+ AES-128

это про gbde, на основе чего работает geli

сорри, geli покруче чем gbde

+1 к geli root

Вот прямо щас

читаю ман, в целом очень ок. даже рандом-генератор может внешний юзать. так же как и внешнее устройство шифрования на базе алгоритмов поддерживаемых.

Вот прямо щас

а swap это disk0p2 ? он тоже шифруется GELI one-time key?

Ага

Загрузчик токо наверное без подписи

Но имхо в загрузчик ченить быстренько запихнуть сложнее чем в рамдиск

Так-то от кражи мне думается оно ок

откройте для себя секьюрите левелы и прочие BSM или как их там

как это поможет от загрузки с другого носителя?

Но можно сделать проверку чексуммы раздела с загрузчиком после бута на всякий случай, во

с коребутом, чуть модифицированным, подписал бы RSA ключем этот рамдиск и не парился. и в коребуте держалбы паблик ключ для проверки подписи.

как это поможет от загрузки с другого носителя?

теоретически загрузку нужно отключить в биосе и на биос поставить пароль, но могут просто вытащить хдд и снять с него обрал и работать под uid 0 без проблем

Ну коребут тоже можно подменить

да, но уже сложнее сделать это быстро

так, вы всё еще ШИФРОВАЛОВО рута от подмены бинарей обсуждаете?

это реально делается не так, а в биосе

пользуясь случаем, порекламирую наш Эшелоновский МДЗ :)

теоретически загрузку нужно отключить в биосе и на биос поставить пароль, но могут просто вытащить хдд и снять с него обрал и работать под uid 0 без проблем

об этом и речь.

но он потребует защиты биоса на запись, в смысле исключить аппаратный доступ

это реально делается не так, а в биосе

в биосе?

Да и вообще всё это фигня. Быстро можно пихнуть аппаратный кейлоггер и свободен

попытки соорудить всё это средствами ОС - костыл

в биосе?

ну, наш продукт = модуль доверенной загрузки

но он потребует защиты биоса на запись, в смысле исключить аппаратный доступ

вынуть диск и загрузиться на другой машине

тогда и ноут ваш нужно покупать

зачем наш? любой совместимый с известной утилитой flashrom

я просто по секрету скажу, аппаратные МДЗ тоже не от любой атаки защитят

так что пломбу на корпус или что-то типа - всё равно придётся думать. каким бы ни было решение.

у вас серт на разработку криптографических программ от фсб. ну вы же понимаете как проходит эта сертификация софта. вы же разработчик как раз

и что? от этого RSA своими ключами перестает работать? )

это как UEFI secure boot, только ключи свои, и удобное администрование

так что пломбу на корпус или что-то типа - всё равно придётся думать. каким бы ни было решение.

датчики открытия на разъединение и на магнитную индукцию от высверливания работают. вайпят память ключа. мы так делали на msp430

это как UEFI secure boot, только ключи свои, и удобное администрование

в uefi можно свои ключи влить

в uefi можно свои ключи влить

но вот список бинарей и их хэшей не вольешь.

подписанный, ессно

но вот список бинарей и их хэшей не вольешь.

а зачем он там?

ну я лог внимательно не читал

я увидел, что человек хочет шифрование корня на самом деле не для шифрования

а для исключения подмены файлов

дык вот, эта задача решается доверенными загрузчиками

к сожалению, менеджмент эцсамое, я бы дал черновик статьи на Хабр с принципом работы, но он не опубликован до сих пор ))

просто техписы ничего не понимают, и в официальной инфе ересь всякая

а можете просто текст зашарить?

дык вот, эта задача решается доверенными загрузчиками

а чем вариант с цифровой подписью у загрузчика плох?

тем, что проверяешь ты только загрузчик, а дальше тебе подменили бинари, и соси?

бинарь geli подменили, который аттачит рута шифрованного?

тем, что проверяешь ты только загрузчик, а дальше тебе подменили бинари, и соси?

ну если лодырь сразу стартует ядро и проверяет подпись у него?

в общем, бонбу к ноуту, чеку к руке, отпустил, пиздыкс и готово

в общем, бонбу к ноуту, чеку к руке, отпустил, пиздыкс и готово

Евгений Ваганович, перелогиньтесь

ну если лодырь сразу стартует ядро и проверяет подпись у него?

ты же понимаешь, что ядра - мало

тем, что проверяешь ты только загрузчик, а дальше тебе подменили бинари, и соси?

у вас вообще классная контора, можно попасть на обучение без направления из ведомств?

в UEFI сделали на отъебись

с другой стороны, оно и к лучшему в плане вендор-лока

в UEFI сделали на отъебись

а есть шанс не на отъебись и массово?

у вас вообще классная контора, можно попасть на обучение без направления из ведомств?

чесгря, я к УЦ не отношусь, не могу сказать точно

ты же понимаешь, что ядра - мало

а что мало? бтв, в freebsd сделали pivot_root?

а есть шанс не на отъебись и массово?

я ж грю, МДЗ от НПО "Эшелон" :)

но платно.

но дешево, т.к. аппаратно защищать бушь сам :)

да я только за )

ERROR: S client not available

https://uc-echelon.ru/raspisanie по идее берешь да записываешься

ок. спс

так вот я и говорю, либо массовость либо не для всех, как с той же мандатной защитой, PGP и прочими ништяками

вот вам неофицицально от меня ОПИСАЛОВО принципа работы

те, кому надо, всё поймут по "форк одного вполне известного загрузчика"

конфигуратор кстати на генте %)

так вот я и говорю, либо массовость либо не для всех, как с той же мандатной защитой, PGP и прочими ништяками

я те чо скажу про наших клиентов... большинство бы снесло, да требования мешают!

тому що не понимают, чо это и зачем

а, впрочем об этом в файле написано, я повторяюсь :)

у вас вообще классная контора, можно попасть на обучение без направления из ведомств?

а находишься в Мск/области?

мск

приезжай в гости и скажи "хочу купить МДЗ девелоперскую версию блабла сертификат не нужен" ))

да хоть завтра могу приехать )

разработчики (точнее уже один) очень обрадуются хотя б фидбеку от нормального технаря, а не этих режимных рыл ))

да хоть завтра могу приехать )

завтра на поторы недели новый год :(

эх, как раз распланировал с чем повозиться в эти длительные праздники

эх, как раз распланировал с чем повозиться в эти длительные праздники

Что за железо?

thinkpad x1 carbon gen 5th

и dell t7810 tower

lenovo почти наверняка не прошьется неподписанным модом :/

ну, берем МДЗ, подписываем, включаем SecureBoot, PROFIT ?

С другой стороны, можно попробовать прописать загрузчик в UEFI и подписать

вообщем куда мне приехать для экспериментов? )

Электрозаводская, 24 )

только уже опоздал на полторы недели )

30 декабря в субботу? :)

слоган для канала появился freeBSD шифрует, соединяет, защищает )

да могу хоть 31ого днем

30 декабря в субботу? :)

гага, ты будешь? я чо-т сомневаюсь -)

у меня шаббата нет по субботам

Если б я рабочую машину не выключил на праздники, я б тебе прямо щас образ собрал б