Pagina 1 di 1
file-system criptato
Inviato: gio 16 nov 2006, 17:51
da kobaiachi
ho bisogno di rendere "sicuro" l'accesso ad una macchina slackware.
l'idea sarebbe di avere un file-system completamente criptato .
come metodo di criptazione vorrei usare una doppia chiave asimmetrica.
pricipalmente vorrei che la macchina in questione parta da un dischetto di avvio (con lilo o grub fate voi) dove oltre al boot loader sia presente la chiave privata di decriptazione del file-system .
inoltre mi servirebbe che qualsiasi cosa gli utenti della macchina scarichino da internet venga salvata sul disco criptata, e quindi la macchina ad ogni dowload dovrebbe o scaricare in ram( ha 16 gb di ram) il file per poi copiarlo criptato sul disco oppure dovrebbe copiare il file sul disco e poi criptarlo e quindi cancellare dal disco il file originale (a tale scopo potrei anche aggiungere un disco dove il sistema scarica i file da internet per poi ricopiarli sui dischi principali criptati.
la macchina in questione fa poi settimanalmente il backup del disco su nastro.
io finora non mi sono mai occupato di queste problematiche quindi non so da che parte cominciare, ho letto alcuni documenti dove si spiegava come criptare solo il file-system di root ma mai l'intero file-system......
bene ora che ho esposto il problema passiamo alle domande.....
1) secondo voi è possibile realizzare tutto ciò?, e se si come ?
2) nel caso in cui decidessi di memorizzare temporaneamente i download in ram è possibile dire al sistema di riservare ad esempio 4 GB di ram a tale scopo ?
3) per il backup su nastro ci possono essere dei problemi ?
sarà vera gloria ?
a voi l'ardua sentenza
saluti
Kobaiachi.
Inviato: ven 17 nov 2006, 0:47
da lennynero
ma che è un lavoro per il pentagono??
Inviato: ven 17 nov 2006, 2:49
da masalapianta
ma che senso ha usare crittografia asimmetrica per crittare un filesystem locale? per queste cose si usa crittografia simmetrica; su linux attualmente il miglior modo di fare quel che chiedi e' usare dm-crypt (estensione del device mapper che permette di crittare/decrittare, al volo e in maniera trasparente allo user space, i dati su un filesystem):
http://www.saout.de/misc/dm-crypt/
Inviato: ven 17 nov 2006, 9:47
da DarkSide
Ha ragione masalapianta, essendo un applicazione machine to machine un algoritmo asimmetrico non ti serve ed hai il "problema" di memorizzare una chiave in più rispetto ad uno simmetrico (la memorizzazione delle chiavi è uno dei punti critici della sicurezza). Certo, se poi da requisito ti dicono di usare l'RSA come è accaduto a me, c'è poco da fare
Io ho letto di FUSE (
http://fuse.sourceforge.net), un modulo che ti permette di montare directory remote con su un server ssh. In questo modo le puoi user come file sistyem criptati. Ma non l'ho mai usato e non so dirti altro.
Inviato: ven 17 nov 2006, 15:36
da kobaiachi
ok quindi niente chiavi rsa (un problema di meno )
che algoritmo di criptazione mi consigliate di usare ? (ho letto che molto spesso si utilizza blufish)
raga come già detto di criptografia non ne conosco un gran che (e nemmeno di file-system) .
conosco giusto un po di criptografia di rete perche sto studiando ip sec, ma questo non è il mio campo.
anzi a proposito di file-system c'è un file-system che si presta meglio allo scopo ? io avevo pensato al classico e sempre valido ext2
che ne pensate ?
fortunatamente posso ancora rifutare il lavoro, però vorrei prima di rifutare almeno fare qualche tentativo su una macchina di prova perchè comunque il problema mi affascina molto.
masalapianta grazie del link
avevo gia letto di dm-crypt, io avevo capito che con questo si potesse solo criptare parte del file-system e non il file-system completo.
mi potresti confermare/smentire se ho capito bene oppure no ?
Grazie a tutti delle risposte .
Inviato: sab 18 nov 2006, 0:15
da masalapianta
kobaiachi ha scritto:ok quindi niente chiavi rsa (un problema di meno )
che algoritmo di criptazione mi consigliate di usare ? (ho letto che molto spesso si utilizza blufish)
aes256
raga come già detto di criptografia non ne conosco un gran che (e nemmeno di file-system) .
conosco giusto un po di criptografia di rete perche sto studiando ip sec, ma questo non è il mio campo.
"il tuo campo"? non mi pare si stia parlando di fare crittanalisi sull'algoritmo tal dei tali, ma semplicemente di usare un tool precotto e stratestato e stradocumentato per creare un device a blocchi che critti/decritti al volo i dati scritti/letti su/da esso; e' come dire "devo installare il cms tal dei tali che utilizza mysql per i suoi dati ma i db non sono il mio campo", sempre di un tool precotto si tratta, mica si parla di progettare e normalizzare un complesso db
anzi a proposito di file-system c'è un file-system che si presta meglio allo scopo ? io avevo pensato al classico e sempre valido ext2
e' irrilevante (dal punto di vista di dm-crypt) che tipo di fs crei sul device creato con dm-crypt
che ne pensate ?
de che?
fortunatamente posso ancora rifutare il lavoro, però vorrei prima di rifutare almeno fare qualche tentativo su una macchina di prova perchè comunque il problema mi affascina molto.
non e' un problema, e' una stupidaggine, in 10 minuti ti leggi la documentazione di dm-crypt/cryptsetup e puoi cominciare a fare prove
avevo gia letto di dm-crypt, io avevo capito che con questo si potesse solo criptare parte del file-system e non il file-system completo.
http://gentoo-wiki.com/SECURITY_System_ ... _with_LUKS
(non e' che sia tutto sto problema cercare con google: dm-crypt "root fs" no?)
Inviato: sab 18 nov 2006, 2:52
da kobaiachi
grazie masalapianta per le spiegazioni e per l'aiuto.
per quanto riguarda "il mio campo"
sto studiando per conseguire la ccnp (sto a metà dell'opera e mi mancano solo due esami ) e conto di conseguire la ccie tra agosto -ottobre del 2007, ecco quindi che il mio campo di specializzazione è il routing e lo switching su macchine cisco .
è ovvio che ho le conoscenze per installare un tool (basta leggere il readme)
ma non sono un amministratore di sistema professionista e per me una cosa è installarlo su una macchina di casa (di cui conosco vita morte e miracoli ) ed una cosa diversa è installare lo stesso tool su un server di produzione su cui non ho mai messo mano.
(la mia ansia se è 0 quando lo installo sulla macchina di casa o di test tende invece verso l'infinito nel secondo caso) .
ps.
il "che ne pensate" era riferito alla scelta del file system, ma anche qui hai gia risposto esaurientemente alle mie domande ed ai miei dubbi.
PPS
Masa grazie ancora per l'aiuto .