[FUG-BR] Proteção

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Quinta Janeiro 11 09:39:24 BRST 2007 

> A questão do live CD não me preocupa, a idéia é que o servidor teria
> uma entrada usb e só, nada de drives de cds ou disquetes. Hoje em dia
> existe "live-usb", mas para isso basta desabilitar o boot por usb na
> bios.

Nessa linha o mesmo se aplica a CD/DVD =P

> A ferramenta está concentrada em apenas uma pasta, o custo de
> processamento que a criptografia vai gerar justifica encriptar o disco
> todo nesse caso? quero dizer, vale a pena abrir mão de um pouco de
> processamento para encriptar todo o disco se a aplicação está
> concentrada apenas nessa pasta? (ainda nao sei como a aplicação se
> comporta, não sei quanto consome nem nada)

Depende do nivel de seguranca que voce quer ter. Se voce nao 
criptografar tudo tera que digitar a(s) chave(s) de cifragem antes de 
montar a particao onde esta a aplicacao. E' seguro, ao custo da 
interatividade com o sysadmin realmente responsavel. Qualquer outra 
abordagem automatizada a chave estara em uma particao nao criptografada, 
teoricamente sujeita a copia, mas como com geli pode ficar em extended 
attributes do UFS2, precisaria de alguem com paciencia e um pouco mais 
de conhecimento em FreeBSD pra descobrir (ja que voce pode definir o 
path e nome do atributo).

> A idéia inicial era não criar nenhum usuário para manutenção, porém
> você me deu uma idéia que parece segura, é capaz de eu usar ela e
> restringir um pouco a conta de manutenção usando o sudo.
> 
> É possível eu restringir login usando certificado digital? assim o
> cara só ia conseguir logar se:
> 1) tivesse a senha da conta desprivilegiada
> 2) tivesse a senha do root
> 3) tivesse um token com um certificado digital emitido pelo meu servidor

Eh sim, voce pode habilitar SecurID com Kerberos5 (de uma olhada no 
capitulo de kerberos do handbook) e configurar para preauth, ai o a 
"chave privada" (na verdade o token kerberos) sera lido antes da senha.

Se for o caso pode por ainda biometria. Tem devices de preco baixo 
(80-120 dolares) no mercado, e incluindo teclados[1] ja com leitor 
biometrico. De preferencia pelos "touchip" da Upek. Mais barato tambem 
seriam smartcards, de preferencia towitoko[2] =P

> 
> Valeu

[1]http://www.ksikeyboards.com/products_list.php?category_id=1
[2]http://www.cardlogix.com/product_readers_towitoko.asp

-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
(31) 3281-9633 / 3281-3547
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Mais detalhes sobre a lista de discussão freebsd