ho bisogno di rendere "sicuro" l'accesso ad una macchina slackware.
l'idea sarebbe di avere un file-system completamente criptato .
come metodo di criptazione vorrei usare una doppia chiave asimmetrica.
pricipalmente vorrei che la macchina in questione parta da un dischetto di avvio (con lilo o grub fate voi) dove oltre al boot loader sia presente la chiave privata di decriptazione del file-system .
inoltre mi servirebbe che qualsiasi cosa gli utenti della macchina scarichino da internet venga salvata sul disco criptata, e quindi la macchina ad ogni dowload dovrebbe o scaricare in ram( ha 16 gb di ram) il file per poi copiarlo criptato sul disco oppure dovrebbe copiare il file sul disco e poi criptarlo e quindi cancellare dal disco il file originale (a tale scopo potrei anche aggiungere un disco dove il sistema scarica i file da internet per poi ricopiarli sui dischi principali criptati.
la macchina in questione fa poi settimanalmente il backup del disco su nastro.
io finora non mi sono mai occupato di queste problematiche quindi non so da che parte cominciare, ho letto alcuni documenti dove si spiegava come criptare solo il file-system di root ma mai l'intero file-system......
bene ora che ho esposto il problema passiamo alle domande.....
1) secondo voi è possibile realizzare tutto ciò?, e se si come ?
2) nel caso in cui decidessi di memorizzare temporaneamente i download in ram è possibile dire al sistema di riservare ad esempio 4 GB di ram a tale scopo ?
3) per il backup su nastro ci possono essere dei problemi ?
sarà vera gloria ?
a voi l'ardua sentenza
saluti
Kobaiachi.
file-system criptato
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
-
masalapianta
- Iper Master
- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
ma che senso ha usare crittografia asimmetrica per crittare un filesystem locale? per queste cose si usa crittografia simmetrica; su linux attualmente il miglior modo di fare quel che chiedi e' usare dm-crypt (estensione del device mapper che permette di crittare/decrittare, al volo e in maniera trasparente allo user space, i dati su un filesystem):
http://www.saout.de/misc/dm-crypt/
http://www.saout.de/misc/dm-crypt/
Ha ragione masalapianta, essendo un applicazione machine to machine un algoritmo asimmetrico non ti serve ed hai il "problema" di memorizzare una chiave in più rispetto ad uno simmetrico (la memorizzazione delle chiavi è uno dei punti critici della sicurezza). Certo, se poi da requisito ti dicono di usare l'RSA come è accaduto a me, c'è poco da fare 
Io ho letto di FUSE (http://fuse.sourceforge.net), un modulo che ti permette di montare directory remote con su un server ssh. In questo modo le puoi user come file sistyem criptati. Ma non l'ho mai usato e non so dirti altro.
Io ho letto di FUSE (http://fuse.sourceforge.net), un modulo che ti permette di montare directory remote con su un server ssh. In questo modo le puoi user come file sistyem criptati. Ma non l'ho mai usato e non so dirti altro.
ok quindi niente chiavi rsa (un problema di meno )
che algoritmo di criptazione mi consigliate di usare ? (ho letto che molto spesso si utilizza blufish)
raga come già detto di criptografia non ne conosco un gran che (e nemmeno di file-system) .
conosco giusto un po di criptografia di rete perche sto studiando ip sec, ma questo non è il mio campo.
anzi a proposito di file-system c'è un file-system che si presta meglio allo scopo ? io avevo pensato al classico e sempre valido ext2
che ne pensate ?
fortunatamente posso ancora rifutare il lavoro, però vorrei prima di rifutare almeno fare qualche tentativo su una macchina di prova perchè comunque il problema mi affascina molto.
masalapianta grazie del link
avevo gia letto di dm-crypt, io avevo capito che con questo si potesse solo criptare parte del file-system e non il file-system completo.
mi potresti confermare/smentire se ho capito bene oppure no ?
Grazie a tutti delle risposte .
che algoritmo di criptazione mi consigliate di usare ? (ho letto che molto spesso si utilizza blufish)
raga come già detto di criptografia non ne conosco un gran che (e nemmeno di file-system) .
conosco giusto un po di criptografia di rete perche sto studiando ip sec, ma questo non è il mio campo.
anzi a proposito di file-system c'è un file-system che si presta meglio allo scopo ? io avevo pensato al classico e sempre valido ext2
che ne pensate ?
fortunatamente posso ancora rifutare il lavoro, però vorrei prima di rifutare almeno fare qualche tentativo su una macchina di prova perchè comunque il problema mi affascina molto.
masalapianta grazie del link
avevo gia letto di dm-crypt, io avevo capito che con questo si potesse solo criptare parte del file-system e non il file-system completo.
mi potresti confermare/smentire se ho capito bene oppure no ?
Grazie a tutti delle risposte .
-
masalapianta
- Iper Master
- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
aes256kobaiachi ha scritto:ok quindi niente chiavi rsa (un problema di meno )
che algoritmo di criptazione mi consigliate di usare ? (ho letto che molto spesso si utilizza blufish)
"il tuo campo"? non mi pare si stia parlando di fare crittanalisi sull'algoritmo tal dei tali, ma semplicemente di usare un tool precotto e stratestato e stradocumentato per creare un device a blocchi che critti/decritti al volo i dati scritti/letti su/da esso; e' come dire "devo installare il cms tal dei tali che utilizza mysql per i suoi dati ma i db non sono il mio campo", sempre di un tool precotto si tratta, mica si parla di progettare e normalizzare un complesso dbraga come già detto di criptografia non ne conosco un gran che (e nemmeno di file-system) .
conosco giusto un po di criptografia di rete perche sto studiando ip sec, ma questo non è il mio campo.
e' irrilevante (dal punto di vista di dm-crypt) che tipo di fs crei sul device creato con dm-cryptanzi a proposito di file-system c'è un file-system che si presta meglio allo scopo ? io avevo pensato al classico e sempre valido ext2
de che?che ne pensate ?
non e' un problema, e' una stupidaggine, in 10 minuti ti leggi la documentazione di dm-crypt/cryptsetup e puoi cominciare a fare provefortunatamente posso ancora rifutare il lavoro, però vorrei prima di rifutare almeno fare qualche tentativo su una macchina di prova perchè comunque il problema mi affascina molto.
http://gentoo-wiki.com/SECURITY_System_ ... _with_LUKSavevo gia letto di dm-crypt, io avevo capito che con questo si potesse solo criptare parte del file-system e non il file-system completo.
(non e' che sia tutto sto problema cercare con google: dm-crypt "root fs" no?)
grazie masalapianta per le spiegazioni e per l'aiuto.
per quanto riguarda "il mio campo"
sto studiando per conseguire la ccnp (sto a metà dell'opera e mi mancano solo due esami ) e conto di conseguire la ccie tra agosto -ottobre del 2007, ecco quindi che il mio campo di specializzazione è il routing e lo switching su macchine cisco .
è ovvio che ho le conoscenze per installare un tool (basta leggere il readme)
ma non sono un amministratore di sistema professionista e per me una cosa è installarlo su una macchina di casa (di cui conosco vita morte e miracoli ) ed una cosa diversa è installare lo stesso tool su un server di produzione su cui non ho mai messo mano.
(la mia ansia se è 0 quando lo installo sulla macchina di casa o di test tende invece verso l'infinito nel secondo caso) .
ps.
il "che ne pensate" era riferito alla scelta del file system, ma anche qui hai gia risposto esaurientemente alle mie domande ed ai miei dubbi.
PPS
Masa grazie ancora per l'aiuto .
per quanto riguarda "il mio campo"
sto studiando per conseguire la ccnp (sto a metà dell'opera e mi mancano solo due esami ) e conto di conseguire la ccie tra agosto -ottobre del 2007, ecco quindi che il mio campo di specializzazione è il routing e lo switching su macchine cisco .
è ovvio che ho le conoscenze per installare un tool (basta leggere il readme)
ma non sono un amministratore di sistema professionista e per me una cosa è installarlo su una macchina di casa (di cui conosco vita morte e miracoli ) ed una cosa diversa è installare lo stesso tool su un server di produzione su cui non ho mai messo mano.
(la mia ansia se è 0 quando lo installo sulla macchina di casa o di test tende invece verso l'infinito nel secondo caso) .
ps.
il "che ne pensate" era riferito alla scelta del file system, ma anche qui hai gia risposto esaurientemente alle mie domande ed ai miei dubbi.
PPS
Masa grazie ancora per l'aiuto .