Как вариант - зашифровать все, кроме /boot

И тебе придется либо вводить пароль вручную при каждом включении, либо использовать USB-ключ (который придется хранить, как зеницу ока).

Проще уж начинить системник С-4, чтобы при попытке вскрытия он взлетал к чертовой матери.

И тебе придется либо вводить пароль вручную при каждом включении, либо использовать USB-ключ (который придется хранить, как зеницу ока).

И то верно. А есть интересно вариант, запуститься так, чтобы сперва стартовать минимальную систему, которая подымет ssh, потом удаленно подцепиться к этому ssh и запустить основную систему -_-

А так же, если кто-то нападет на этот системный блок с LiveCD - то не смог бы вытянуть оттуда данные.

Тогда уж проще разломать свободные разъёмы SATA, для верности раздолбать ещё и IDE (вдруг хацкер со старым приводом припрётся) и залить эпоксидкой USB.

Отключить CD и USB, принять меры, чтобы нельзя было открыть корпус

Тогда уж проще разломать свободные разъёмы SATA

Хацкер сможет просто взять и вытащить винт с данными

Проще уж начинить системник С-4, чтобы при попытке вскрытия он взлетал к чертовой матери.

(голосом Вицина) УК РФ, 222. До 4 лет. Не, не пойдёт

И это ещё при условии что никто не пострадает

З.Ы. в русской локализации - П-4

Тогда уж проще разломать свободные разъёмы SATA, для верности раздолбать ещё и IDE (вдруг хацкер со старым приводом припрётся) и залить эпоксидкой USB.

Зочем? Достаточно и того, что ключ к шифру подбирается очень долгое время.

принять меры, чтобы нельзя было открыть корпус

При необходимости стенка корпуса разрезается достаточно прочным ножом, про снятие морды я вообще молчу.

А каково назначание компа?

А есть интересно вариант…

Есть: под минимальной системой поставить виртуалку. Тогда ты сможешь зайти по ssh, подмонтировать зашифрованный раздел, и запустить в виртуалке основную систему.

При необходимости стенка корпуса разрезается достаточно прочным ножом, про снятие морды я вообще молчу.

Как вариант - поставить в охлаждаемый сейф

Да, к сожалению, законы в этой стране воистину идиотские!

Увы, бедный эльф, законы Тех Стран также не одобряют незаконное хранение взрывчатых веществ. Разве что где-нибудь в странах третьего мира...

Ну так можно и не взрывчатых: воткнуть внутрь мощный электромагнит, который нафиг сотрет все в крайнем случае.

И, кстати, интересно, как "закон" относится к воде? Ведь это тоже мощное взрывчатое вещество (наливаем в бутылку воды, втыкаем 2 длинных электрода-разрядника, герметично закрываем, переворачиваем, пускаем слабый ток → получаем гремучий газ; подаем на разрядник высокое напряжение → бубух).

Не, не пойдёт

на pgpru.com ходила байка про конфискованный системник, который при попытки вскрытия начал жужжать, спустя минуты после вскрытия выяснилось, что там была электродрель на салазках с пружиной, которая просверлила всю пачку винтов :)

К стати, под виртуалкой вариант. А на случай чтобы не понаставили всяких кейлоггеров, при запуске виртуалки через ssh - можно влепить сканер хеш сумм файлов этой минимальной системы, чтобы сразу выявить были попытки подменить или добавить новое

С шифрованием не заморачивался, но разве нельзя зашифровать допустим только 1 раздел с данными, оставив основную систему не зашифрованной?

Можно, но как быть со всякими свопами/временными файлами и прочей ерундой?

Как вариант - зашифровать все, кроме /boot

Да, это и есть необходимый вариант. Можно установить ssh-сервер dropbear, скопировать в initramfs и вводить пароль удалённо по ssh.

А оригиналы хранить где-нибудь в шестом месте.

А ещё ходила байка по сейф. Тяжёлый, без ключа, при отключении от сети пищал бесперебойником. При вскрытии обнаруживался фалоимитатор с моторчиком.

Самое простое — это просто зашифровать диски, и да, swap тоже зашифровать.

