайти?"  +/
Сообщение от vehn (ok) on 20-Июл-10, 20:52 
>1. Получится ли загружаться с GRUB, если все необходимые модули встроить в
>ядро?

да

>2. Как при запуске в ядро передать, где у меня там /корень?

root=

>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)

никаких, при наличии продуманной политики backup-ов

>4. можно ли загрузочный раздел, где находятся ядра, тоже зашифровать? Есть ли
>в GRUB(или других загрузчиках) такая возможность?

Нет, нельзя. Но как вариант, можно разместить ядро (лучше вместе с загрузчиком) на флешке (или на чём-нибудь подобном, с чего возможно загрузиться), после того, как система полностью загрузится флэшку можно (и нужно) удалить (ядро всегда располагается в памяти). Это методика применяется для противодействия компрометации "физического" образа ядра (тот образ, который лежит в /boot, а не в оперативной памяти).

p.s. ради интереса, погуглите ещё на тему pam_usb. Можно организовать полностью беспарольный (точнее, без ввода пароля, сам пароль разумеется существует, удобство в том, что его не нужно запоминать, а соответственно, возможны очень стойкие пароли) вход в систему при помощи одной лишь флэшки.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Загружаем linux с шифрованных ФС. Как далеко можно зайти?"  +/
Сообщение от cauldron (ok) on 20-Июл-10, 21:49 
>>2. Как при запуске в ядро передать, где у меня там /корень?
>
>root=

там же сначала loop-device с шифромание создаётся, а потом ФС монтируется.
как это всё завернуть в root=   ?

>>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)
>
>никаких, при наличии продуманной политики backup-ов

Планирую raid 5 или 6 через mdadm. Бэкапы первое время врятли будут, из-за ОЧЕНЬ больших объёмов инфы. Если только саму систему и её настройки отдельно бэкапить.

>p.s. ради интереса, погуглите ещё на тему pam_usb. Можно организовать полностью >беспарольный
>(точнее, без ввода пароля, сам пароль разумеется существует, удобство в том,
>что его не нужно запоминать, а соответственно, возможны очень стойкие пароли)
>вход в систему при помощи одной лишь флэшки.

Или двух,на всякий случай :-)
Хотя я обычно пароли символов по 14 делаю, но это уже не то, что было раньше :-) ломаются за две секунды.
Возможно ради безопасность USB придётся выпиливать, ну если что , буду пробовать через pam.


Спасибо!!!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Загружаем linux с шифрованных ФС. Как далеко можно зайти?"  +/
Сообщение от vehn (ok) on 20-Июл-10, 22:09 
>>>2. Как при запуске в ядро передать, где у меня там /корень?
>>
>>root=
>
>там же сначала loop-device с шифромание создаётся, а потом ФС монтируется.
>как это всё завернуть в root=   ?

Этой опцией вы говорите ядру на каком разделе (партиции) находится у вас корень, что не имеет никакого отношения к шифрованию. О шифровании будет уже беспокоиться ram-диск. Не думаю, что вам вообще нужно беспокоиться по данному вопросу. Подавляющее большинство дистрибутивов обрабатывают эту ситуацию автоматом при установке загузчика. Исключение: slackware и gentoo. Зато оба имеют исчерпывающую документацию относительно шифрования как полностью диска, так и отдельного раздела, к которой я рекомендую обратиться, дабы иметь понятие как вообще всё это работает.

>
>>>3. Какие тут могут быть проблемы? (кто-нибудь такое уже делал)
>>
>>никаких, при наличии продуманной политики backup-ов
>
>Планирую raid 5 или 6 через mdadm. Бэкапы первое время врятли будут,
>из-за ОЧЕНЬ больших объёмов инфы. Если только саму систему и её
>настройки отдельно бэкапить.
>

Ну есть старая шутка о том, что пользователи делятся на две группы: первые -- ещё не делают бэкапов, вторые --_теперь_ делают.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру