Κρυπτο-δίσκος
P. Christeas
p_christ at hol.gr
Sat Sep 17 19:40:52 EEST 2005
Κάποτε είχα προσπαθήσει (πειραματικά) να στήσω κι εγώ έναν κρυπτο-δίσκο. Σας
παραθέτω κάποιες σκέψεις μου για τη λογική του στησίματος.
Ένας κρυπτο-δίσκος είναι αργός, κατ' αρχήν. Άρα είναι καλό να τον αποφεύγουμε
για τα απλά αρχεία.
Δεύτερον, ίσως υπάρχουν θέματα συμβατότητας. Αν δηλ. χάσουμε το κλειδί, τότε
ό,τι πατάει επάνω σ' αυτόν τον δίσκο δεν θα δουλεύει.
Και, σύμφωνα με τις αρχές της ασφάλειας "το σύστημα είναι τόσο ασφαλές όσο το
πιό αδύνατο σημείο του". 'Ετσι, πρέπει ο,τι έχει σχέση με τον κρυπτο-δίσκο να
είναι κι αυτό τόσο ασφαλές. Π.χ. πρέπει το password ή το κλειδί του να
φυλάσσεται με φοβερή ασφάλεια κλπ.
Ίσως μία διανομή να έχει καλογραμμένα initscripts για τον κρυπτο-δίσκο, η άλλη
όχι. Πάντα όμως μπορούμε με ένα ξένο linux να διαβάσουμε τον δίσκο. (έτσι
πιστεύω).
Η δικιά μου πρόταση είναι να μην κρυπτογραφείται όλο το σύστημα [1] αλλά να
κλειδώνουμε μόνο ένα partition (π.χ. /mnt/crypto).
Έπειτα, φτιάχουμε φακέλους στον crypto και κάνουμε δεσμούς από το home μας στο
αντίστοιχο crypto:
/home/me/crypto -> /mnt/crypto/me/crypto (γενικός φάκελος για τα αρχεία που
θέλουμε να είναι κρυπτογραφημένα)
/home/me/Mail -> /mnt/crypto/me/Mail
/home/me/.kde/share/apps/kabc -> /mnt/crypto/me/.kde/share/apps/kabc
(παράδειγμα εφαρμογής που κρατάει τα δεδομένα της κρυπτογραφημένα).
Αυτό προϋποθέτει οτι οι χρήστες ξέρουν ή έχουν βοήθεια για να το κάνουν. Αν
μιλάμε για μεγάλη εγκατάσταση, ίσως να μην συμφέρει τον admin.
Άν λοιπόν "κλειδώσει" το crypto, τότε χάνονται μόνο εκείνα τα δεδομένα. Δεν
σταματάει το σύστημα. Φανταστείτε το μηχάνημα να έχεικαι κάποιους servers και
να θέλουμε να παίρνει μπρός μόνο του (μετά από διακοπές ρεύματος κλπ.).
Τέλος, τα δεδομένα στο crypto προφανώς είναι πολύτιμα και θα χρειάζονται
backup. Δεν επιτρέπεται όμως να κάνουμε backup σε μη κρυπτογραφημένο! Έτσι,
είτε πρέπει να κάνουμε όλο το crypto-partition αντίγραφο σαν image, είτε να
φτιάξουμε ένα tar.gz.crypt (όπου crypt είναι κάποια κρυπτογράφηση). Γι αυτό
είναι σημαντικό *να κρατάμε μόνο τα απαραίτητα μέσα στο crypto*.
Περιμένω τα σχόλιά σας.. :)
Στις Σάββατο 17 Σεπτέμβριος 2005 4:55 μμ, ο/η N.A.K. έγραψε:
> Λοιπόν έχω ένα μάλλον δύσκολο πρόβλημα:
>
> Ένας σκληρός δίσκος (/dev/sda1) κρυπτογραφήθηκε από την αρχή και
> εξ'ολοκλήρου με το default encryption της SuSE με το Yast. (Είμαι σχεδόν
> βέβαιος χρησιμοποιεί Twofish).
> Έτσι κατά την διάρκεια του booting ζητά password και στη συνέχεια
> κάνει mount (media/sda1) το δίσκο.
> 'Ολα καλά μέχρι εδώ.
> Το ερώτημα είναι εάν τον δίσκο τον συνδέσουμε σε άλλο μηχανάκι, πώς
> θα μπορέσουμε να τον προσαρτήσουμε;
>
> Ευχαριστώ,
> --
> Nektarios A. Kteniadakis, M.D.
More information about the Linux-greek-users
mailing list