ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Linux, Freebsd, *nix (https://forum.antichat.io/forumdisplay.php?f=124)
-   -   Шифрация жесткого диска под linux (https://forum.antichat.io/showthread.php?t=1860738)

pikasun 15.04.2011 14:09

Встала банальная задача сохранности данных на ящике с Linux.

1.Защита БИОС стандартная паролем
2.Физическая защита системного блока замком.
3.Отключение usb и любой загрузки с внешнего устройства
4.Шифрование разделов Linux.

Остается вопрос за grub, ибо /boot Не зашифруешь.
Возможно ли сделать запрет на ручное изменение grub во время загрузки?

P/S

Погуглив некоторое время нашел
http://itshaman.ru/articles/14/password-grub

modelsonline 16.04.2011 02:37

а что на хардах, какой проц и текущая загрузка

pikasun 18.04.2011 09:17

Цитата:


modelsonline написал(а):

а что на хардах, какой проц и текущая загрузка


Это пока в проекте.
Сейчас курю ядерную физику. Возможно придется с защитой данных при попытке дублировании винта городить.

modelsonline 18.04.2011 18:53

Какая взад ядерная физика, если с grub ничего ктоме тупого хранения бэкапов сделать нельзя? Ты с ним запускал хоть раз, например, поиск строки внутри файла? Он еще и не smp не держит. Защита от попыток дублирования - раид5 на 6 1.5тб дисков.

pikasun 20.04.2011 09:42

Ну у нас свои тараканы. Я про chroot имею ввиду при угоне винчестера. RAID не рассматривали из за того, что тачка отдается клиенту и нежелательно ее удорожание.

А на счет RAID... сам восстанавливал RAID ребятам убитый.
Сливал образы с 4 винтов и програмно их соединял в массив.

ggnk 20.04.2011 20:01

а как насчет шифрования пользовательских данных в контейнер, который монтируется как отдельная файловая система?

pikasun 21.04.2011 09:57

Цитата:


ggnk написал(а):

а как насчет шифрования пользовательских данных в контейнер, который монтируется как отдельная файловая система?


Кстати тоже тема! Вопрос в том что будет ключом для монтирования такой системы. Я бы склонился к чексумме оборудования ну или что-то вроде этого.

ggnk 21.04.2011 21:18

посмотри возможности truecrypt, может это как раз то что тебе надо. кстати она бесплатная.

pikasun 28.04.2011 14:32

Не годиться простое шифрование.
Дамп HDD и засовывание в виртуалку - система гостеприимно раскидывает ноги. Защита на флешке с truecrypt - дамп флешки!

ggnk 28.04.2011 15:09

Цитата:


pikasun написал(а):

Не годиться простое шифрование.
Дамп HDD и засовывание в виртуалку - система гостеприимно раскидывает ноги. Защита на флешке с truecrypt - дамп флешки!


может это будет звучать банально, но пароль на зашифрованый контейнер в 64 символа - должен помочь. Если конечно вы не опасаетесь того, что украдут так называемые "доверенные лица", знающие пароль, которым позволено работать с информацией. Вы что там - спутник запускаете?)
ну наконец, вариант с Pre-Boot Authentication - шифрование системы на уровне "до загрузки ОС", запрещающая чтение, изменение, выполнение файлов до ввода пароля. Пароль ввел один раз при загрузке - и работай. пускай себе делают потом дамп HDD - без пароля все равно не получат доступ к системе. Не помню точно, но вроде в truecrypt тоже есть.

pikasun 28.04.2011 16:58

Цитата:


ggnk написал(а):

может это будет звучать банально, но пароль на зашифрованый контейнер в 64 символа - должен помочь. Если конечно вы не опасаетесь того, что украдут так называемые "доверенные лица", знающие пароль, которым позволено работать с информацией. Вы что там - спутник запускаете?)
ну наконец, вариант с Pre-Boot Authentication - шифрование системы на уровне "до загрузки ОС", запрещающая чтение, изменение, выполнение файлов до ввода пароля. Пароль ввел один раз при загрузке - и работай. пускай себе делают потом дамп HDD - без пароля все равно не получат доступ к системе. Не помню точно, но вроде в truecrypt тоже есть.


Коробка будет стоять не у нас - угон программы не желателен.
А как угонять я писал выше. Стопим систему дампим и запускаем на виртуалке.
Система должна работать у клиента (явки пароли ключи на запуск ему будут доступны)
А вот ковыряние в системе, запуск под виртуалкой должны быть запрещены.

ggnk 28.04.2011 18:57

Цитата:


Коробка будет стоять не у нас - угон программы не желателен.


