On Mon, May 24, 2010 at 09:41:20AM +0200, Fox wrote: > _MOLTO_ interessante. > non ho mai affrontato l'argomento, ricordo vagamente Bucciarati che inseriva > una chiavetta usb per poter montare la partizione... > Come funziona la cosa? > si crea una partizione di boot non criptata e si accede a un device esterno > per la chiave di lettura della / ? > > Ot ancora lo so... :/ Be secondo me non e' che sia OT in realta'... Comunque, si, la logica e' quella di avere una partizione non criptata di boot con dentro solitamente solo il kernel e un initrd. L'initrd conterra' tutto il necessario per decrittare la partizione di root o quel che serve. Questa e' la base, il resto poi dipende da cosa si vuole, le soluzioni possibili sono molte. Ad esempio, per quel che riguarda la modalita' per sbloccare la partizione crittografica, si puo' usare una chiavetta usb o simili con un certificato sopra, oppure si puo' semplicemente avere l'initrd che chiede di inserire una password, oppure ancora si puo' avere un server ssh (di norma dropbear) nell'initrd per poter inserire una password anche da remoto... insomma la fantasia qui e' l'unico limite. Ancora, per la partizione criptata ci sono diverse soluzioni. Puoi avere la root e, mettiamo, la swap e la home in partizioni separate e dover immettere piu' chiavi per tutte, puoi averle separate e unavolta sbloccata la prima le altre si prendono le chiavi in questa, puoi fare come faccio io, una sola partizione crittografata vista una volta sbloccata come un pg lvm al cui interno creo sia la swap che tutto il resto... Insomma, la base e' quel che hai correttamente descritto, poi per il resto ci sono mille mila modi di fare le cose. Le distribuzioni moderne in generale comunque gestiscono gia' tutto questo molto bene, debian ad esempio, cito questa perche' e' quella che uso io, ti permette di installare gia' su disco crittografico, e gestisce molto bene l'initrd sia nel caso di device con certificato, sia per inserire una password al boot, sia per usare dropbear nell'initrd per farti inserire una password da remoto, il tutto out of the box. -- Franco (nextime) Lanza Busto Arsizio - Italy SIP://casa@casa.nexlab.it NO TCPA: http://www.no1984.org you can download my public key at: http://danex.nexlab.it/nextime.asc || Key Servers Key ID = D6132D50 Key fingerprint = 66ED 5211 9D59 DA53 1DF7 4189 DFED F580 D613 2D50 ----------------------------------- echo 16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D212153574F444E49572045535520454D20454B414D204F54204847554F4E452059415020544F4E4E4143205345544147204C4C4942snlbxq | dc -----------------------------------
Attachment:
signature.asc
Description: PGP signature