Ciao a tutti!
La cifratura del filesystem e' un'ottima idea, ma -IMHO- ha poco senso
"pratico": se devi permettere ad un server di riavviarsi da solo senza
passphrase, allora dovrai mettere in chiaro da qualche parte la password
in questione e sei bello che da capo. Sarebbe se fosse un server da
accendere in maniera "presidiata". Piuttosto faccio la cifratura dei
dati del DB "bootstrappando" la chiave da un URL esterno mediante
PGP/GPG, ma ritorno indietro se il cliente in questione non da l'accesso
ad internet.
La RAM e' sicuramente una cosa da prendere in considerazione, ma in
ambienti militari o comunque ci siano dati di rilevanza
strategica/salvano vite.
Nei miei trip mentali e' non riuscire a fare il dump dei db a bordo se
non tramite i tool forniti e scaricare le informazioni e il programma
che contiene la shared key. Per quanto sia protetta questa chiave e il
server DEVE essere autonomo, l'unica cosa e' garantire la sicurezza fisica.
Carino quel "case" blindato ... l'unica "pecca" e' il tasto di
accensione non presente, ma sono sicuro che in qualche modo si possa
aggiungere.
.... tutto cio' premesso, e' estremamente ovvio che uno che VUOLE
accedere, accede comunque: da Leroy Merlin ci sono sempre i flessibili
in offerta :-D
(penso che se poi fai ispezione pero' te ne accorgi ... forse dai
graffi???? :-D )
Ciao ciao,
Gippa
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
