RES: [FUGSPBR] Evitar Cópia
Renato Frederick
frederick em frederick.com.br
Sáb Jul 26 11:40:37 BRT 2003
Bom, deixa eu colocar um pensamento que me ocorreu:
O que eu considero importante vamos supor: /usr/local/vpopmail/*
Encripto este diretório via cfs (estou ignorando aqui detalhes a
respeito de como vamos tratar a montagem de diretório e etc)
Faço algum sistema da seguinte maneira:
A senha para "montar" o diretório encriptado no momento do boot da
máquina é dada via programa perl compilado ou programa C.
Esta senha é pega via rede, de um servidor radius ou ldap, sendo que
este mesmo servidor só permite acesso via o IP especifico, no caso do
meu servidor de email.
Por favor, não venham me falar "e se o cara pegar os 2 servidores"?
Porque ai o ladrao em questão tem que ser alguém do desenvolvimento da
empresa, e no meio de uma pancada de máquinas pegar justo o servidor de
radius e o servidor email encriptado o cara tem que estar bem por dentro
da parte técnica da empresa! Ai contra funcionário pilantra que trabalha
no desenvolvimento só cadeia e porrada :)
Pra esclarecer, a situação do roubo que citei:
Quem roubou foram funcionários do prédio, porteiro/manobrista/servente,
arrombaram diversos andares, levaram diversos itens, computadores,
mesas, cadeiras. "estranhamente" as câmeras não funcionaram :)
Criei o email só porque estas questões me passaram na cabeça e queria a
opinião de cada um. Algo do tipo:
Roubou? Que bom, você tem um super servidor, mas o que ta lá dentro você
não vai ler.
Penso que com o sistema acima:
Alguém tira o hd hot swap, que era o que tinha o /var/spool montado:
Bom, primeiro o alguém que tirou o HD tem que ser interno da empresa e
ter acesso a este servidor na console pra saber qual hd encontra-se o
/var/spool.
2o: Se ele levar o hd vai levar os dados encriptados, já que o script
que passa a senha via radius só funciona em conjunto com os 2
servidores.
Alguém pega o script e leva pra casa junto com o hd:
Nada adianta porque o servidor radius esta na outra maquina.
Cfs tem um bug e dá pau:
Senta e chora :) você perdeu tudo!
Quanto ao sistema do Windows xp/2000 que o colega comentou:
Não, o xp/2000 quando encripta um arquivo altera o cabeçalho do mesmo e
adiciona informações sobre quem pode acesasr: o dono dele no AD e o
Administrador global, além de criptografar.
Já me ferrei com isso, copiei um arquivo num disquetinho cheguei aqui em
casa e não li o arquivo.
So quem lê o arquivo é o criador do arquivo ou o administrador do ad,
que pode retirar a criptografia.
Se você criar um conjunto de certificados publico/privado pra este
arquivo, enquanto estiver no seu domínio AD copiar estes certificados
junto com o arquivo e souber sua senha de login ai sim você abre este
arquivo em qualquer maquina Windows 2000 ou XP, com criptografia forte.
> -----Mensagem original-----
> De: Antonio Torres [mailto:antonio.torres em newspace.net.br]
> Enviada em: sexta-feira, 25 de julho de 2003 23:07
> Para: Grupo Brasileiro de Usuarios FreeBSD
> Assunto: Re: [FUGSPBR] Evitar Cópia
>
>
> Recomendo a todos os interessados em "segurança" meu 'livro de
cabeceira'
> :
>
> Segurança.com
> Bruce Schneier
>
>
> Todos os assuntos que estão "rolando" são abordados; mas podemos
resumir
> em
> uma frase: Segurança eletronica de dados tambem inclui segurança
física de
> dados.
>
> A ideia de uma camera gravando tudo nas proximidades do
servidor/backups
> me
> pareceu a mais simples e mais funcional (eu já uso isso a bastante
tempo)
> Até uma 'webcam' seria eficiente (desde que a gravação não fique na
> "maquina protegida")
>
>
>
>
> []s
> Antonio Torres
> antonio.torres em newspace.net.br
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd