The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Как зашифровать системный раздел FreeBSD?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Оптимизация и тюнинг / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Как зашифровать системный раздел FreeBSD?"  +/
Сообщение от sergetv on 25-Дек-11, 17:22 
Здравствуйте!
Столкнулся с такой задачей - надо поставить сервер под FreeBSD, локальный доступ к нему не предусмотрен - просто коробка с сетевыми интерфейсами. Настройка по SSH и HTTP. При этом надо сделать так, чтобы доступа к содержимому диска (в идеале - к системному разделу, но можно хотя бы к какому-то монтируемому в fstab разделу, типа DATA) не было даже при снятии винта и установке его на другой машине. Очень смутно представляю технологии шифрования, возможно ли такое?
Заранее спасибо.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Как зашифровать системный раздел FreeBSD?"  +/
Сообщение от wiseman (ok) on 25-Дек-11, 18:25 
> Здравствуйте!
> Столкнулся с такой задачей - надо поставить сервер под FreeBSD, локальный доступ
> к нему не предусмотрен - просто коробка с сетевыми интерфейсами. Настройка
> по SSH и HTTP. При этом надо сделать так, чтобы доступа
> к содержимому диска (в идеале - к системному разделу, но можно
> хотя бы к какому-то монтируемому в fstab разделу, типа DATA) не
> было даже при снятии винта и установке его на другой машине.
> Очень смутно представляю технологии шифрования, возможно ли такое?
> Заранее спасибо.

посмотрите в сторону geli(8)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Как зашифровать системный раздел FreeBSD?"  +/
Сообщение от PavelR (??) on 25-Дек-11, 19:48 
> Очень смутно представляю технологии шифрования, возможно ли такое?

Будет возможно, если ключ шифрования будет храниться вне "коробки", например вводиться при загрузке вручную.  Я так полагаю, что это "не ваш вариант", так что, скорее всего, точный ответ - "такое не возможно".


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Как зашифровать системный раздел FreeBSD?"  +/
Сообщение от sergetv on 25-Дек-11, 20:11 
> Будет возможно, если ключ шифрования будет храниться вне "коробки", например вводиться
> при загрузке вручную.  Я так полагаю, что это "не ваш
> вариант", так что, скорее всего, точный ответ - "такое не возможно".

А если в качестве ключевой фразы использовать, например, что-то жестко связанное с оборудованием, типа номера материнки или жесткого диска? Например, при загрузке создавать вирт.диск, на который копировать эти данные и их использовать в качестве ввода ключевой фразы?


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Как зашифровать системный раздел FreeBSD?"  +/
Сообщение от Miha (??) on 26-Дек-11, 08:33 
>> Очень смутно представляю технологии шифрования, возможно ли такое?
> Будет возможно, если ключ шифрования будет храниться вне "коробки", например вводиться
> при загрузке вручную.  Я так полагаю, что это "не ваш
> вариант", так что, скорее всего, точный ответ - "такое не возможно".

Да с какого же перепугу?
кто мешает монтировать по nfs директорию с ключевым файлом..
sergetv, в общем вам сюда:
http://www.freebsd.org/doc/en/books/handbook/disks-encryptin...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Как зашифровать системный раздел FreeBSD?"  +/
Сообщение от PavelR (??) on 26-Дек-11, 09:52 
>>> Очень смутно представляю технологии шифрования, возможно ли такое?
>> Будет возможно, если ключ шифрования будет храниться вне "коробки", например вводиться
>> при загрузке вручную.  Я так полагаю, что это "не ваш
>> вариант", так что, скорее всего, точный ответ - "такое не возможно".
> Да с какого же перепугу?

Да вот с такого:

> кто мешает монтировать по nfs директорию с ключевым файлом..

1) Это всё-равно "ключ шифрования будет храниться вне коробки".

2) Условие:

"При этом надо сделать так, чтобы доступа к содержимому диска (в идеале - к системному разделу, но можно хотя бы к какому-то монтируемому в fstab разделу, типа DATA) не было даже при снятии винта и установке его на другой машине. "

выполняться не будет - скрипт виден, замонтировать NFS можно, а следовательно можно и получить доступ к содержимому диска".

вот с такого и перепугу.


Топикстартер не расписывает контекст применения, а поэтому ответ - "нельзя".

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Как зашифровать системный раздел FreeBSD?"  +/
Сообщение от Ingoa on 26-Дек-11, 12:13 
Единственный вариант- раз уж есть ssh и http хранить ключ где-нить в локальной сети. При загрузке получать это ключ по ssh и с ним монтировать зашифрованный geli разделы.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Как зашифровать системный раздел FreeBSD?"  +/
Сообщение от PavelR (??) on 26-Дек-11, 12:58 
> Единственный вариант- раз уж есть ssh и http хранить ключ где-нить в
> локальной сети. При загрузке получать это ключ по ssh и с
> ним монтировать зашифрованный geli разделы.

Топикстартер не расписывает контекст применения, а поэтому ответ - "нельзя".


Если контекст применения - "локальная сеть" - то значит можно и ручками вводить раз в год, ничего страшного.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Как зашифровать системный раздел FreeBSD?"  +/
Сообщение от Ingoa on 26-Дек-11, 14:15 
>> Единственный вариант- раз уж есть ssh и http хранить ключ где-нить в
>> локальной сети. При загрузке получать это ключ по ssh и с
>> ним монтировать зашифрованный geli разделы.
> Топикстартер не расписывает контекст применения, а поэтому ответ - "нельзя".
> Если контекст применения - "локальная сеть" - то значит можно и ручками
> вводить раз в год, ничего страшного.

