suns
system network data news bugtraq
sexy unix security project
data > Shifreeti diski uz OpenBSD (4) 29.10.2005 14:05

Neskatoties ne uz ko, veidot shifreetus diskus uz OpenBSD ir ljoti vienkaarshi, bet ir jaanjem veeraa divas lietas. Pirmkaart jau tas, ka shaadu disku buus jaaveido uz vnode diska. Otrkaart, vieniigais shifreeshanas algoritms, kas ir implementeets ieksh OpenBSD ir blowfish, bet tas ir gan droshs, gan diezgan aatrs, taapeec par to uztraukties nevajadzeetu. Uz mana 650MHz Durona rakstiit diskaa var ar 8MB/s.

Gadiijumaa, ja tev ir savs kernelis nevis GENERIC, paarliecinies, ka tajaa ir iekljauts VND devaiss (pseudo-device vnd 4). Saaksim ar to, ka izveidosim tukshu failu, uz kura baazes arii veidosim muusu shifreeto disku:

# dd if=/dev/zero of=/home/.crypt.img bs=1m count=500

Tas izveidos 500MB lielu failu, naakamais, kas jaaizdara, ir jaaizveido direktorija, kur mees sho disku monteesim:

# mkdir /home/crypt

Tagad ir jaapiesaista, vnode devaiss muusu izveidotajam failam. Shim noluukam buus jaaizmanto svnd ("safe" vnode) nevis parastais vnd devaiss. Atshkjiriiba starp tiem ir taada, ka svnd devaisi darbiibai izmanto buferi. Riikojamies sekojoshi:

# vnconfig -ck -v /dev/svnd0c /home/.crypt.img

Palaizhot sho komandu, buus nepiecieshams ievadiit paroli, ieteicams labi garu un taadu, kas sastaav no lielo un mazo burtu, kaa arii ciparu kombinaacijas. Gaadaa arii par to, lai neaizmirstu sho paroli, jo aizmirstot paroli, vari aizmirst arii par saviem datiem. Taalaak jau var daliit virtuaalo disku ar disklabel(8) paliidziibu, bet mees tik stipri neizvirtiisim un veidosim uz taa vienu FS:

# newfs /dev/svnd0c

Naakamais, ko mees daram, ir FS monteeshana:

# mount /dev/svnd0c /home/crypt

Lieliski. Tas arii viss, kas bija nepiecieshams, tev ir kripteets disks, kuraa vari visnotalj droshi glabaat savus datus un neuztraukties par Reinfelda viziiti. Atmonteet sho disku vari gluzhi kaa jebkuru citu, vieniigi neaizmirsti peec tam atsleegt arii piesaistiito vnode devaisu:

# vnconfig -u /dev/svnd0c

Lai naakamreiz piemonteetu kripteetu disku, viss, kas buus nepiecieshams, ir palaist divas komandas:

# vnconfig -ck -v /dev/svnd0c /home/.crypt.img
# mount /dev/svnd0c /home/crypt

Es uzrakstiiju mazu skriptinju, kuru palaizhot tiek noslepkavoti visi procesi, kas izmanto kripteeto disku (savaadaak neljaus monteet nost), atmontee disku un disablee piesaistiito vnode devaisu. To ir viegli iebarot kaadam logu menedzherim un piesaistiit kaadai varenai taustinju kombinaacijai. Pats skripts ir pieejams sheit.

/ petruha - http://petruha.bsd.lv/ /
comments
nikns <nikns(at)secure.lv>:
jeezus. par `umount -f` neesi dzirdejis?

/dev/zero nebuus labaakais variants, jo varees maniit kura vieta ir aizrakstiita, kura nee. ja /dev/urandom pa leenu, tad vismaz /dev/prandom.
petruha:
nikns, par to randomu tev taisniiba, taa patieshaam ir labaak. 'umount -f' gan ir paaraak liegs variants.
SpiegS:
iespeejams, ka dumsh jautaajums, bet vai tais skriptaa tos procesus nevar kaukaa pieklaajiigaag nokaut? manupraat kill -9 ir taads biki brutaals variants ...
petruha:
Var taisiit vairaakus ciklus, protams.
add comment*
author:
email:
piecpadsmit:
comment:


* ja iztiksi bez spama, offtopika un muljkjiibaam, iespeejams, ka tavs koments netiks izdzeests.
« back

valid xhtmlvalid css