Шифрование раздела

т.е например заменили мать - не монтироваться

так не получится. мать сгорела - прощай инфа?

зашифрованный раздел не будет смонтирован пока ты не введёшь пароль. Пароль можно сделать в виде файл-пароль или определённой флешки(можно монтировать без пароля).

Проще всего использовать truecrypt: https://wiki.archlinux.org/index.php/TrueCrypt

тут тоже можешь посмотреть о доступных способах шифрования средствами линукса. https://wiki.archlinux.org/index.php/Using_DM-Crypt

да, мать сгорела - прощай инфа. это не страшно, инфа статичная, комп работает только на чтение.

в виде файла пароль подходит.
а как можно защититься от угона инфы с уже загруженного компа? не говорить пароль рута? но его можно сменить с лайв сиди какого нить. тогда и /etc нужно вынести в отдельный раздел и тоже шифровать?

за ссылки спасибо, почитаю. просто хочется для начала убедиться, что это реально, и что вася пупкин с третьего подъезда не обойдет всю эту защиту)

для смены пароля рута третьими лицами:

использовать livecd , комп нужно отрубить - зашифрованный раздел отмонтировался. Злоумышленнику нужно ввести пароль(не важно в каком виде), при использовании ключа-флешки это не страшно, если её изъять после монтирования раздела. В случае с файлом, если он на том-же компе будет защиту можно обойти.

злоумышленник использует rootkit - ваши данные у него, если диск/раздел уже смонтирован. Что можно против этого сделать я не знаю, разве что не давать пользователю права на исполнение, но это естественно не выход.

тогда и /etc нужно вынести в отдельный раздел и тоже шифровать?

тоже не вариант, если будет использован rootkit.

Больше пока идей нет.

печально..
а что нить типо hasp ключа существует в никсах? нужно недопустить клонирование харда, либо извлечение ПО

Если компутер загружен и работает и раздел примонтрирован - как ты будешь пытаться запретить чтение данных с этого раздела?

В смысле что мешает скопировать данные с работающей системы?

Как, если нет доступа к файлам из-за привилегий? И уязвимости закрыты, известные на текущий момент, которые бы позволили поднять привилегии.

Вот людям делать нечего. Я бы понял, если это сервер с супер-пупер-секретными данными. Но прятать таким способом что-либо еще..? Жесткое порно от родителей? Тихо фигею.

Ну можно отрезать интернеты, запретить монтирование любых девайсов, кроме родных хардов и флешки с ключом для дешифровки раздела. Но если попадется человек, с хорошо натренированной памятью, то никакие линуксы не спасут :)

> Как, если нет доступа к файлам из-за привилегий? И уязвимости закрыты, известные на текущий момент, которые бы позволили поднять привилегии.

Нет доступа к файлам, но есть физический доступ PC? Ты в это веришь?

>Реально ли организовать такую систему
Да.

какая то контрольная сумма/хеш id железа

Если есть возможность загрузить произвольную систему на железе, то можно будет спокойно эту же самую контрольную сумму сдампить. Не вариант.
Ъ: умное устройство с закрытым ключом.

> Ъ: умное устройство с закрытым ключом.

Насколько я понимаю, речь идёт про обычные PC. Так что это малоосуществимо

Один usb порт не выводить наружу, внутри корпуса впаять флешку с ключом. Опционально замаскировать.

А ну и скрипт для проверки железа.

eToken? :)

Компютер с TPMом?

я же отписал, зачем это мне надо (даже не мне). и данные не супер-пупер секретные, но распространение их хотелось запретить. грубо говоря, я даю тебе в аренду комп с ПО, и не хочу, чтобы ты клонировал хард/каким либо образом слил ПО и перестал платить за аренду. вот и все. но я уже понимаю, что это утопия.

а порно у меня на болванках (на два терабайтных харда все не влазиет), в специальной комнате со стеллажами и роботизированной рукой для доставки диска (и не только доставки). так что тут все схвачено

тут скорей всего защиту в самом ПО нужно делать, привязываться к харду и еще чему нить, но опять же, хитрые хацкеры найдутся, даже если защита будет сложнее банального strcmp.

Либо кто может посоветует антиотладочные приемы в никсах? хотя я с в виндах с ними особо не знаком.