LINUX.ORG.RU
ФорумAdmin

losetup/dm-crypt & flash-key


0

0

Всем привет.
Есть Debian Lenny
Есть зашифрованный раздел, созданный с losetup - работает отлично.
(планирую позже посмотреть и перевести на dm-crypt).
Есть желание добавить +1 проверку при монтировании шифрованного раздела - после стандартного для losetup ввода пароля проверять наличие вставленной флешки (например /dev/disk/by-id/usb-Generic-_Multi-Card_20071114173400000-0:0) - и читать оттуда специальный файл. Если файл найден - то всё ок.

Подскажите пожалуйста - куда копать, очень не хочеться пересобирать mount

mount тут ни причём, эта команда никогда с зашифрованными разделами не работает. Она монтирует либо loopback-device созданный losetup, либо dm-device созданный cryptseup/dm-crypt. Собственно и пароль запрашивает losetup или dm-crypt. Напиши для них простой скрипт-обёртку хоть на bash.

pupok ★★ ()
Ответ на: комментарий от pupok

К сожалению обход такой защиты очень просто делается даже для начинающего линуксоида (( - главное получить рута, что при физическом доступе к машинке не вопросс.

Увидел такой вариант: имя файла на флешке или его контент должны объединятся с введённым паролем - и вместе уже составлять private key.
Тогда действительно, даже получив доступ к машинке, человеку обязательно нужны будут 2 условия:
* знание пароля раздела
* наличие нужной флешки (или хотя бы её образа)

cyclope ()
Ответ на: комментарий от cyclope

> обход защиты очень просто делается - главное получить рута

ты определись что и от кого ты защищаешь. От рута в любом невозможно скрыть данные обрабатываемые на локальном CPU.

pupok ★★ ()
Ответ на: комментарий от pupok

неверно. зашифрованные разделы, если пароль раздела не совпадает с паролям рута (ужос), расшифровать без ключа не выйдет (речь не идёт о методах взлома помещением ноута в халодильник и т.п., если в курсе...)

cyclope ()
Ответ на: комментарий от pupok

з.ы. машинка - ноут, юзер один. защита инфы раздела на случай, если её тупо сопрут.
даже школьник сможет залогиниться, используя кноппикс или подобное, фиг с ним - мне важно сокрытие именно криптованного разделла
з.ы. считаем, что тот кто спёр машинку - знает также пароль раздела, а вот флешки у него точно нет

cyclope ()
Ответ на: комментарий от dimon555

это страшно только в том случае, если я не узнаю, что ноута не было на месте.
можем считать что такой страшный вариант не рассматриваем пока.

cyclope ()
Ответ на: комментарий от cyclope

прочитай ещё раз по буквам: «От рута в любом невозможно скрыть данные ОБРАБАТЫВАЕМЫЕ на локальном CPU».

pupok ★★ ()
Ответ на: комментарий от dimon555

это страшно только в том случае, если я не узнаю, что ноута не было на месте.
можем считать что такой страшный вариант не рассматриваем пока.

cyclope ()

Правильная идея тут уже промелькнула: половина пароля хранится в файле на флешке, половина — у тебя в голове. Объединение их и скармливание полученного пароля системе шифрования выполняет простой скрипт на твоем любимом скриптовом языке.

// Рут-то, конечно, может все, но кроме рутовых привилегий нужен еще мозг и некоторые необходимые инструменты, а такие спецы обычно стоят очень дорого.

nnz ★★★★ ()
Ответ на: комментарий от nnz

Правильная идея тут уже промелькнула: половина пароля хранится в файле на флешке, половина — у тебя в голове. Объединение их и скармливание полученного пароля системе шифрования выполняет простой скрипт на твоем любимом скриптовом языке.

Это ещё у Шнайера, AFAIR, было.

undertaker ★★ ()
Ответ на: комментарий от undertaker

дык йоу, я ж и говорю - поделитесь мыслями-ссылками

cyclope ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.