Встала банальная задача сохранности данных на ящике с Linux.

1.Защита БИОС стандартная паролем
2.Физическая защита системного блока замком.
3.Отключение usb и любой загрузки с внешнего устройства
4.Шифрование разделов Linux.

Остается вопрос за grub, ибо /boot Не зашифруешь.
Возможно ли сделать запрет на ручное изменение grub во время загрузки?

P/S

Погуглив некоторое время нашел
http://itshaman.ru/articles/14/password-grub (https://href.li/?http://itshaman.ru/articles/14/password-grub)

а что на хардах, какой проц и текущая загрузка

modelsonline написал(а):

а что на хардах, какой проц и текущая загрузка



Это пока в проекте.
Сейчас курю ядерную физику. Возможно придется с защитой данных при попытке дублировании винта городить.

Какая взад ядерная физика, если с grub ничего ктоме тупого хранения бэкапов сделать нельзя? Ты с ним запускал хоть раз, например, поиск строки внутри файла? Он еще и не smp не держит. Защита от попыток дублирования - раид5 на 6 1.5тб дисков.

Ну у нас свои тараканы. Я про chroot имею ввиду при угоне винчестера. RAID не рассматривали из за того, что тачка отдается клиенту и нежелательно ее удорожание.

А на счет RAID... сам восстанавливал RAID ребятам убитый.
Сливал образы с 4 винтов и програмно их соединял в массив.

а как насчет шифрования пользовательских данных в контейнер, который монтируется как отдельная файловая система?

ggnk написал(а):

а как насчет шифрования пользовательских данных в контейнер, который монтируется как отдельная файловая система?



Кстати тоже тема! Вопрос в том что будет ключом для монтирования такой системы. Я бы склонился к чексумме оборудования ну или что-то вроде этого.

посмотри возможности truecrypt, может это как раз то что тебе надо. кстати она бесплатная.

Не годиться простое шифрование.
Дамп HDD и засовывание в виртуалку - система гостеприимно раскидывает ноги. Защита на флешке с truecrypt - дамп флешки!

pikasun написал(а):

Не годиться простое шифрование.
Дамп HDD и засовывание в виртуалку - система гостеприимно раскидывает ноги. Защита на флешке с truecrypt - дамп флешки!


может это будет звучать банально, но пароль на зашифрованый контейнер в 64 символа - должен помочь. Если конечно вы не опасаетесь того, что украдут так называемые "доверенные лица", знающие пароль, которым позволено работать с информацией. Вы что там - спутник запускаете?)
ну наконец, вариант с Pre-Boot Authentication - шифрование системы на уровне "до загрузки ОС", запрещающая чтение, изменение, выполнение файлов до ввода пароля. Пароль ввел один раз при загрузке - и работай. пускай себе делают потом дамп HDD - без пароля все равно не получат доступ к системе. Не помню точно, но вроде в truecrypt тоже есть.

ggnk написал(а):

может это будет звучать банально, но пароль на зашифрованый контейнер в 64 символа - должен помочь. Если конечно вы не опасаетесь того, что украдут так называемые "доверенные лица", знающие пароль, которым позволено работать с информацией. Вы что там - спутник запускаете?)
ну наконец, вариант с Pre-Boot Authentication - шифрование системы на уровне "до загрузки ОС", запрещающая чтение, изменение, выполнение файлов до ввода пароля. Пароль ввел один раз при загрузке - и работай. пускай себе делают потом дамп HDD - без пароля все равно не получат доступ к системе. Не помню точно, но вроде в truecrypt тоже есть.



Коробка будет стоять не у нас - угон программы не желателен.
А как угонять я писал выше. Стопим систему дампим и запускаем на виртуалке.
Система должна работать у клиента (явки пароли ключи на запуск ему будут доступны)
А вот ковыряние в системе, запуск под виртуалкой должны быть запрещены.

Коробка будет стоять не у нас - угон программы не желателен.


привяжите саму программу к железу, что бы при изменении конфигурации компа требовалась активация(через вас) - довольно распространенное явление среди программ с "абонплатой".

ggnk написал(а):

привяжите саму программу к железу, что бы при изменении конфигурации компа требовалась активация(через вас) - довольно распространенное явление среди программ с "абонплатой".


