[FUG-BR] Cryptographic Filesystem !
Dae pessoas ! Bem, montei um miniBSD com o FreeBSD 6.1-RELEASE, que vai rodar em uma memoria USB ou em um CF ligado na IDE, mas agora estou precisando criptografar o sistema de arquivos, para que a leitura só seja possivel apos ter bootado pelo SO. Eu já tinha usado o CFS e o gbde(8) para GEOM no FreeBSD 5.x. Comecei a fazer testes com o geli(8) para GEOM: http://www.freebsd.org/cgi/man.cgi?query=geliapropos=0sektion=8manpath=FreeBSD+6.1-RELEASEformat=html Consegui criar uma partição tipo /cripto, mas nao todo o FS, alguém tem alguma dica ? É possivel fazer isso ? -- Éderson H. Chimbida ( aka neurobashing ) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Cryptographic Filesystem !
Bom dia Éderson, não há como criptografar o raiz (/), pois o sistema precisa ler o /etc, /boot, etc ao iniciar. O Ideal mesmo é você criar um diretório a ser criptografado, como o /cripto que você está criando. Utilizo o GEOM_BDE. Em discos SATA está funcionando bem, porém, em discos IDE estou tendo problemas. Já testei vários discos IDE e na grande maioria tive problemas. Com os SATAs não estou tendo nenhum tipo de problema. Então...: 1. Substitua os discos IDE por discos SATAs no seu projeto; 2. Para montar o disco criptografado, você precisa do gbde lock file e da passphrase. Você pode manter o gbde lock file no /etc/gbde ou em algum outro lugar dentro do sistema, mas não é aconselhável você manter a passphrase dentro do sistema. Assim toda a segurança (criptografia neste caso) está comprometida, principalmente se essa passphrase estiver dentro dos scripts de inicialização; 3. O ideal mesmo é você não ter nem o lock file dentro do seu sistema. 4. Sugestão: use pen drives como chaves de acesso. O disco só monta se o pen drive estiver plugado no servidor. Espero ter auxiliado. Um abraço, Felipe. Éderson Chimbida escreveu: Dae pessoas ! Bem, montei um miniBSD com o FreeBSD 6.1-RELEASE, que vai rodar em uma memoria USB ou em um CF ligado na IDE, mas agora estou precisando criptografar o sistema de arquivos, para que a leitura só seja possivel apos ter bootado pelo SO. Eu já tinha usado o CFS e o gbde(8) para GEOM no FreeBSD 5.x. Comecei a fazer testes com o geli(8) para GEOM: http://www.freebsd.org/cgi/man.cgi?query=geliapropos=0sektion=8manpath=FreeBSD+6.1-RELEASEformat=html Consegui criar uma partição tipo /cripto, mas nao todo o FS, alguém tem alguma dica ? É possivel fazer isso ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Cryptographic Filesystem !
Ahh, outra sugestão: leia http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/disks-encrypting.html . Abraço, Felipe Neuwald. Éderson Chimbida escreveu: Dae pessoas ! Bem, montei um miniBSD com o FreeBSD 6.1-RELEASE, que vai rodar em uma memoria USB ou em um CF ligado na IDE, mas agora estou precisando criptografar o sistema de arquivos, para que a leitura só seja possivel apos ter bootado pelo SO. Eu já tinha usado o CFS e o gbde(8) para GEOM no FreeBSD 5.x. Comecei a fazer testes com o geli(8) para GEOM: http://www.freebsd.org/cgi/man.cgi?query=geliapropos=0sektion=8manpath=FreeBSD+6.1-RELEASEformat=html Consegui criar uma partição tipo /cripto, mas nao todo o FS, alguém tem alguma dica ? É possivel fazer isso ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Cryptographic Filesystem !
Nao ultilizo discos IDE e sim um Compact Flash adaptado numa IDE ou SATA ou um pendrive, aqueles chaveiros usb ! O GBDE já ultilizei, mas sempre em discos SCSI e nunca tive problemas,no 4.x sempre usava o CFS. Com a 6.x surgiu esse GELI, e consegui montar 2 partições criptografadas no CF, mas queria tudo. No mam do geli diz assim: Allows to encrypt the root partition - the user will be asked for the passphrase before the root file system is mounted. Será que entendi errado ? Auauaua... No cleartext ever touches the hard drive's platter On 6/30/06, Felipe Neuwald [EMAIL PROTECTED] wrote: Ahh, outra sugestão: leia http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/disks-encrypting.html . Abraço, Felipe Neuwald. Éderson Chimbida escreveu: Dae pessoas ! Bem, montei um miniBSD com o FreeBSD 6.1-RELEASE, que vai rodar em uma memoria USB ou em um CF ligado na IDE, mas agora estou precisando criptografar o sistema de arquivos, para que a leitura só seja possivel apos ter bootado pelo SO. Eu já tinha usado o CFS e o gbde(8) para GEOM no FreeBSD 5.x. Comecei a fazer testes com o geli(8) para GEOM: http://www.freebsd.org/cgi/man.cgi?query=geliapropos=0sektion=8manpath=FreeBSD+6.1-RELEASEformat=html Consegui criar uma partição tipo /cripto, mas nao todo o FS, alguém tem alguma dica ? É possivel fazer isso ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Éderson H. Chimbida ( aka neurobashing ) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Cryptographic Filesystem !
Oi Éderson, hmm, beleza, então a história muda um pouco né? =) Ainda não usei o GELI, mas gostei do que li lá no handbook: 17.16.2 Disk Encryption with geli Boa sorte, assim que tiver resultados posta pra nós aqui na lista. Um abraço, Felipe. Éderson Chimbida escreveu: Nao ultilizo discos IDE e sim um Compact Flash adaptado numa IDE ou SATA ou um pendrive, aqueles chaveiros usb ! O GBDE já ultilizei, mas sempre em discos SCSI e nunca tive problemas,no 4.x sempre usava o CFS. Com a 6.x surgiu esse GELI, e consegui montar 2 partições criptografadas no CF, mas queria tudo. No mam do geli diz assim: Allows to encrypt the root partition - the user will be asked for the passphrase before the root file system is mounted. Será que entendi errado ? Auauaua... No cleartext ever touches the hard drive's platter On 6/30/06, Felipe Neuwald [EMAIL PROTECTED] wrote: Ahh, outra sugestão: leia http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/disks-encrypting.html . Abraço, Felipe Neuwald. Éderson Chimbida escreveu: Dae pessoas ! Bem, montei um miniBSD com o FreeBSD 6.1-RELEASE, que vai rodar em uma memoria USB ou em um CF ligado na IDE, mas agora estou precisando criptografar o sistema de arquivos, para que a leitura só seja possivel apos ter bootado pelo SO. Eu já tinha usado o CFS e o gbde(8) para GEOM no FreeBSD 5.x. Comecei a fazer testes com o geli(8) para GEOM: http://www.freebsd.org/cgi/man.cgi?query=geliapropos=0sektion=8manpath=FreeBSD+6.1-RELEASEformat=html Consegui criar uma partição tipo /cripto, mas nao todo o FS, alguém tem alguma dica ? É possivel fazer isso ? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Cryptographic Filesystem !
Éderson Chimbida wrote: Nao ultilizo discos IDE e sim um Compact Flash adaptado numa IDE ou SATA ou um pendrive, aqueles chaveiros usb ! O GBDE já ultilizei, mas sempre em discos SCSI e nunca tive problemas,no 4.x sempre usava o CFS. Com a 6.x surgiu esse GELI, e consegui montar 2 partições criptografadas no CF, mas queria tudo. No mam do geli diz assim: Allows to encrypt the root partition - the user will be asked for the passphrase before the root file system is mounted. Será que entendi errado ? Aqui eu uso o GELI para encriptar todas partições com exceção do / e /usr (é um notebook), e ele pede o 'passphrase' durante o boot. Se você quiser encriptar o raiz também, vai ter que colocar todo o conteúdo do /boot (incluido kernel e todos os módulos) em um USB-Drive ou CD, e dar um boot por esse dispositivo. Provavelmente você vai achar algum howto/passo a passo na net. - Rainer - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Cryptographic Filesystem !
On 6/30/06, Rainer Alves [EMAIL PROTECTED] wrote: Éderson Chimbida wrote: Nao ultilizo discos IDE e sim um Compact Flash adaptado numa IDE ou SATA ou um pendrive, aqueles chaveiros usb ! O GBDE já ultilizei, mas sempre em discos SCSI e nunca tive problemas,no 4.x sempre usava o CFS. Com a 6.x surgiu esse GELI, e consegui montar 2 partições criptografadas no CF, mas queria tudo. No mam do geli diz assim: Allows to encrypt the root partition - the user will be asked for the passphrase before the root file system is mounted. Será que entendi errado ? Aqui eu uso o GELI para encriptar todas partições com exceção do / e /usr (é um notebook), e ele pede o 'passphrase' durante o boot. Se você quiser encriptar o raiz também, vai ter que colocar todo o conteúdo do /boot (incluido kernel e todos os módulos) em um USB-Drive ou CD, e dar um boot por esse dispositivo. Provavelmente você vai achar algum howto/passo a passo na net. To quase lá, só falto a /boot, o problema vai ser essa passphrase que ele pede, esse BSD vai ser um dispositivo embedded, para um sistema de impressão segura, quase draconiana ! E acesso só por serial, o usuário nem vai saber o que tem dentro! Estou tentando usar um token, mas acho q nao rola nao ! - Rainer - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Éderson H. Chimbida ( aka neurobashing ) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Cryptographic Filesystem !
Ae talvez ajude: http://events.ccc.de/congress/2005/fahrplan/attachments/687-slides_Complete_Hard_Disk_Encryption.pdf Abraços -- Rafael Floriano Sousa Sales Segurança da Informação Tompast IT Services e-mail: [EMAIL PROTECTED] +55-11-3207-2457 +55-11-8433-2281 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Cryptographic Filesystem !
On 6/30/06, Rafael Floriano Sousa Sales [EMAIL PROTECTED] wrote: Ae talvez ajude: http://events.ccc.de/congress/2005/fahrplan/attachments/687-slides_Complete_Hard_Disk_Encryption.pdf Axo que vc colou o link errado ? Quero saber como criptografar um sistema de arquivos e nao como e quando portaram o OCF ( /dev/crypto... etc ) do OBSD pro FBSD. Abraços -- Rafael Floriano Sousa Sales Segurança da Informação Tompast IT Services e-mail: [EMAIL PROTECTED] +55-11-3207-2457 +55-11-8433-2281 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Éderson H. Chimbida ( aka neurobashing ) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Cryptographic Filesystem !
On 6/30/06, Éderson Chimbida [EMAIL PROTECTED] wrote: On 6/30/06, Rafael Floriano Sousa Sales [EMAIL PROTECTED] wrote: Ae talvez ajude: http://events.ccc.de/congress/2005/fahrplan/attachments/687-slides_Complete_Hard_Disk_Encryption.pdf Axo que vc colou o link errado ? Quero saber como criptografar um sistema de arquivos e nao como e quando portaram o OCF ( /dev/crypto... etc ) do OBSD pro FBSD. Auauaua me perdi nos posts, chegou um post li e quando fui responder... repondi pra pessoa errada na lista errada Mal mesmo, vou dar uma lida !!! Abraços -- Rafael Floriano Sousa Sales Segurança da Informação Tompast IT Services e-mail: [EMAIL PROTECTED] +55-11-3207-2457 +55-11-8433-2281 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Éderson H. Chimbida ( aka neurobashing ) -- Éderson H. Chimbida ( aka neurobashing ) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
