-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Marco Bonetti ha scritto: > perchè non usare libpam-mount per montare direttamente un volume > truecrypt?
Uhm... mumble... non ci avevo pensato... ma si puo' fare? o.O > avresti due notevoli vantaggi: Chiarissimo, in effetti sarebbe molto piu' semplice ed efficace! Restano tre perplessita' a questo punto, poi il sistema sarebbe perfetto: 1) come si configura pam-mount per fare cio'? Spero di avere una risposta massacrandomi con la documentazione, ma ho gia' visto che e' immensa :( 2) serve comunque un modo per far si' che linux permetta il login di myuser con due password diverse 3) se un metodo per il punto 2) esiste, la sua sola esistenza sul sistema non sarebbe un indizio molto lampante della presenza di dati nascosti? Nel senso: nel file shadow sono salvati gli hash delle password degli utenti, sbaglio? A questo punto, se ho ben capito, si ipotizza un sistema di autenticazione che faccia uso di una specie di file shadow modificato, in cui al posto di un singolo hash per utente c'e' un "array di hash" (e quindi al login l'utente viene autenticato se l'hash della pass inserita matcha anche solo uno degli hash ad esso associati in questo fantomatico shadow). Tutto cio' pero' e' visibile all'analisi di un "inquisitore"! Come si puo' giustificare la cosa senza dare indizio troppo evidente del fatto che dietro tutto cio' c'e' un hidden volume di truecrypt? > non ricordo affatto se truecrypt permetta di creare volumi con > filesystem arbitrari Nativamente no ma si fa lo stesso, l'avevo pure fatto una volta. In pratica Truecrypt su linux si appoggia su dm-crypt, quindi una volta creato un file contenitore con truecrypt (non formattato) basta aprirlo con truecrypt senza specificare un punto di mount e verra' creato un device virtuale in /dev/mapper il quale poi puo' essere formattato a piacere (con mkfs.ext3 ad esempio). Guido Serra ha scritto: > si, direi che puoi far gestire la prima password da un modulo e se > fallisce, come accade per ldap, passare al modulo di autenticazione > successivo e quindi non scatenare il montaggio della cartella cifrata Ottimo, pero' a questo punto preferirei prima battere la strada truecrypt. Diciamo che passare da un modulo di autenticazione all'altro era piu' o meno la cosa che volevo ottenere all'inizio, pero' presenta alcuni inconvenienti che preferirei aggirare se possibile... Grazie a entrambi delle risposte comunque :) - -- +---------------------------------------------------------------------+ | Sanata <[EMAIL PROTECTED]> | |GnuPG fingerprint: 1E6A 462A 27D0 E9A4 239D 19BC C301 C2EA 224F 5BC4 | | (RSA/RMD 4096/160 ID: 0x224F5BC4 - ELG/AES 4096/256 ID: 0xB0DD2B35) | +---------------------------------------------------------------------+ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iQIVAwUBR3Pz4MMBwuoiT1vEAQL8qA//bKcgKkyhGZJL57ayvium9PNX7miIzBd3 DjrOravKGfEdknz8Juz8aPqA9KdPKJhwvQ8eGkk3XpYswTHSvljYDGvp6lHQczL0 SOqrlC+F7+cGjLJBErPk1bIuYqdFPPqS3sZVLLDXKF1omC6gRgGko7cYyMI/joP+ jjEhyDuZiLKd2w/8QRJ0SRUyRV0zB1plTZi7gX9zwkatilKRiZpVeUgPeGodTM8J ml7HTu4uHxK1Ok7XADz8H5eVMxrt8hyMVhAP4AojLQt5jGWsjqlNWC4a0MtbgQMt CviSqNHR/IeNW6fhwQFdNiWk96Dj/BYMSQBytUZEUmMGZlL/y0XAs1wsoh8Fc5n1 GY30FkDhTXkR6EtMmFpgsP5YyFTpOIIHlJCq7KcspoRFqI0os8D2LEx9eqJO2Xw3 HxcSn7uhLz3ZW24znPCXmtbXxxr8iw3SArG21MbSNouuCENLic0PeKACUAOQlPQ0 wSkRuTXMYm68sBSOKo+3OGbfOX8YC8v/E33axR4lfZ55WvfR5HE4NpEvbqZRHq9z aojdUdJ5fh4Z/dMZ6XOQCIfoeG1dWaf/CFOwzOsiTimmytn7pQzCzZbBpZcGnhLP v3AWLRZxbr1lBIf72Zm4GCnPRF5b68eFcAZIUVLdXbvDLd00ciSXkRfWxxQG2zdE PM6c82W2Sbg= =Wd8c -----END PGP SIGNATURE-----
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