Собственно с самого начала и думалось ))
Нашел у Криса Касперски интересную статью - вот кусочек.


..." Виртуальные машины несут на своем борту довольно специфический набор железа, практически не встречающийся в "живой природе": а) видеокарта VMware Inc [VMware SVGA II] PCI Display Adapter; б) сетевая карта: Advanced Micro Devices [AMD] 79c970 [PCnet 32 LANCE] (rev 10); в) жесткие диски: VMware Virtual IDE Hard Drive и VMware SCSI Controller. Опросив конфигурацию оборудования, червь сразу поймет где он.
Во-вторых, виртуальные сетевые карты имеют довольно предсказуемый диапазон MAC-адресов, а именно: 00-05-69-xx-xx-xx, 00-0C-29-xx-xx-xx и 00-50-56-xx-xx-xx."


Ну и проверку хитрую на родное железо надо наверное включать.

а) видеокарта VMware Inc [VMware SVGA II] PCI Display Adapter; б) сетевая карта: Advanced Micro Devices [AMD] 79c970 [PCnet 32 LANCE] (rev 10); в) жесткие диски: VMware Virtual IDE Hard Drive и VMware SCSI Controller.


это ведь только для VMWare... а есть ведь ещё и другие эмули, виртуалбокс например. так что ограничиватся проверкой на наличие сих девайсов думаю не стоит да и железо могут подобрать аналогичное. Работал с одной программкой - там помимо привязки к железу(без новой активации работать не будет) требовалась регулярная синхронизация с их сервером, который ежедневно передавал программе-клиенту файлы лицензии, позволявшие работать следующую неделю. Тоесть если за неделю ниразу не обновился - программа запустится в ограниченном функционале, позволяющем только сеанс связи с сервером. на сервере хранится лицензия только для одного типа оборудования, которая и передается клиенту, если код оборудования не совпадает с клиенстким - программа выдает сообщение о несоответствии с кодом оборудования и показывает новый сгенерированный код оборудования(генерится из всего оборудования кроме USB девайсов, но вроде как основной компонент - серийный номер HDD). Клиент связывается с обладателем программы, сообщает о ситуации мол так и так, пересылает новый код оборудования, лицензия перебивается на него, а старая лицензия - удаляется. Тоесть в случае "клонирования" программы на несколько компов, при следующем сеансе связи с сервером хранения лицензий - вылетят все программы кроме той что была последней привязана к железу.
З.Ы. сам чуть не запутался, подведем итог: имеем два кода, 1 - код железа, 2 - код лицензии. они взаимосвязаны,изменение кода 1 влечет за собой отключение программы до поступления нового кода лицензии(2), код 2 также должен обновлятся раз в неделю. вроде все написал, извините за "многабукав")

О если бы можно было синхронизироваться с сервером!
Эту проблему решить было бы проще.
Но видишь ли, возможен вариант, что сервак не будет в онлайне.
А потребовать онлайна со всех невозможно.
Я надумал вариант с контроллером на pci шине. Контроллер заглушен наглухо в материнскую плату.
Девайс - черный ящик. Чекает кое-что сразу при загрузке компа и после загрузки системы. Все, что передается, шифруется в обе стороны, вкупе c довеском из мусора.
Если будет спрос на нашу систему(не спрашивайте что )), возможно забацаем.
Главное найти оптимальную защиту, сломать которую дороже, чем купить программу.

Для просмотра скрытого содержимого необходимо иметь 10 сообщений, у вас 0 сообщений.

Есть такое. Вопрос в том и состоит что дороже снятие защиты или стоимость программы. Софт скажу не супер приватный - как ты правильно догадываешься хреновый маркетинг!

В любом случае мне подобный опыт, в плане современных защит будет не лишним. А что там мутят дяди Боссы и МРАакетологи будущее покажет.

может попроще способ спасёт отцов русской демократии? ну так чтоб два раза колесо не изобретать?
http://ru.wikipedia.org/wiki/HASP (https://href.li/?http://ru.wikipedia.org/wiki/HASP)

не совсем понял наклон темы, шифрование даных или шифрование проги, или шифрование всего мира? ну и как показывает практика, можно сильно не шифровать, всё равно оно будет грудой мусора через полгода-год. главное успеть правильно толкнуть и выпускать периодические качественные обновки.