И то верно. А есть интересно вариант, запуститься так, чтобы сперва стартовать минимальную систему, которая подымет ssh, потом удаленно подцепиться к этому ssh и запустить основную систему -_-

ИМХО, лучше сервер с удалённой консолью ( ilo, rsa и т.п. ). Для обычной системы легко и просто поломать «минимальную ситему», включив полный аудит ( все нажатия клавиш ) и пропатчив ssh для логирования паролей

Создать зашифрованную файловую систему внутри большого файла и монтировать его по необходимости. Если есть много оперативы своп не нужен.

http://ithappens.ru/story/4069 - эта байка, да?)

RE: И то верно

Поделюсь опытом. В своё время стояла задача что-то-там зашифровать. Тоже сильно боялся вопроса ручного ввода пароля. В результате придумал, где и как этот ключ хранить и как загружать, написал кучу скриптов и процедур, и теперь запуск _этого_ сервера происходит без ручного ввода. Но оказалось, что сам по себе сервер перестартовывает почти никогда, в основном при установке патчей, что делается в присутствии людей, способных ввести пароль, т.ч. выигрыш от решения этой проблемы очень спорный. Предлагаю, сначала, посчитать $$ - ключ где-то придётся хранить, и это место не должно быть рядом с данными, и всегда доступно в момент необходимости загрузки, и его должно быть 2-3 на случай потери ключа. Доступность твоего сервиса стоит 2х дополнительных вечностоящих машинок? Если нет - не напрягайся, вводи руками. Если да - рассмотри вариант установки 2х серверов с баллансировкой/переключением нагрузки и перегружай их по очереди, опять с ручным вводом. Если тебе это нужно для слишком многих машинок/ключей - тогда только стоит беспокоиться об устранении ручного ввода, и проще всего купить готовые чёрные криптоящики, и как-то прикручиваться к ним.

+1 :) не стал писать, дочитал-таки

можно и /boot шифровать, grub поддерживает.

Как бэ есть системы, которые при вскрытии и прочим пускают в сторону hdd ЭМП и данные стираются. Там же были активация сего устройства по телефону и по аналоговым кнопкам(который раскидывали по всему офису доверенным лицам)

вот, почитай, что Патрег советует: http://mirror.yandex.ru/slackware/slackware64-current/README_CRYPT.TXT

И тебе придется либо вводить пароль вручную при каждом включении, либо использовать USB-ключ (который придется хранить, как зеницу ока).

пароль можно послать автоматически по ssh. Для злоумышленника будет Linux+куча мусора.

До 4 лет. Не, не пойдёт

ну можно спецназовца с автоматом. Это пойдёт, хотя и дороже.

И тебе придется либо вводить пароль вручную при каждом включении

4.2, никто dropbear в initrd не отменял

А как насчет man-in-the-middle?

Ты уверен, что никто не перехватит твою ssh-сессию, отдающую пароль на этапе загрузки?

Уверенным можно быть только в случае отключенного от сети компьютера вообще. Однако смысл криптографии в том, чтобы взлом был дороже самой информации.

Вместо ЮСБ ключа, можно использовать любой файл для ключа. Файл может лежать в сетки и когда комп загружается, он по сети тянет файло и все ок. Нет сети, комп не загрузится. Файл может быть абсолютно любой.

Конечно есть риск, что вражина узнает какой файл ему нужен... но! это еще надо узнать. Я лично сомневаюсь, что это возможно узнать, если только сам не узнаешь.

А вообще, такие компы редко выключают, поэтому можно сделать ввод пароля и не парится, это будет +1 к защите еще.

/boot на флешке уже советовали?

Хацкер сможет просто взять и вытащить винт с данными

приварить

А есть интересно вариант, запуститься так, чтобы сперва стартовать минимальную систему, которая подымет ssh, потом удаленно подцепиться к этому ssh и запустить основную систему -_-

есть, называется это «системы виртуализации»

атак то проще truecrypt'ом весь раздел зашифровать,
чтобы при загрузке пароль спрашивало

без него мало не грузиться, так еще и шифрованно все, включая ОС.