debian stable βασισμενο στην ασφαλεια

[skiaxtro7]

Γεια χαρα παιδες!

Θα ηθελα να περασω ενα debian stable στον σκληρο μου και θα ηθελα να εχω την μεγιστη ασφαλεια.Ξεκινωντας απο encrypted partitions /home και λοιπα μεχρι και πατεντες με usb για να bootαρει απο εκει για να μην αποθηκευονται στην ram οι κωδικου του χρηστη,και σε γενικες γραμμες να ειναι οσο το δυνατον απροσπελαστο απο καποιον Β χρηστη.

Ειχα δει πριν λιγο καιρο ενα αρθρο ωστοσο αυτο με το usb δεν το πολυκαταλαβα οποτε λεω να το ψαξω περισσοτερο το ολο θεμα

.Θα ηθελα σας παρακαλω τα φωτα σας για το ποσο εφικτο θα ηταν κατι τετοιο εχοντας λαβει υποψιν μου πως το λειτουργικο θα υστερει σε ταχυτητα λογο των κρυπτογραφημενων δισκων.

Αυτη εδω ειναι η πηγη μου http://madduck.net/docs/cryptdisk/

Ευχαριστω για τον χρονο σας!

[NullScan]

Όσον αφορά την κρυπτογράφηση των δίσκων:

 

Η υστέρηση σε ταχύτητα δέν είναι σημαντική εκτός άν θέλεις αυτό το σύστημα να τρέχει κάτι το οποίο χρειάζεται πολύ αυστηρά timings όπως π.χ. μια βάση δεδομένων που για κάποιο λόγο θέλεις να είναι πολύ γρήγορη ή κάνεις πάρα πολλά IO στον δίσκο. Άν ισχυεί κάτι τέτοιο θα το συζητήσουμε σε 2η φάση. Το πιό "ασφαλές" θα έλεγα πως είναι να κάνεις encrypt όλο το δίσκο (με το lucs όπως λέει και ο οδηγός που βρήκες) και να χρησιμοποιήσεις κάποιο key αντί για password το οποίο θα μπορούσε να είναι κάποιο αρχείο με random data (που μπορείς πάντα να κάνεις generate από το /dev/urandom). Αυτό το κλειδί μετά θα το αποθηκεύσεις σε ένα USB stick το οποίο θα γίνεται mount κατά το boot και θα στήσεις όλο το σύστημα με τέτοιο τρόπο ώστε να διαβάζει το key και να κάνει decrypt τον δίσκο πρίν οτιδήποτε άλλο. Αυτό προϋποθέτει οτι θα φτιάξεις ένα custom initrd image μέσα στο οποίο θα γράψεις μόνος σου το init script που θα αναλαμβάνει να κάνει mount το usb stick κτλ κτλ.

Μπορείς επίσης να κάνεις encrypt και το swap άν και στα σύγχρονα συστήματα χρησιμοποιείται λίγο. Ο οδηγός που βρήκες αναφέρει το πώς γίνεται.

Τέλος μπορείς να χρησιμοποιήσεις και κάποιο patch (grsecurity) το οποίο μπορεί να σου προσφέρει δυνατότητες όπως heap randomization ώστε να μήν είναι εύκολη η ανάγνωση των δεδομένων που βρίσκονται στη RAM σου όσο το σύστημα λειτουργεί.

Γενικώς αυτή η συζήτηση και οι πιθανές λύσεις δέν τελειώνουν, το θέμα είναι να αποφασίσεις πόσο critical είναι τα δεδομένα που θέλεις να προστατεύσεις και πόσο χρόνο είσαι διατεθημένος να ξοδέψεις ώστε να κατανοήσεις τις τεχνικές λεπτομέρειες και τον τρόπο λειτουργείας αυτού που θές να φτιάξεις.

Άν χρειαστείς κάποια πιό συγκεκριμένη βοήθεια, πές μας τί προσπάθησες να κάνεις, πού απέτυχε και εδώ είμαστε, θα το λύσουμε το θέμα.

[skiaxtro7]

Ευχαριστώ για τις χρήσιμες πληροφορίες!

Θα ήθελα σε παρακαλώ να με βοηθήσεις λίγο με την δημιουργία του image για το usb και το γενικό setup του,η αν έχεις βρεί μία σελίδα στο διαδίκτυο που να περιγράφει περίπου το τι πρέπει να κάνω και το πως δουλεύει γενικώς το συγκεκριμένο κόλπακι .Όσο για το grsecurity θα ρίξω μια ματία και στο διαδίκτυο να δω παραπάνω πληροφορίες.

Σε γενικές γραμμές πέρα απο αυτά θα έπρεπε να προσέξω κάτι άλλο?Μίας και έχω διάθεση να ξοδέψω χρόνο θα ήθελα να μου δώσεις κάποια στανταρ link να ρίξω μια ματία παραπάνω έτσι ώστε να κοιτάξω σε κάποιους συγκεκριμένους τομείς και να διαλέξω τι θα χρησιμοποιήσω, αλλα και για να μήν ζαλίζω και εσένα με πολλές ερωτήσεις!

[NullScan]

Ξεκίνα να ρίξεις μιά ματιά εδώ: http://en.gentoo-wiki.com/wiki/DM-Crypt#Automatic_Mounting_of_Encrypted_User_Directories

και τα υπόλοιπα στην πορεία. Για περισσότερα links δεν ξέρω τί να σου δώσω γιατί δεν ξέρω τί θέλεις να καταφέρεις. Μπορώ πάντως να σου πω από τώρα ένα πράγμα. Άν ο σκοπός σου είναι να φτιάξεις το απόλυτα ασφαλές και 100% secure σύστημα δέν θα τα καταφέρεις γιατί δέν υπάρχει τέτοιο πράγμα, όλα τα συστήματα είναι επισφαλή, ο βαθμός δυσκολίας για να τα κάνεις compromise αλλάζει μόνο