Главная » Форум » Gentoo Linux » Общие вопросы

У кого какой способ ?

vovanvster 12 марта, 2010 - 18:55

Как известно при физическом доступе к машине легко изменить пароль
рута с помощю chroot.
Есть ли способы избежать этого кроме шифрования раздела ?

‹ steam и msi openoffice.org и принтер canon ip-2500 ›
»

Отключить загрузку со сменных

Автор Youshi, дата создания 12 марта, 2010 - 19:17.

Отключить загрузку со сменных носителей, пароль на BIOS, пароль на GRUB... нэ?

Я не смог понять твой комментарий...
И по этому поводу решил подарить тебе запятую: ",". Используй её с умом!

»

Youshi написал(а): Отключить

Автор taaroa, дата создания 12 марта, 2010 - 19:29.
Youshi написал(а):
Отключить загрузку со сменных носителей, пароль на BIOS, пароль на GRUB... нэ?

+1

2топикстартер

Извините, но написали вы бред полнейший. При физическом доступе можно отрубить питание, вытащить винчестер, подрубить его к другой машине и... если нет шифрования, то просто nano -w /etc/shadow

also Курим...

»

taaroa написал(а): Youshi

Автор vovanvster, дата создания 13 марта, 2010 - 01:17.
taaroa написал(а):
Youshi написал(а):
Отключить загрузку со сменных носителей, пароль на BIOS, пароль на GRUB... нэ?

+1

2топикстартер

Извините, но написали вы бред полнейший. При физическом доступе можно отрубить питание, вытащить винчестер, подрубить его к другой машине и... если нет шифрования, то просто nano -w /etc/shadow

also Курим...

Не совсем бред, существуют моменты когда вытащить винчестер сложно.
Замки на корпусе, дефицит времени и т.д. И кстати Курим... выкурено давно, даже хапчиков нету.

Мышка дура, прав был Суворов.

»

В BIOS есть возможность

Автор k1b0rg, дата создания 13 марта, 2010 - 13:25.

В BIOS есть возможность выбрать носитель с которого загрузится комп НЕ ЗАХОДЯ в BIOS.
Для этого надо нажать ESC после включения компа и ждать появления меню выбора. Таким образом я обычно гружусь с CD диска на ноуте, на BIOS которого пароль давно забыт, а восстанавливать пароль лень.

»

k1b0rg написал(а): В BIOS

Автор vovanvster, дата создания 28 марта, 2010 - 10:45.
k1b0rg написал(а):
В BIOS есть возможность выбрать носитель с которого загрузится комп НЕ ЗАХОДЯ в BIOS.
Для этого надо нажать ESC после включения компа и ждать появления меню выбора. Таким образом я обычно гружусь с CD диска на ноуте, на BIOS которого пароль давно забыт, а восстанавливать пароль лень.

Это зависит от материнки, на чипах nvidia например F12

Мышка дура, прав был Суворов.

»

,

Автор izbushka, дата создания 12 марта, 2010 - 19:25.

При физическом доступе легко забирается винт с собой, или подключается к ноуту и меняются пароли.

»

Пароль на накопитель - но

Автор slepnoga, дата создания 12 марта, 2010 - 22:17.

Пароль на накопитель - но гемморой.
Были системы с привязкой винта к мамке для шизофреников

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Ну уж не для шизофреников а

Автор vovanvster, дата создания 13 марта, 2010 - 01:07.

Ну уж не для шизофреников а для параноиков :)
Дак это что, весь раздел / шифровать ? Или существует возможность
создать маленький раздел и на него shadows и password положить ?
Да и загрузчик на флешку ставить боязно, потеряться может или умереть.

P.S. Выходит систему невозможно обезопасить и остаётся только шифровать ценные данные в домашнем разделе ?

Мышка дура, прав был Суворов.

»

.

Автор taaroa, дата создания 13 марта, 2010 - 01:19.

http://en.gentoo-wiki.com/wiki/DM-Crypt_with_LUKS

»

taaroa

Автор vovanvster, дата создания 13 марта, 2010 - 01:38.
taaroa написал(а):
http://en.gentoo-wiki.com/wiki/DM-Crypt_with_LUKS

А зачем ? Давно EncFS юзаю.

Неужели никому в голову не приходило реализовать например такую фишку: при загрузке некая програмулька проверяет контрольную сумму passwd и shadows и если что не так halt. А уж файл с которым програмулька сверяется можно где угодно спрятать.

Мышка дура, прав был Суворов.

»

Исчо рас :) система команд

Автор slepnoga, дата создания 13 марта, 2010 - 01:41.

Исчо рас :)
система команд АТА имеет поддержку лока накопителя по паролю, а так же экстренное стирание инфы средствами самого накопителя.
Ман АТА, вообщем : http://www.t13.org/

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

slepnoga написал(а): Исчо рас

Автор vovanvster, дата создания 13 марта, 2010 - 01:48.
slepnoga написал(а):
Исчо рас :)
система команд АТА имеет поддержку лока накопителя по паролю, а так же экстренное стирание инфы средствами самого накопителя.
Ман АТА, вообщем : http://www.t13.org/

А можно исчо раз ? Если можно попроще и желательно применительно
к Gentoo.

Мышка дура, прав был Суворов.

»

можно - man hdparm

Автор slepnoga, дата создания 13 марта, 2010 - 05:59.

можно - man hdparm

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

vovantux@vovantux ~ $ man

Автор vovanvster, дата создания 23 марта, 2010 - 03:43.
vovantux@vovantux ~ $ man hdparm
Ничего про hdparm в руководстве нет

Мышка дура, прав был Суворов.

»

? eix -I hdparm

Автор Lupo Alberto, дата создания 28 марта, 2010 - 11:08.

?

eix -I hdparm

Я Gentoo & Funtoo

»

Кроме шифрования можно:

Автор DolphinSoft, дата создания 13 марта, 2010 - 01:49.

Купить HDD-Box с поддержкой RAID на WiMax, спрятать его в сейф, завести ему питание настроить через вебморду и лазить не стесняясь, хоть с шифрованием, хоть без.
PS: делов-то - штуки на полторы .... зелени ....

Gentoo - Symphony of Creations

»

DolphinSoft

Автор vovanvster, дата создания 13 марта, 2010 - 01:49.
DolphinSoft написал(а):
Купить HDD-Box с поддержкой RAID на WiMax, спрятать его в сейф, завести ему питание настроить через вебморду и лазить не стесняясь, хоть с шифрованием, хоть без.

Гениально ! Ещё можно на необитаемый остров уехать.

Мышка дура, прав был Суворов.

»

Это было бы здорово

Автор DolphinSoft, дата создания 13 марта, 2010 - 01:57.

Если бы вы так поступили,
Вместо того чтобы предлагать шифрование, когда от него просят отказаться ....
Не в обиду ...

ЗЫ: на необитаемом острове есть еще хуже враги - конденсат и насекомые ;)

Gentoo - Symphony of Creations

»

DolphinSoft написал(а): Если

Автор vovanvster, дата создания 13 марта, 2010 - 02:01.
DolphinSoft написал(а):
Если бы вы так поступили,
Вместо того чтобы предлагать шифрование, когда от него просят отказаться ....
Не в обиду ...

ЗЫ: на необитаемом острове есть еще хуже враги - конденсат и насекомые ;)

Насекомые фигня они хитиновые, а хитин диелектрик.
Это только в сервисных центрах лохов при помощи тараканов разводят :)

Мышка дура, прав был Суворов.

»

Ну да, видел я один магнитофон

Автор DolphinSoft, дата создания 13 марта, 2010 - 02:09.

у которого дорожки на платах разъело от дерьма насекомых за 14 лет...
Вам не кажется что от темы отошли, не?

Gentoo - Symphony of Creations

»

DolphinSoft написал(а): Вам

Автор taaroa, дата создания 13 марта, 2010 - 02:35.
DolphinSoft написал(а):
Вам не кажется что от темы отошли, не?

Ага, оффтоп начался. =\

По теме:

«Security is a process, not a product» (с) Bruce Schneier

...и веселая картинка.

»

С темой всё ястно, умерла.

Автор vovanvster, дата создания 13 марта, 2010 - 02:37.

С темой всё ястно, умерла. Надо реализацию вот этого искать:
при загрузке некая програмулька проверяет контрольную сумму passwd и shadows и если что не так halt

Мышка дура, прав был Суворов.

»

Да?!

Автор willy, дата создания 13 марта, 2010 - 03:20.

Я премного извиняюсь, так как не силён в безопасности...
Ну а если для ограничения физ. доступа к компу использовать
kvm-переключатели (их в продаже тьма под разные нужды и вкусы)?

»

willy написал(а): Я премного

Автор SysA, дата создания 13 марта, 2010 - 18:18.
willy написал(а):
Я премного извиняюсь, так как не силён в безопасности...
Ну а если для ограничения физ. доступа к компу использовать
kvm-переключатели (их в продаже тьма под разные нужды и вкусы)?

А причем здесь kvm?!

»

Клавиатура Видео Мышь - удлинители/переключатели...

Автор willy, дата создания 14 марта, 2010 - 09:52.
SysA написал(а):
А причем здесь kvm?!

А вот при чём
Я извиняюсь за свою ошибку в моём посте выше.
Правильней было написАть "kvm-удлинитель".

»

willy написал(а): SysA

Автор SysA, дата создания 15 марта, 2010 - 00:46.
willy написал(а):
SysA написал(а):
А причем здесь kvm?!

А вот при чём
Я извиняюсь за свою ошибку в моём посте выше.
Правильней было написАть "kvm-удлинитель".

Да не в словах суть! Тут все понятно.
Вы лучше определитесь: что и от кого защищаете - может проще поставить парочку солдат с автоматами и проблема решена?! :D
А тут, насколько я понял, в основном обсуждаются проблемы программной защиты данных и чисто с академической точки зрения...
В реале подход к решению будет несколько иной ;), - поскольку надо знать не только что и от кого, а также сколько стоит инфа и сколько стоит защита. Иначе можно и микроскопом гвозди..., и бумажные стены перед танком...

»

Как известно при физическом

Автор GoodWin, дата создания 13 марта, 2010 - 14:18.
Как известно при физическом доступе к машине легко изменить пароль
рута с помощю chroot.
Есть ли способы избежать этого кроме шифрования раздела ?

Программных - НЕТ.
Шифрованием раздела обеспечишь себе злокачественный геморрой.

Если нужно защитить данные - именно данные - шифруй данные.
Что может быть секретного в настройках сервера?!

Если нужно защитить систему от физического вмешательства - защищай от физического вмешательства. Но это уже платформонезависимая задача.

emerge Your world
Gentoogle

»

Программных - НЕТ На уровне

Автор slepnoga, дата создания 13 марта, 2010 - 19:12.
Программных - НЕТ

На уровне простого хацкора - есть. На уровне замены платы управления HDD - конечно нет.
http://linux.die.net/man/8/hdparm Раздел ATA Security Feature Set - зашита именно от вытаскивания накопителя.
пароль HDD в биосе многих ноутов - именно этот

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

Ну есть еще TPM + FDE диски.

Автор alexxy, дата создания 14 марта, 2010 - 16:24.

Ну есть еще TPM + FDE диски. На некоторых ноутах встрачаются.
Там идет полное шифрование раздела диска на уровне контроллера. Управляется через tpm чип.
Но вот забывать пароли на таких системах не советую. =P

___________________________________________
Working on Gentoo for iPAQ hx4700 and Openmoko Neo Freerunner :-)
Если у вас компьютер с Windows, есть два выхода: выбросить компьютер в форточку или выбросить форточки с компьютера

»

Вот так вот очень всё ястно !

Автор vovanvster, дата создания 23 марта, 2010 - 03:47.

Вот так вот очень всё ястно ! Я так и думал. Ну была какая-то надежда...
P.S. Данные шифруем, как без этого ?

Мышка дура, прав был Суворов.

»

Для этого надо загрузить

Автор wi, дата создания 14 марта, 2010 - 20:57.

Для этого надо загрузить машину с внешнего носителя. Собсно закрываем физически доступ к биосу при помощи амбарного замка. Пароль на биос, запрет загрузки со всего кроме харда. Шифрование применяется ежели информация представляет некую коммерческую ценность. Смена пароля рута с украденного винта никому не нужна. Для параноиков есть рещшения аппаратно и за деньги, типа контроллеров с аппаратным шифрованием винта с ключами в usb токене в районе 400 баксов за комплект.

»

Да все интерисующиеся

Автор vovanvster, дата создания 23 марта, 2010 - 03:49.

Да все интерисующиеся наверняка читали базовые и довольно расхожие мнения о безопасности...

Мышка дура, прав был Суворов.

»

=/

Автор taaroa, дата создания 14 марта, 2010 - 21:57.

Бессмысленные занятия это все...
Почему? Да потому, что без разработки модели угроз и модели нарушителей невозможно определить возможные каналы утечки информации, а также обосновать выбор средств защиты.

