- A hozzászóláshoz be kell jelentkezni
- 4250 megtekintés
Hozzászólások
Csak annyit fűznék hozzá, hogy így a diszken megmarad a /root könyvtárban a root.key, még akkor is, ha letörlöd. Okosabb lenne a kulcsot eleve a pendrive-on létrehozni, akkor a diszken nyoma se lenne.
Egyébként remek írás, gratulálok.
- A hozzászóláshoz be kell jelentkezni
Javítva.
- A hozzászóláshoz be kell jelentkezni
Decemberben "elveszett" az enyem is, ugyhogy fontolora veszem, hogy a nemsokara esedekes laptop telepitesnel a /home mar titkositott lesz.
Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.
- A hozzászóláshoz be kell jelentkezni
Látod-látod, bezzeg ha SETIztél volna. :)
"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee."
-- Ted Ts'o
- A hozzászóláshoz be kell jelentkezni
LOL, nem volt SETI, de meglett a gep. Egy honapig szabogattam a ceget telefonon, meguntam aztan irattam egy ugyvedi felszolitast az erintett tomegkozlekedesi vallalatnak, hogy ha a laptopon levo kutatasi anyag idegen kezre kerul, akkor becsukhatjak a boltot. Harom nap mulva meg lett. :-)
Mellesleg makom volt mert nem nyult hozza senki, amikor utaztam veletlenul elvitte a csomagomat vki akinek ugyanolyan csomagja volt, majd egybol vissza is vitte Birminghambe. Ezek a dilettans barmok pedig azt modntak, hogy ha meg is lesz, azt a yorkshire-i talalt targyak reszleguk fogja megkapni MINDENKEPPEN, mert ez a hivatalos utja. Hat en ezeket hivogattam egy honapig, kozben egy takaritoszekrenyben csucsult Birminhgamben...
Persze nem volt rajta a szobanforgo anyag, de lehetett volna. Ugyhogy most eldontottem, hogy ebbol cryptfs lesz. :-)
Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.
- A hozzászóláshoz be kell jelentkezni
Csodalkoztam volna, ha a bkv, mav stb adta volna vissza :(
- A hozzászóláshoz be kell jelentkezni
Az igazsag az, hogy en azon is csodalkoztam, hogy ezek visszadtak. Mar az elejen is ugy kezdodott, hogy amikor eszrevettem, hogy vki mas csomagjat adtak nekem oda, egybol mentem a recepciohoz, hogy ellenorizzek a biztonsagi felveteleket (tele van kamerazva minden), ha megvan a szemely aki elvitte akkor eselyunk lehet most ratalalni. Nem, hogy nem ellenoriztek, de meg egy nyomorult jegyzokonyvet sem akartak felvenni, azonkivul koveteltek tolem, hogy adjam at a fazon csomagjak nekik mindenfele irasos elismerveny nelkul. Egyebkent kb. 3.5 orat vartam a "varotermukben", aminek a szinvonalat a Deli PU messze veri. Ugyh, eldontottem, akarmilyen olcso is a tavolsagi busz a vonattal szemben, ezzel a szutyok tarsasaggal tobbet nem utazom. Sokkal tobbet veszithettem volna mint amennyit nyertem, a vonaton meg legalabb szem elott van a csomagom es nem kell attol tartanom, hogy csomagjegy nelkul valaki mero szimpatiabol kiveszi a csomagomat a csomagterbol.
Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.
- A hozzászóláshoz be kell jelentkezni
Jó anyag, nem állandóan bekapcsolt szervereken jól lehet így partíciókat titkosítani. Notebookon szerintem a libpam-mount kényelmesebb megoldás, SSL titkosított kulccsal (bár kétségtelen, hogy a pendrive a 2faktoros azonosítás miatt tovább csökkenti a kockázatokat).
apt-get install libpam-mount && zcat /usr/share/doc/libpam-mount/README.Debian.gz
Érdekes még itt az, hogy hiába titkosítod a merevlemezedet, ha a titkosított adatok swappelés miatt a titkosítatlan swap területre kerülnek. Ha ezt is meg akarja oldani az ember (cryptsetuppal megy, /dev/random keyfillal), akkor a hibernálásról azt hiszem le lehetne mondani.
- A hozzászóláshoz be kell jelentkezni
Nem kell teljesen lemondani a hibernálásról, mert ahogy látom a kernel source Documentation/power/swsusp* fájlokban van a leírás, hogyan lehet megoldani, hogy titkosított swap-et használja a swsuspend...
- A hozzászóláshoz be kell jelentkezni
ugy errol a kulcsrol van valahol egy masolatod ha a pendrive veletlenul elromlana?
- A hozzászóláshoz be kell jelentkezni
van, egy másik memóriakártyán - gpg-vel kódolva :)
SZVSZ gpg-vel kódolva lehet backup-ot bárhol tárolni.
És ha felmerül a gyanú, hogy valaki megszerezte a kódot, az egyszerűen lecserélhető,
cryptsetup --key-file "root.key" luksAddKey /dev/hda5
cryptsetup luksDelKey /dev/hda5 "kulcs hely"
- A hozzászóláshoz be kell jelentkezni
Ezt most nem ertem. Ha a particio tartalma titkositottan van felirva "A" kulcsparral, akkor az csak ezzel olvashato. Ha lecserelem a regi kulcsokat pl "B" kulcsparra, attol meg a particion levo adatok meg mindig az "A" kulcsparral vannek felirva.
Nem kell az adatokat backup-polni az "A" kulcsparral eloszor, majd a csere utan felulirni a "B"-vel?
Koszi. :-)
Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.
- A hozzászóláshoz be kell jelentkezni
Nem.
man cryptsetup
Google luks
- A hozzászóláshoz be kell jelentkezni
Nem, a "mester kulcs" van védve a jelszóval/jelszófájllal. És ha jól értem a luks (Linux Unified Key Setup) leírását, http://luks.endorphin.org/, akkor max. 8 db kulcs hely (slot) van, és ha egy újat akarsz felvenni, akkor megadsz egyet a régiek közül, amivel visszakódolják a mester jelszót, majd a szabad 'slot'-ba az újonan megadott jelszóddal újrakódolva lerakják a mester jelszót.
Ha az új jelszavadat akarod használni, akkor a rendszer egyenként megnézi a slot-okat és megpróbálja visszakódolni a mester jelszót, ha a visszakódolás után megegyezik a fejlécben eltárolt hash-sel a kapott mester jelszó hash-e, akkor megvan a mester jelszó.
Ezzel pl. megoldható, hogy 8 (abban nem vagyok biztos, hogy csak 8 lehet - én így vettem ki a leírásból - majd kijavítanak) különböző jelszóval is fel lehessen csatolni a partíciót. - nem kell mindenkinek tudnia a jelszavam :)
Mindenzt úgy, hogy közben az adatokra egy erős kód vigyáz.
- A hozzászóláshoz be kell jelentkezni