[Tech] Re: [e-privacy] Documento per il quale chiederei commenti
Marco A. Calamari
marcoc1@dada.it
Gio 9 Giu 2005 10:11:48 CEST
On Wed, 2005-06-08 at 23:30 +0200, Leandro Noferini wrote:
> Ciao a tutti,
>
> chiedo venia per il messaggio in copia ma credo possa interessare i
> frequentatori delle due liste.
>
> All'indirizzo https://www.mixmaster.it/~leandro/cifroserver.html
> trovate la prima bozza di un documento scritto da Leonardo Giacomelli
> e da me.
E' cosa buona e giusta !!
> Ve lo segnalo perche' gradiremmo fortemente i vostri commenti
> sull'opportunita' di un tale documento, sull'approccio che abbiamo
> seguito nonche' sulla realizzazione. Ci rivolgiamo qui prima di una
> vera e propria pubblicizzazione.
>
> Ovviamente in privato.
Ecco, questa non la capisco; mi sembra invece opportuno, data
la complessita' della materia, rispondere in lista; tanto di
traffico ce ne e' poco.
Tre note veloci, tanto per iniziare
1) in un server critico, resettare /tmp e criptare swap
mi sembra il minimo; debian sarge per default pulisce
/tmp, ma inserirei uno script che usi un wiper, o monterei
/tmp su una partizione criptata
Per criptare la swap, con un kernel > 2.6.4 basta fare...
=================================================================
On Debian, running at least a 2.6.4 kernel, encrypting swap is simple as
doing a aptitude/apt-get install cryptsetup. After you compiled support
for DM-CRYPT (CONFIG_BLK_DEV_DM=y CONFIG_DM_CRYPT=y) and the ciphers
you want to support add the following to /etc/crypttab
# <target device> <source device> <key file> <options>
swap /dev/hda2 /dev/urandom swap
tmp /dev/hda5 /dev/urandom tmp
where /dec/hda2 is your swap-device and /dev/hda5 is /tmp.
Your fstab should look like this:
/dev/mapper/tmp /tmp ext2 defaults 0 2
/dev/mapper/swap none swap sw 0 0
Note ext2 on /tmp.
Reboot. You should see something like
Adding 104412k swap on /dev/mapper/swap. Priority:1 extents:1
/proc/swaps should include
/dev/mapper/swap partition 104412 0
1
Verify with dmsetup table
tmp: 0 979902 crypt aes-cbc-plain
9840530abe44eb49826aaaaaaaa4809e688a01f6a1c1cebc6caaaa6b2a4ad97d4 0 3:5
0
swap: 0 1959930 crypt aes-cbc-plain
3c2bbd7e5e500bca957a8dcb88754aaaaaa34986541aeaaafe3daa1542c3389e9 0 3:2
0
==================================================================
Queste istruzioni le ho trovate su un ottimo documento per
paranoici qui
http://wiki.noreply.org/noreply/TheOnionRouter/OperationalSecurity
2) Cambiando runlevel si deve fare in modo che i demoni avviati (cioč
ssh) vengano terminati?
Si, e basta mettere nella dir del runlevel che si abbandona i link
agli stessi script (o ad un sottoinsieme, cambiando i nomi in Knnaaaa
da Snnaaaa che erano. init li invoca automaticamente con parametro stop
quando cambi runlevel
3) Nel Disk-Encryption-HOWTO si descrive una tecnica per bootstrappare
da una chiave usb, e poi switchare su una root criptata.
Questo sistema potrebbe facilmente essere adattato per bootstrappare
da una piccola partizione di boot su hdu e poi far partire un sistema
completamente criptato.
HTH. Marco
P.S. fate le cose di nascosto, eh.... ?
--
+--------------- http://www.winstonsmith.info ---------------+
| il Progetto Winston Smith: scolleghiamo il Grande Fratello |
| the Winston Smith Project: unplug the Big Brother |
| Marco A. Calamari marcoc@dada.it http:// www.marcoc.it |
| DSS/DH: 8F3E 5BAE 906F B416 9242 1C10 8661 24A9 BFCE 822B |
+ PGP RSA: ED84 3839 6C4D 3FFE 389F 209E 3128 5698 ----------+
-------------- parte successiva --------------
Un allegato non testuale č stato rimosso....
Nome: non disponibile
Tipo: application/pgp-signature
Dimensione: 307 bytes
Descrizione: This is a digitally signed message part
URL: <http://lists.linux.it/pipermail/flug-tech/attachments/20050609/962767bc/attachment.pgp>
Maggiori informazioni sulla lista
flug-tech