Re: Re: [ml] Consiglio su disco cifrato

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2007 ml@sikurezza.org
Soggetto: Re: Re: [ml] Consiglio su disco cifrato
Mittente: ecqgat@xxxxxx
Data: Thu, 12 Apr 2007 10:52:48 +0200 (CEST)

>----Messaggio originale----
>Da: marco.bertorello@xxxxxxxxxxxxxxx
>Data: 10-apr-2007 12.32 PM
>A: <ml@xxxxxxxxxxxxx>
>Ogg: Re: [ml] 
Consiglio su disco cifrato
>
>On Sun, 08 Apr 2007 20:13:19 +0200
>"S. 
B." <simone@xxxxxxxxxxxxxxxxx> wrote:
>
>> Ciao a tutti,
>> 
>> sto 
rifacendo il portatile e vorrei cifrare il disco per essere
>> sicuro 
.....
>> 
>> ho seguito alla lettera questo howtoo
>> http://wiki.allug.
it/doku.php/progetti/howto/discocriptato
>> 
>> tutto funziona, cosa ne 
pensate ?
>> 
>> in particolare la parte dello swap.
>
>Ciao,
>
>quell'howto Ã obsoleto. Debian Etch consente l'installazione su dischi
>cifrati senza le acrobazie descritte in quell'howto, direttamente
>dall'installer.

Sono rimasto colpito positivamente dal fatto che 
l'installazione di Debian
Etch permetta la creazione di un sistema 
criptato (anche con LVM) senza
fare troppi salti mortali.
E' mia 
opinione perÃ che Ã fondamentale capire come funzioni il tutto in modo
da poterci mettere mano con consapevolezza all'arrivo di qualche 
problema.
Credo che l'immagine initrd di debian sia molto generica e 
possa contenere
cose che non a tutti servano, in piÃ volete mettere la 
possibilitÃ di fare un vostro
script che tramite la passphrase giusta 
monti la root criptata e ad un altra passphrase
richiami wipe che 
provvede a distruggere tutto quanto???
Quindi se ti vuoi fare a mano 
tutto, compresa l'immagine initrd con solo quello che
ti serve, secondo 
me fai bene, a patto che stai attento ad ogni mossa che fai e che
ti 
armi di tempo e pazienza.
Per quanto riguarda la swap io ti consiglio 
di non usare un file ma una partizione
vera e propria o un volume LVM 
che cripterai ad ogni avvio con una chiave random
rendendo di fatto 
impossibile anche per te l'accesso alla swap della sessione di lavoro
precedente all'ultimo reboot.
Ad esempio una configurazione di 
/etc/crypttab potrebbe essere:

swap            /dev/sda3               
/dev/random     swap

con sda3 che Ã la nostra partizione di swap.
Invece di usare una patch per cryptdiscs ti consiglio di farti un altro
script che dopo il montaggio della root criptata controlli l'integritÃ
di tutta la boot (tranne il file initrd) e poi monti temporaneamente
e 
in sola lettura il file initrd per verificarne l'integritÃ di tutti i 
file che
contiene (usa sha512 e non md5 se la paranoia Ã tua amica).
Tutto questo usando dm-crypt giÃ incluso nel kernel... poi esistono
anche altri progetti esterni che alcuni reputano piÃ "sicuri" e 
performanti.
Se hai bisogno di esempi pratici contattami pure 
privatamente.
Salutoni

Marco Gatti

Messaggi successivi:
- Re: Re: [ml] Consiglio su disco cifrato, Marco Pennelli

Data:
- precedente: Re: [ml] Consiglio su disco cifrato, simone
- successivo: Re: [ml] Consiglio su disco cifrato, Marco Bertorello
- indice

Argomento:
- precedente: Re: [ml] Consiglio su disco cifrato, Marco Bertorello
- successivo: Re: Re: [ml] Consiglio su disco cifrato, Marco Pennelli
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005