Re: и ещё про шифрование
On 2008.03.13 at 21:55:06 +0300, sergio wrote:
> Можно включить в initrd сеть и ssh.
> Можно сделать root не шифрованным, а шифровать только то, что нужно.
> При этом очень хочется, скажем, шифровать мускульные дазы. Но я как-то
> плохо себе представлю, что бы дебиан поднялся без var'a. Те надо выность
> базы на другой раздел... Проще в inintrd сеть с ssh засунуть..
Сделать отдельный раздел для /var/lib/mysql. Ничего сложного. Одна
строчка в fstab. Можно прямо при установке, можно потом.
> Но тут появляется ещё одна мысль: пароль можно перехватить при вводе
> пароля. Например тупо выключив этот компутер и поменять на нём
> програмку, которая спрашивает пароль..
Программка-то из пакета. debsums на неё напустить прежде чем пароль
вводить. А еще в дистрибутиве есть bsign и elfsign, integrit и fcheck
В общем, есть куча разных способов усложнить жизнь желающему подменить
программку в системе.
Кстати debsums меня как-то спас от руткита, который подменял md5sum
чтобы она для подмененных бинарников исходные хэши выдавала. Потому что
debsums пользуется для подсчета контрольных сумм перловым модулем
Digest::MD5, а его подменить забыли.
Вообще реализаций md5 и sha1 в системе столько, что взломщик почти
обязательно проколется, если сисадмин захочет посчитать контрольную
сумму файлов всеми возможными способами.
Reply to: