artiom_n 24 авг 2018 в 13:33

Bonding и SSH-сервер в initramfs

5 мин

11K

Информационная безопасность*Системное администрирование**nix*Хранилища данных*DIY или Сделай сам

Recovery Mode

+23

Комментарии 10

Dvlbug 24 авг 2018 в 16:15

>>> при каждом таком отключении (электричества), чтобы снова включить систему, приходилось ездить в другой город.

Возможно я немного не понимаю проблему, но разве это не решается настройкой в BIOS'e?
After AC Power Loss: Last State | Power On. Или же Wake-on-lan?

UPD. Прошу прощения, невнимательно прочел. Речь о вводе ключа шифрования
>>>Благодаря подсказке от ValdikSS, эту проблема была решена. Но…

artiom_n 24 авг 2018 в 16:26

Возможно я немного не понимаю проблему, но разве это не решается настройкой в BIOS'e?
After AC Power Loss: Last State | Power On. Или же Wake-on-lan?

См. оригинальную статью. NAS с полнодисковым шифрованием.

Dvlbug 24 авг 2018 в 16:49

А в чем была причина ставить / на зашифрованный раздел, because we can?
В результате вы получили необходимость ехать в другой город для разблокировки, но могли бы по ssh зайти в систему и смонтировать ФС со всеми конфиденциальными данным, если бы оставили root не зашифрованным.

artiom_n 24 авг 2018 в 16:57

Нет, не поэтому.

Задача в том, чтобы минимизировать объём ПО, подверженный несанкционированному изменению.

Dvlbug 24 авг 2018 в 18:18

Это должно решится установкой tripwire, все изменения файлов подписываются созданным ключом.

artiom_n 24 авг 2018 в 20:35

Я как-то пользовался Samhain — аналогичным продуктом. Не решается. И поддерживать такое решение сложно даже только для ОС.
Тем более, при наличии физического доступа к системе у атакующего, всё ещё сильнее усложняется.
Хотя, никто не запрещает его использовать, как дополнительную меру безопасности.

alexkuzko 25 авг 2018 в 10:56

Немного странный вопрос, а можно ли доверять такому вводу если на удаленной стороне пытаются перехватить трафик? Понятно что SSH, но немного страшновато ))

artiom_n 25 авг 2018 в 11:04

Я ожидал такого вопроса.
Надо уточнить где:

Если MitM в канале, то да, у SSH от этого есть защита, ведь ключ вы распределяете, используя надёжный канал (контролируемую ЛВС или флешку). Считаем, что протоколы надёжны, и вы можете доверять SSH и его реализации.
Если под контролем находится физическое устройство, нет. Тут вопрос решается дополнительными мерами, которые относятся к регламенту. Вам бы сказали на этот счёт: "Закроем орг. мерами".

Alexufo 24 авг 2018 в 23:24

where is the «any» key? ответ на кдпв

artiom_n 26 авг 2018 в 09:39

На самом деле, не совсем:

Скрытый текст

Но суть та же.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Показать лучшие за всё время