Microsoft Windows XP (без SP1) кстати была сертифицирована на уровень Common Criteria EAL4+ (: ,что как бы намекает: окружение и модель злоумышленника были подобраны весьма консервативно, в результате чего ни одна из обнаруженных уязвимостей не применима к протестированной конфигурации.

Нужно все таки четко понимать: что защищается, где защищается, от кого и зачем защищается. Банально, но факт.

P.S. для моих умеренно параноидальных потребностей вполне достаточно grsec + pax + rbac + iptables + фэйсконтроль.

»

Microsoft Windows XP (без

Автор slepnoga, дата создания 15 марта, 2010 - 01:07.
Microsoft Windows XP (без SP1) кстати была сертифицирована на уровень Common Criteria EAL4+

Откуда дровишики ? И главное: кем сертифицирована ? Пруфф можно ?

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

да всегда пожалуйста (:

Автор taaroa, дата создания 15 марта, 2010 - 01:30.

Certified product list -> http://www.commoncriteriaportal.org/products_OS.html

ISO/IEC 15408

»

grsec + pax + rbac + iptables + фэйсконтроль

Автор DolphinSoft, дата создания 15 марта, 2010 - 01:18.

+ кодовый замок на двери, а этот урод (злоумышленник) зашел к другу на работу в кабинет на 46 сек и выдернул 8 гб мозга с сервака (чегой-то он открытый стоял - ума не приложу), пока тот начальнику документы относил ...
Пусто все это ... стрелять надо ... только стрелять.

Gentoo - Symphony of Creations

»

Это уже флэйм...

Автор taaroa, дата создания 15 марта, 2010 - 03:37.

В описанной вами ситуации варианты дальнейшего ее развития:
0. вы получаете как минимум выговор, задумываетесь, лишаетесь премии, задумываетесь еще глубже, в худшем варианте - по собственному желанию, в еще худшем...
1. о том и речь была выше - модель угрозы, вектор атаки

И еще раз: «Security is a process, not a product» (с) Bruce Schneier

»

Не, все проще :)

Автор DolphinSoft, дата создания 15 марта, 2010 - 04:34.

10 С зарплаты покупается память за свой счет
20 код=новый код
30 Ждем 1 месяц
30 Если (события за месяц==повторяются) повторить все сначала, иначе повторить с 20

Вопрос в том, насколько хватит нервов от остатков зарплаты и терпения начальства :)))

Gentoo - Symphony of Creations

»

электронный замок "Соболь",

Автор HAMyak, дата создания 15 марта, 2010 - 15:41.

электронный замок "Соболь", нэ?
правда, как показывает практика, ключ от такого замка всегда лежит рядом с защищаемой машинкой... ну и по файловым системам ограничения есть... и по операционным...
http://www.securitycode.ru/products/sobol/

Где мало слов, там вес они имеют... (с) W. Sheakespeare

»

электронный замок "Соболь"

Автор taaroa, дата создания 15 марта, 2010 - 16:20.

Угу, и самое главное в этой штуке - это

Защита в соответствии с законодательством
Сертификаты ФСБ и ФСТЭК позволяют использовать «Соболь» для защиты информации, составляющей коммерческую или государственную тайну в автоматизированных системах с классом защищенности до 1Б включительно.

P.S. и как показывает печальная практика - человеческий фактор зачастую причина не только техногенных аварий, но и утечек конфиденциальной информации, не осилила блондинка Олечка запомнить новый сложный пароль по предписанию аутсорсинг проверки, прилепила она бумажку с паролем на скотч к монитору.

»

В точку! :)

Автор DolphinSoft, дата создания 15 марта, 2010 - 16:47.

При этом весь отдел вокруг нее хороводы водил, забывая про "Соболь", "безопасность" и "Закрыть крышку сервера" :)))

Gentoo - Symphony of Creations

»

+1

Автор vovanvster, дата создания 23 марта, 2010 - 03:55.

+1

Мышка дура, прав был Суворов.

»

А куда опыт и интуицию дели ?

Автор vovanvster, дата создания 23 марта, 2010 - 03:53.

А куда опыт и интуицию дели ? Есть и другие подходы. А фейсконтроль в первую очередь... Я когда плохо выгляжу в зеркале то пароль рута и не вспоминаю :)

Мышка дура, прав был Суворов.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".