1. load kernelu z necryptovane mini partition
2. mount a decrypt root FS klicem zakompilovanym uz v kernelu
Pokud by nekdo nabootoval treba z live CD, neprecetl by nic.
Existuje neco takoveho?
Diky
Vasek Vobornik
umoznuje zadat heslo jako parametr nebo pouzit misto hesla
"key file" tj. jakykoliv soubor.
V pripade ze si jej umistite na flash-ku nebo disketu ci CD
tak to nacte a primountuje.
A hlavne - je to multiplatformni.
Jen doufam ze to bude v case stabilnejsi nez puvodni cryptoloop,
ktery po prechodu na jadlo 2.6 byl totalne prekopany - takze ted
nejsem schopny primountovat kontejnery z 2.4. :-(
vac...@vobornik.eu wrote:
> potreboval bych zabezpecit data na root filesystemu tak, aby ani nabootovani
> z jineho media (live CD) se nedala cist. ALE aby se pri "normalnim" bootu ze
> spravneho kernelu *automaticky* primountoval a byl funkcni.
>
> 1. load kernelu z necryptovane mini partition
> 2. mount a decrypt root FS klicem zakompilovanym uz v kernelu
>
Taky doma zamykate a klic schovavate pod rohozku?
- -- Petr
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
iD8DBQFEexCEuR4f4nEwzHIRArE5AJ9jHZEF81xcjxcn7B+jyPyLAZDVEQCeI0mj
ehNl5FDUU8pGKNxgQEV19zw=
=IdXG
-----END PGP SIGNATURE-----
nemusi to byt az tak nezmyselne...
modelova situacia:
citlive audiovizualne data, pocitac na nedostupnom mieste, obcas tam vypadne elektrina => treba
aby nabootoval automaticky a mal zasifrovany fs
kluc sa drzi na diskete, usb kluci alebo v osobitnej miniparticii
pride policia chraniaca autorsky zakon s prikazom na zabavenie servera - admin bude mat akurat
cas na spustenie prikazu co premaze disketu/usb/particiu, a tym padom
bude dokaz nepouzitelny :-)
--
-----------------------------------------------------------
| Radovan Garabík http://kassiopeia.juls.savba.sk/~garabik/ |
| __..--^^^--..__ garabik @ kassiopeia.juls.savba.sk |
-----------------------------------------------------------
Antivirus alert: file .signature infected by signature virus.
Hi! I'm a signature virus! Copy me into your signature file to help me spread!
garabik-ne...@kassiopeia.juls.savba.sk wrote:
> Petr Pisar <petr....@atlas.cz> wrote:
>> vac...@vobornik.eu wrote:
>>> potreboval bych zabezpecit data na root filesystemu tak, aby ani nabootovani
>>> z jineho media (live CD) se nedala cist. ALE aby se pri "normalnim" bootu ze
>>> spravneho kernelu *automaticky* primountoval a byl funkcni.
>>>
>>> 1. load kernelu z necryptovane mini partition
>>> 2. mount a decrypt root FS klicem zakompilovanym uz v kernelu
>>>
>> Taky doma zamykate a klic schovavate pod rohozku?
>
> nemusi to byt az tak nezmyselne...
> modelova situacia:
> citlive audiovizualne data, pocitac na nedostupnom mieste, obcas tam vypadne elektrina => treba
> aby nabootoval automaticky a mal zasifrovany fs
> kluc sa drzi na diskete, usb kluci alebo v osobitnej miniparticii
>
> pride policia chraniaca autorsky zakon s prikazom na zabavenie servera - admin bude mat akurat
> cas na spustenie prikazu co premaze disketu/usb/particiu, a tym padom
> bude dokaz nepouzitelny :-)
>
Spis bych videl jako pravdepodobnejsi moznost, ze admin bude ten
posledni, co se o zakroku muzu zakona dozvi.
Ne ted opravdu: Standardne se to dela tak, ze klic je zasifrovany a po
kazdem rebootu admin musi zadat passphrase nebo je klic uplne nekde
jinde. No a admin prece tu passphrase vysetrvateli nerekne, protoze
nebude svedcit proti sobe.
Navic neni nutne hledat data na disku, staci odposlechnout sitovy
provoz. Takovy 600MB streamy maji charakteristicky tvar v grafu sitoveho
toku a pochybuji, ze data tekouci ven jsou take sifrovana.
- -- Petr
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
iD8DBQFEeyWsuR4f4nEwzHIRAgk1AKCBRwR7NyY6I75IJM+GhsDxkdPHCgCfdCRR
KTbgo4LfpazyPdIRt15EAF8=
=SJnu
-----END PGP SIGNATURE-----
...policie da disketu/usb/particiu do ruk odbornikovi, ktery smazana
data obnovi a vy si posedite par let nekde pekne v chladku... ;o)
Myslim spis ze tady slo o to, aby si pripadne ukradeny HDD nemohl nekdo
prehrat na jinem zeleze... ;o)
ilicz
Skype: callto://fidokomik
Na mail uvedeny v headeru zpravy nema cenu nic posilat, konci to v PR*
:-) Odpovidejte na petr na practisoft cz
Riesil by som to cez ``sfs'' a ``pam_sfs''
otis