Il giorno 21 maggio 2016 20:51, Samuele <[email protected]> ha scritto:
> [...] > > Non so quali siano le procedure in questi casi, ma leggendovi mi è venuto > questo dubbio. Mettiamo di avere il server in casa, con disco crittografato > e password richiesta dal sistema operativo al boot e console su seriale. > Poniamo che sia io in grado di farmi una schedina hardware da mettere > dentro al case (ma se sono bravo, potrei anche farla stare dentro ad una > chiavetta usb modificata), che comunica via seriale con il server > (dall'esterno non si vede nulla), e che fornisce la password per sbloccare > il disco. Poniamo che questa scheda abbia dei pin sui quali si possono > infilare dei jumper (o altro sistema). Se quando la scheda viene > alimentata, ha il jumper inserito, fornisce la password e si comporta come > previsto, se il jumper è rimosso, cancella la memoria interna dove è > memorizzata la password. > Quindi, metto il jumper, avvio il server poi tolgo il jumper. > Volendo la scheda dentro al server la si può condire con microswitch per > rilevare l'apertura del case (o fotoresistenza), sensore "tilt" per capire > se il server viene mosso ecc. per rendere il sistema più resistente. Qualche anno fa implementai una cosa del genere: - /boot molto piccola, in chiaro, tutto il resto crittografato tramite dm-crypt con chiave salvata su partizione in RAM - in caso di clean shutdown, la chiave veniva salvata su /boot, al successivo boot la chiave veniva letta da /boot, copiata in RAM e sbloccati i filesystem. Quindi la chiave veniva cancellata da /boot, e un dd if=/dev/zero of=/boot/.tmp si assicurava di sovrascrivere tutti i settori potenzialmente usati dalla chiave. - in caso venisse tolta la corrente (questa era la procedura allora in caso di perquisizione, non so ora), la chiave era solo in RAM e persa (ok, a meno di riaccenderlo e leggere il contenuto della RAM molto velocemente). - ovviamente un UPS aiutava parecchio. Non so se ho dimenticato qualche caso (a parte il crash), era solo un esercizio fine a se stesso. Andrea -- http://www.routereflector.com/
