Аналог bitlocker на FreeBSD

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Yakon
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-09-11 15:36:14

Аналог bitlocker на FreeBSD

Непрочитанное сообщение Yakon » 2009-09-11 15:44:32

Здравствуйте.
Можно ли с помощью geom_eli зашифровать весь диск и чтобы ключ при загрузке брался с самого зашифрованного диска?
То есть сам сервер открывает диск, а при нестандартной загрузке диск - бесполезная рухлядь.
Мне нужно, чтобы я брал сервер, загружал на него данные, и он прекрасно работал самостоятельно вдали от меня. И я был спокоен, что но никто, не зная пароль рута, не может увидеть содержимое хардов.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
camelium
рядовой
Сообщения: 43
Зарегистрирован: 2009-07-05 14:01:36
Откуда: Хмельницкий, UA
Контактная информация:

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение camelium » 2009-09-11 16:29:15

Ето типа ключи от сейфа в самом сейфе :roll:
nobody is free

Yakon
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-09-11 15:36:14

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение Yakon » 2009-09-12 8:27:57

Да, так работает bitlocker в винде.
Сервак включается, прекрасно работает,
но при попытке как-то повлиять на систему, изменить порядок загрузки, переставить хард, всё блокируется.
Удобно при передаче сервера третьим лицам.
Хочу такое же с Фрёй сделать.

Yakon
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-09-11 15:36:14

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение Yakon » 2009-09-14 16:25:29

Неужели никто подобное не делал?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение Alex Keda » 2009-09-14 16:33:08

врятли получиться...
Убей их всех! Бог потом рассортирует...

Yakon
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-09-11 15:36:14

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение Yakon » 2009-09-15 9:14:20

Я неверно сформулировал.
Ключ хранится не на зашифрованном диске, а шифрование привязывается к TPM.
Я Windows есть, в Mac OS есть, а в FreeBSD не нашёл...
Жаль.
Если кто-то что-то узнает, то просветите, пожалуйста.

Аватара пользователя
camelium
рядовой
Сообщения: 43
Зарегистрирован: 2009-07-05 14:01:36
Откуда: Хмельницкий, UA
Контактная информация:

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение camelium » 2009-09-16 20:48:25

"защита от дурака" man gshsec :fool:
nobody is free

Yakon
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-09-11 15:36:14

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение Yakon » 2009-09-17 9:49:53

Действительно "защита от дурака".
А кто мне мешает загрузится с LiveCD и перелопатить всю систему?
Что-то поэффективнее есть?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение Alex Keda » 2009-09-17 12:31:20

Yakon писал(а):Действительно "защита от дурака".
А кто мне мешает загрузится с LiveCD и перелопатить всю систему?
Что-то поэффективнее есть?
для винды нет оригинального лайф СД
Убей их всех! Бог потом рассортирует...

Yakon
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-09-11 15:36:14

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение Yakon » 2009-09-17 13:43:29

А при чём здесь винда?
Мы ж про FreeBSD говорим.
Предложенный gshsec не подходит.
Так как он эффективен если секретный раздел разброван на несколько дисков.
Украли флешку, сам её вынул или вытащили хард и информация не ушла.
А тут я целиком передаю комп.
Загрузился с LiveCD, снял пароли и пользуйся наздоровье секретным разделом.
Нужно другое решение...

Аватара пользователя
camelium
рядовой
Сообщения: 43
Зарегистрирован: 2009-07-05 14:01:36
Откуда: Хмельницкий, UA
Контактная информация:

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение camelium » 2009-09-17 22:09:38

А как-же Single Mode, тогда сама идея теряяет смысл, зачем шифровать если с однопол режима можна получить доступ к инфе

Тяжелый метод (теоретически):
пример на blowfish
в /usr/src/sys/crypto/blowfish исходники крипто-системы geli
идея заключается в том, чтобы поправить "таблицу" как нам надо (изменить все пару символов)
пересобрать ядро и создать свой LiveCD, с его помощью установить ОСь на geli(blowfish)
в результате ни один liveCD (кроме нашего) не раскодирует винт
nobody is free

AMDmi3
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-09-10 2:22:56
Откуда: Москва
Контактная информация:

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение AMDmi3 » 2009-09-21 18:14:43

TPM, насколько я знаю, не поддерживается, а без TPM это все игрушки, не обеспечивающие никакой реальной безопасности.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение paradox » 2009-09-21 18:52:36

трукрипт вроде как для винды линуха и бсд
кто пробовал?

zoid
рядовой
Сообщения: 36
Зарегистрирован: 2008-10-08 4:01:57
Откуда: Беларусь

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение zoid » 2009-09-22 19:15:46

Yakon писал(а): А тут я целиком передаю комп.
Загрузился с LiveCD, снял пароли и пользуйся наздоровье секретным разделом.
Нужно другое решение...
Возможно, я недопонял условий задачи, тогда поясните. Но в случае, если вы передаёте целиком машину с конфиденциальной информацией в ненадёжные руки, с возможностью этой информацией пользоваться - в чём вообще смысл шифрования?

Yakon
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-09-11 15:36:14

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение Yakon » 2009-09-22 19:22:18

Есть определенный набор скриптов.
Имеем входной массив информации и выходной массив через веб-интерфейс.
Нужно скрыть механизм преобразования информации.
Меанизм включает БД, скрипты шелла, скрипты php, набор папок.
Сервер стоит у третьего лица в локалке.

zoid
рядовой
Сообщения: 36
Зарегистрирован: 2008-10-08 4:01:57
Откуда: Беларусь

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение zoid » 2009-09-22 19:53:09

Yakon писал(а):Есть определенный набор скриптов.
Имеем входной массив информации и выходной массив через веб-интерфейс.
Нужно скрыть механизм преобразования информации.
Меанизм включает БД, скрипты шелла, скрипты php, набор папок.
Сервер стоит у третьего лица в локалке.
Т.е. задача в сокрытии реализации некоего алгоритма? И всё?

Yakon
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-09-11 15:36:14

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение Yakon » 2009-09-23 8:42:35

И всё.
Только проблема в том, что механизм состоит из многих средств.
И логичнее было бы закрыть сразу всю систему, чем приделывать костыли к каждой компоненте.
В винде это делает bitlocker, а здесь решение так и не придумал.

zoid
рядовой
Сообщения: 36
Зарегистрирован: 2008-10-08 4:01:57
Откуда: Беларусь

Re: Аналог bitlocker на FreeBSD

Непрочитанное сообщение zoid » 2009-09-24 13:47:19

Yakon писал(а):И всё.
Только проблема в том, что механизм состоит из многих средств.
И логичнее было бы закрыть сразу всю систему, чем приделывать костыли к каждой компоненте.
В винде это делает bitlocker, а здесь решение так и не придумал.
Ну, как и любой DRM, 100%-ой надежности, мне так видиться, не даст и TPM - рано или позно найдеться, к примеру, эксплойт позволяющий поднять права при локальном доступе. Но принимая, что ресурсы потенциального атакующего органичены, могу предложить такое решение:

Пусть открытие гели-провайдера осуществляется не штатной утилитой, а специально написанной программой, которая будет производить ключ из собственно пользовательского ключа и хэша N строк из dmesg конкретного компа, или даже хэша рут-раздела. Если есть подозрение, что информация ценна настолько, что атакующий попытаеться посмотреть программу изнутри - задействовать стандартные способы антидебага, которых в природе существует довольно много.