привяжите саму программу к железу, что бы при изменении конфигурации компа требовалась активация(через вас) - довольно распространенное явление среди программ с "абонплатой".

pikasun 29.04.2011 12:22

Цитата:


ggnk написал(а):

привяжите саму программу к железу, что бы при изменении конфигурации компа требовалась активация(через вас) - довольно распространенное явление среди программ с "абонплатой".


Собственно с самого начала и думалось ))
Нашел у Криса Касперски интересную статью - вот кусочек.
Цитата:


..." Виртуальные машины несут на своем борту довольно специфический набор железа, практически не встречающийся в "живой природе": а) видеокарта VMware Inc [VMware SVGA II] PCI Display Adapter; б) сетевая карта: Advanced Micro Devices [AMD] 79c970 [PCnet 32 LANCE] (rev 10); в) жесткие диски: VMware Virtual IDE Hard Drive и VMware SCSI Controller. Опросив конфигурацию оборудования, червь сразу поймет где он.
Во-вторых, виртуальные сетевые карты имеют довольно предсказуемый диапазон MAC-адресов, а именно: 00-05-69-xx-xx-xx, 00-0C-29-xx-xx-xx и 00-50-56-xx-xx-xx."


Ну и проверку хитрую на родное железо надо наверное включать.

ggnk 01.05.2011 00:13

Цитата:


а) видеокарта VMware Inc [VMware SVGA II] PCI Display Adapter; б) сетевая карта: Advanced Micro Devices [AMD] 79c970 [PCnet 32 LANCE] (rev 10); в) жесткие диски: VMware Virtual IDE Hard Drive и VMware SCSI Controller.


это ведь только для VMWare... а есть ведь ещё и другие эмули, виртуалбокс например. так что ограничиватся проверкой на наличие сих девайсов думаю не стоит да и железо могут подобрать аналогичное. Работал с одной программкой - там помимо привязки к железу(без новой активации работать не будет) требовалась регулярная синхронизация с их сервером, который ежедневно передавал программе-клиенту файлы лицензии, позволявшие работать следующую неделю. Тоесть если за неделю ниразу не обновился - программа запустится в ограниченном функционале, позволяющем только сеанс связи с сервером. на сервере хранится лицензия только для одного типа оборудования, которая и передается клиенту, если код оборудования не совпадает с клиенстким - программа выдает сообщение о несоответствии с кодом оборудования и показывает новый сгенерированный код оборудования(генерится из всего оборудования кроме USB девайсов, но вроде как основной компонент - серийный номер HDD). Клиент связывается с обладателем программы, сообщает о ситуации мол так и так, пересылает новый код оборудования, лицензия перебивается на него, а старая лицензия - удаляется. Тоесть в случае "клонирования" программы на несколько компов, при следующем сеансе связи с сервером хранения лицензий - вылетят все программы кроме той что была последней привязана к железу.
З.Ы. сам чуть не запутался, подведем итог: имеем два кода, 1 - код железа, 2 - код лицензии. они взаимосвязаны,изменение кода 1 влечет за собой отключение программы до поступления нового кода лицензии(2), код 2 также должен обновлятся раз в неделю. вроде все написал, извините за "многабукав")

pikasun 02.05.2011 00:14

О если бы можно было синхронизироваться с сервером!
Эту проблему решить было бы проще.
Но видишь ли, возможен вариант, что сервак не будет в онлайне.
А потребовать онлайна со всех невозможно.
Я надумал вариант с контроллером на pci шине. Контроллер заглушен наглухо в материнскую плату.
Девайс - черный ящик. Чекает кое-что сразу при загрузке компа и после загрузки системы. Все, что передается, шифруется в обе стороны, вкупе c довеском из мусора.
Если будет спрос на нашу систему(не спрашивайте что )), возможно забацаем.
Главное найти оптимальную защиту, сломать которую дороже, чем купить программу.

modelsonline 02.05.2011 03:05

Для просмотра скрытого содержимого необходимо иметь 10 сообщений, у вас 0 сообщений.

pikasun 03.05.2011 09:29

Есть такое. Вопрос в том и состоит что дороже снятие защиты или стоимость программы. Софт скажу не супер приватный - как ты правильно догадываешься хреновый маркетинг!

В любом случае мне подобный опыт, в плане современных защит будет не лишним. А что там мутят дяди Боссы и МРАакетологи будущее покажет.

Шумадан 30.10.2013 04:55

может попроще способ спасёт отцов русской демократии? ну так чтоб два раза колесо не изобретать?
http://ru.wikipedia.org/wiki/HASP

не совсем понял наклон темы, шифрование даных или шифрование проги, или шифрование всего мира? ну и как показывает практика, можно сильно не шифровать, всё равно оно будет грудой мусора через полгода-год. главное успеть правильно толкнуть и выпускать периодические качественные обновки.


Время: 10:13