А какая разница какой контекст применения?
Сказано:
...локальный доступ к нему не предусмотрен - просто коробка с сетевыми интерфейсами. Настройка по SSH и HTTP...

...При этом надо сделать так, чтобы доступа к содержимому диска (в идеале - к системному разделу, но можно хотя бы к какому-то монтируемому в fstab разделу, типа DATA) не было даже при снятии винта и установке его на другой машине...

Т.е машина должна грузиться, цеплять шифрованный диск. Снятый с этой машины диск в другом месте не должен быть прочитан. Способ с получением ключа по ssh удовлетворяет условию. Кстати, даже не обязательно что бы ключ хранился в локальной сети- пусть на удаленной.

На счет ручек. Бывает так, что "локальная" сеть не ограничивается 1 зданием, а тянется на 10-ки км =). и нету никакого желания что-то вводить ручками.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Как зашифровать системный раздел FreeBSD?"  +/
Сообщение от PavelR (??) on 26-Дек-11, 15:15 
> А какая разница какой контекст применения?

да мозг потому что никто не хочет включать.

> Сказано:
> ...локальный доступ к нему не предусмотрен - просто коробка с сетевыми интерфейсами.
> Настройка по SSH и HTTP...

Значит - нельзя сделать, потому что описано требование:

> ...При этом надо сделать так, чтобы доступа к содержимому диска (в идеале
> - к системному разделу, но можно хотя бы к какому-то монтируемому
> в fstab разделу, типа DATA) не было даже при снятии винта
> и установке его на другой машине...

Потому что:

> Т.е машина должна грузиться, цеплять шифрованный диск.

без участия человека?

> Снятый с этой машины диск в другом месте не должен быть прочитан.

таким образом без участия человека данный пункт не может быть выполнен, потому что:

>Способ с получением ключа по ssh удовлетворяет условию.

_не удовлетворяет условию_. Потому что никто не помешает залезть, посмотреть, "как оно работает", вытащить ключ, подключить диск.

Именно от контекста задачи и зависит, что _действительно_ нужно вопрошающему.

> На счет ручек. Бывает так, что "локальная" сеть не ограничивается 1 зданием,
> а тянется на 10-ки км =).

Тогда есть серверная. Нормальное электропитание. Ввод ключа - раз в год.

> и нету никакого желания что-то вводить ручками.

Это уже ваши проблемы, есть у вас желание или нет, когда есть _необходимость_.

--------------


я так понимаю, что топикстартер хочет сделать "закрытый программно-аппаратный комплекс", я лично вижу такой контекст. Решение, удовлетворившее бы топикстартера в этом случае, я знаю, но говорить не буду. Мое know-how.


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Как зашифровать системный раздел FreeBSD?"  +/
Сообщение от DeadLoco (ok) on 26-Дек-11, 15:26 
> Решение, удовлетворившее бы топикстартера в этом
> случае, я знаю, но говорить не буду. Мое know-how.

Да чоужтам - поправить код geli, чтобы после таймаута консоли он проверял железку.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Как зашифровать системный раздел FreeBSD?"  +/
Сообщение от Sergetv (??) on 26-Дек-11, 15:35 
PavelR понял чуть правильнее.
Дополню топик - машина стоит одна, доступа к консоли нет, и локалка там чужая. SSH - для настройки поставщиком (мной) в случае чего (машину нужно снимать и вести к нам). HTTP -  для настройки сторонних сервисов клиентом, к делу не относится.
Смысл шифрования - чтобы не ковырялся кто не попадя в настройках системы, так как там используются наработки, которые мы не хотели бы распространять.
Как я понял, практически нереально, даже если сделать считывания системных данных в качестве пароля, все равно скрипт открыт, можно его вычислить и повторить
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Как зашифровать системный раздел FreeBSD?"  +/
Сообщение от tb email on 26-Дек-11, 21:07 
> Здравствуйте!
> Столкнулся с такой задачей - надо поставить сервер под FreeBSD, локальный доступ
> к нему не предусмотрен - просто коробка с сетевыми интерфейсами. Настройка
> по SSH и HTTP. При этом надо сделать так, чтобы доступа
> к содержимому диска (в идеале - к системному разделу, но можно
> хотя бы к какому-то монтируемому в fstab разделу, типа DATA) не
> было даже при снятии винта и установке его на другой машине.
> Очень смутно представляю технологии шифрования, возможно ли такое?
> Заранее спасибо.

средствами БИОС можно поставить пароль на контроллер накопителя. даже при изъятии/потере диска прочитать хоть один сектор невозможно. Кроме случаев, когда у заинтересованных есть аппаратный комплекс PC3000 + прямые руки.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Как зашифровать системный раздел FreeBSD?"  +/
Сообщение от sage444 (ok) on 26-Дек-11, 22:00 
> средствами БИОС можно поставить пароль на контроллер накопителя. даже при изъятии/потере
> диска прочитать хоть один сектор невозможно. Кроме случаев, когда у заинтересованных
> есть аппаратный комплекс PC3000 + прямые руки.

оу, а линк по теме? чета в моем биосе нету такой опции

к Т.С. скрипт который будет монтировать вашу драгоценную фс вовсе не должен быть скриптом
можно ведь и скомпилить небольшой софт который как-то преобразует характеристики оборудования в ключ шифрования диска
абсолютной защиты конечно не получиться но отпугнуть неквалифицированого взломщика можно

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру