[FUG-BR] Proteção
Patrick Tracanelli
eksffa em freebsdbrasil.com.br
Quinta Janeiro 11 09:39:24 BRST 2007
> A questão do live CD não me preocupa, a idéia é que o servidor teria
> uma entrada usb e só, nada de drives de cds ou disquetes. Hoje em dia
> existe "live-usb", mas para isso basta desabilitar o boot por usb na
> bios.
Nessa linha o mesmo se aplica a CD/DVD =P
> A ferramenta está concentrada em apenas uma pasta, o custo de
> processamento que a criptografia vai gerar justifica encriptar o disco
> todo nesse caso? quero dizer, vale a pena abrir mão de um pouco de
> processamento para encriptar todo o disco se a aplicação está
> concentrada apenas nessa pasta? (ainda nao sei como a aplicação se
> comporta, não sei quanto consome nem nada)
Depende do nivel de seguranca que voce quer ter. Se voce nao
criptografar tudo tera que digitar a(s) chave(s) de cifragem antes de
montar a particao onde esta a aplicacao. E' seguro, ao custo da
interatividade com o sysadmin realmente responsavel. Qualquer outra
abordagem automatizada a chave estara em uma particao nao criptografada,
teoricamente sujeita a copia, mas como com geli pode ficar em extended
attributes do UFS2, precisaria de alguem com paciencia e um pouco mais
de conhecimento em FreeBSD pra descobrir (ja que voce pode definir o
path e nome do atributo).
> A idéia inicial era não criar nenhum usuário para manutenção, porém
> você me deu uma idéia que parece segura, é capaz de eu usar ela e
> restringir um pouco a conta de manutenção usando o sudo.
>
> É possível eu restringir login usando certificado digital? assim o
> cara só ia conseguir logar se:
> 1) tivesse a senha da conta desprivilegiada
> 2) tivesse a senha do root
> 3) tivesse um token com um certificado digital emitido pelo meu servidor
Eh sim, voce pode habilitar SecurID com Kerberos5 (de uma olhada no
capitulo de kerberos do handbook) e configurar para preauth, ai o a
"chave privada" (na verdade o token kerberos) sera lido antes da senha.
Se for o caso pode por ainda biometria. Tem devices de preco baixo
(80-120 dolares) no mercado, e incluindo teclados[1] ja com leitor
biometrico. De preferencia pelos "touchip" da Upek. Mais barato tambem
seriam smartcards, de preferencia towitoko[2] =P
>
> Valeu
[1]http://www.ksikeyboards.com/products_list.php?category_id=1
[2]http://www.cardlogix.com/product_readers_towitoko.asp
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
(31) 3281-9633 / 3281-3547
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"
Mais detalhes sobre a lista de discussão freebsd