LINUX.ORG.RU

Двойной пароль


0

1

При загрузке Linux (у меня дистрибутив Ubuntu) появляется стандартное окно авторизации.

Хочется сделать так, чтобы вход производился «двойным» образом. Например, если ввожу пароль «1234», то загружается моя обычная среда с супер-секретными файлами (на зашифрованном разделе /home). Если я ввожу пароль «5678», то загружается подставная среда.

Т.е. приходит Нехороший Человек, я ему выдаю пароль «5678». Он лазит по системе (в т.ч. под рутом), но не видит никаких супер-секретных файлов, не видит скрытых разделов на диске и т.п. То место, где содержатся супер-секретные файлы выглядит как свободное пространство (в hex-редакторе видны случайные данные).

Как это реализовать?

ecryptfs не устроит?

Sylvia ★★★★★
()

То место, где содержатся супер-секретные файлы выглядит как свободное пространство (в hex-редакторе видны случайные данные).

cryptsetup без LUKS. Смещение держать в голове.

GotF ★★★★★
()
Ответ на: комментарий от GotF

А как это сделать с помощью cryptsetup? Там вроде двойного шифрования нет.

Т.е. в системе должен быть незашифрованный раздел /boot и непонятный зашифрованный раздел. При вводе юзером «user» пароля «1234» этот зашифрованный раздел расшифровывается одним образом (обычная рабочая среда), а при вводе пароля «5678» - другим образом (подставная среда).

c661253
() автор топика

pam - Pluggable Authentication Modules for Linux

курить надо в этом направлении.

чтобы под рутом не видело... ну это надо какой-то фейковый рут(хотя у кого uid=0 тот крут), а ну или selinux крутить.

dimon555 ★★★★★
()
Ответ на: комментарий от c661253

Есть подозрение, что это из области фантастики. Можно сделать нечто подобное на костылях, но такая штука не выдержит первой же проверки.

GotF ★★★★★
()

Что-то конспираторов развелось в последнее время. То диски уничтожают, то подставной рабочий стол. В страшное время живем.

anonymous
()

Создать еще одну учетную запись, которая не была бы видна в gdm, и только ей дать права mount девайса. su снести/убрать, sudo запретить для 1 юзера.

derlafff ★★★★★
()
Ответ на: комментарий от GotF

> cryptsetup без LUKS. Смещение держать в голове.

Смещение использовать в качестве пароля. :)

Lumi ★★★★★
()

А что, уже изобрели двухметровые паяльники?

BattleCoder ★★★★★
()

Тебе, камрад, надо в области DRM работать. Там тоже полно ... фантазеров-конспираторов. Что из этого получается — недавние эпик-фейлы с PS3 и HDCP.

Запомни первое правило информационной безопасности: если кто-то получил локальный доступ к системе, он ее так или иначе, рано или поздно поломает.

Второе фундаментальное правило информационной безопасности: технические меры — сосут, организационные меры — рулят. Правильная организация деятельности, публичность, прозрачность, скурпулезное следование закону, резервирование ресурсов, наличие положения и связей сделают больше, чем все технические меры вместе взятые.

Третье правило информационной безопасности - анализ и моделирование. В твоем случае — нехороий человек еще не успел к тебе «зайти», а у тебя стоит самая обычная винда с историей посещения быдло-сайтов в браузере, несколькими троянами в виду отсутствия антивируса и прочими непременными атрибутами обычного компа миллионов леммингов по всему белу свету.

Macil ★★★★★
()
Ответ на: комментарий от Macil

>Запомни первое правило информационной безопасности: если кто-то получил локальный доступ к системе, он ее так или иначе, рано или поздно поломает.

Ну, тут работает еще и первое правило любой безопасности: перед проектированием системы оцени риск. Если ТС нередко подвергается проверкам вида «пришел проверяющий, велел отдать пароль аккаунта, проверил, много ли порнухи на диске и ушел», то предлагаемой защиты ему хватит. Но да, от скрупулезного изучения диска при достаточном времени это не поможет.

Впрочем, можно завести отдельную учетку, не отображаемую в gdm, или отдельно сделать скрытие разделов, чтобы отображались по дополнительному паролю.

proud_anon ★★★★★
()

Хочется сделать так, чтобы вход производился «двойным» образом. Например, если ввожу пароль «1234», то загружается моя обычная среда с супер-секретными файлами (на зашифрованном разделе /home). Если я ввожу пароль «5678», то загружается подставная среда.

truecrypt, имхо, может так

male66
()
Ответ на: комментарий от male66

Согласно веб-сайту этой программы, TrueCrypt - это свободное ПО с открытым исходным кодом для шифрования информации на диске, работающее в Windows Vista/XP, Mac OS X и Linux. Его обычное использование заключается в создании виртуального зашифрованного диска внутри файла (называемого файлом-томом или контейнером) и последующем монтировании его как реального диска. Как бы то ни было, он также реализует механизмы, обеспечивающие «правдоподобное отрицание» (plausible deniability) - скрытый том внутри другого и, конечно же, возможность шифровать целый раздел или устройство хранения.

male66
()

Вот было очень правильно сказано «если кто-то получил локальный доступ к системе, он ее так или иначе, рано или поздно поломает.» Я бы посоветовал сделать так - поставить где то в каморке такого то подвала сервер с нужной Вам инфой и хранить ее там. А кабель который к нему идет замуровать в стенку ))) ..образно говоря....ну вообще хранить инфу не там где Вас будут проверять.

doctor-ua
()

изврат какой, заведи себе другого юзера и делов то

Pantserovik
()
Ответ на: комментарий от male66

Он так может исключительно под виндой.

Один из надежных вариантов - оставить подставную винду, но при этом вторую систему поставить зашифрованное (LVM).
Загрузка во вторую систему только через груб (и загрузочную область) на флешке.

А вообще - одно дело придумать такую защиту. На деле она скорее всего обломится.
Единственный надежный вариант - держать критическую информацию на недоступном для «проваряющего» сервере.
Купить себе VPS за 20 долларов, и делать c него что нужно по ssh.

Nicknamme
()
26 октября 2010 г.

TrueCrypt

Давно использую TrueCrypt именно для таких целей.

bon
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.