Portál AbcLinuxu, 12. května 2025 10:09

Dotaz: Sifrovani disku

25.2.2011 14:23 ubuntak
Sifrovani disku
Přečteno: 338×
Odpovědět | Admin
Zdravim panove, chci pouzit sifrovani na sda tzn primo primarni disk nesouci system-Linux CentOS. Problem je kdyz se server restartuje tak se mu nedostane hesla a tudiz nenabehne. Jde to nejak resit? Automatizovat zadani toho hesla nebo nejake vycteni z nekama?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

25.2.2011 14:35 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: Sifrovani disku
Odpovědět | | Sbalit | Link | Blokovat | Admin
S problemem ti bohuzel neporadim - se sifrovanim disku nemam zkusenost. Ale muzes mi prosim vysvetlit k cemu je pak takovy sifrovani dobry kdyz se ti tam bude heslo samo vkladat ? Mozna to resit pres flash disk ktery to zavede ale mit disk sifrovany a na nem mit udelano ze se sifrovana partisna zavede sama je asi o nicem. Mozna se pletu
25.2.2011 14:41 monn | skóre: 2
Rozbalit Rozbalit vše Re: Sifrovani disku
Odpovědět | | Sbalit | Link | Blokovat | Admin
myslim, ze to nekdo resil tak, ze nejdriv nabehl (z nesifrovaneho oddilu) nejakej ssh daemon, uzivatel tak mohl zadat heslo po siti pro natahnuti sifrovanyho jadra a zbytku systemu.
25.2.2011 14:47 ubuntak
Rozbalit Rozbalit vše Re: Sifrovani disku
zajimave a nevis kde by se to dalo najit nebo presneji na co se zeptat strycka googla?
25.2.2011 14:50 Rockfire | skóre: 14 | blog: blg
Rozbalit Rozbalit vše Re: Sifrovani disku
http://gpl.coulmann.de/ssh_luks_unlock.html
25.2.2011 14:53 ubuntak
Rozbalit Rozbalit vše Re: Sifrovani disku
diky kouknu na to kdyby jeste nekdo mel nejaky napad sem snim
Jendа avatar 25.2.2011 15:52 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Sifrovani disku
S tím SSH je to mnohem lepší než nic, ale pokud má útočník fyzický přístup k serveru, může provést man-in-the-middle útok.
25.2.2011 15:22 Sten
Rozbalit Rozbalit vše Re: Sifrovani disku
Odpovědět | | Sbalit | Link | Blokovat | Admin
Automatizované zadání jde udělat z jiného (pokud možno také šifrovaného a přes SSL) stroje ve stylu chain of trust (mám to tak udělané: stroje v initramdisku stáhnou přes HTTPS svoje klíče z routeru, routeru zadávám heslo ručně). Rozhodně ale nedoporučuji automatizované zadávání z nešifrovaných míst.

Druhá možnost je šifrovat jenom data. Není to sice tolik bezpečné, ale stroj alespoň naběhne a potom je potřeba přes SSH provést mount a zadat heslo. Může se ale stát, že data utečou mimo RAM (tmpfs, swap, nějaká jiná cache).

Třetí možnost je mít nešifrovaný stroj a v něm šifrované virtuály. Riziko úniku dešifrovaných dat je minimalizováno (cache jsou také šifrované), ale pořád mohou utéct do swapu nebo při uspání virtuálu.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.