Fórum Root.cz

Hlavní témata => Server => Téma založeno: chladic 02. 12. 2014, 16:41:35

Název: Restrikce nabootováné systému na specifický HW
Přispěvatel: chladic 02. 12. 2014, 16:41:35

Zdravim vsetkych,

uz dlhsie sa zaoberam jednou ulohou, ktoru neviem vyriesit.
Chcem spravit instalaciu linuxoveho systemu s cryptovanym root FS, tak aby sa nemuselo zadavat heslo pri boote.

Cize vysledok je taky ak dam niekomu nainstalovany system s celym HW, tak si ho nemoze nijak skopirovat, ani pozmenit.
Jedna moznost ma napadla kluc k odcryptovaniu root FS naviazat na motherboard ID + HDD ID a hodit do do kernelu, pretoze
v initrd to je jednoduche vidiet a zmenit. Netusim ale ako nieco take realizovat.
Dalsia moznost bola projekt coreboot, ale v nom som nenasiel riesenie na tento problem.

Napada niekoho nieco, ako to riesit ?

dakujem za kazdy podnet
Rast'o

Název: Re:Restrikce nabootovani systemu na specificky HW
Přispěvatel: Radek 02. 12. 2014, 17:06:45

Ahoj,

Pravdepodobne hledas neco jako TPM(http://cs.wikipedia.org/wiki/Trusted_Platform_Module). Umoznuje to uvnitr uchovat klic, kterej se pak pouzije pro desifrovani. Vetsinou se to ale pouziva na RSA. Bios zaheslujes aby ti tam nekdo nebootoval odkud nechces a pak nastavis v biosu(pouze nektere to podporuji) ze po odkrytovani se smaze obsah TPM. Dalsi reseni by byl secureBoot. Nabootujes jen podepsany kod. Ale jak dostat vlastni klice do biosu, to netusim.

Radek

Název: Re:Restrikce nabootovani systemu na specificky HW
Přispěvatel: RDa 02. 12. 2014, 17:36:24

Taky muzes pouzit neco jineho nez x86 (tj. ARM) kde je hw podpora pro SecureBoot

Název: Re:Restrikce nabootovani systemu na specificky HW
Přispěvatel: Bla 02. 12. 2014, 18:33:30

Ach jo  ::)
To bude perla tohleto opravovat  ;D
Ale na druhou stranu se bude stačit připojit po síti, zkopírovat si všechno podstatné.

Název: Re:Restrikce nabootovani systemu na specificky HW
Přispěvatel: Libn 02. 12. 2014, 20:45:43

Mozem sa ta na neco zpitat? Preboha preco chces daco take robit?
Okrem teho, vies, ze budes muset platit za custom hardware alebo nejaky blackbox (ktory aj tak do zopar rokov nekdo crackne)?

Bla:
Pssst, alebo k tomu backdooru da dlhsie heslo!

Název: Re:Restrikce nabootováné systému na specifický HW
Přispěvatel: JardaP . 02. 12. 2014, 21:33:14

Citace: chladic  02. 12. 2014, 16:41:35

Jedna moznost ma napadla kluc k odcryptovaniu root FS naviazat na motherboard ID + HDD ID a hodit do do kernelu, pretoze
v initrd to je jednoduche vidiet a zmenit. Netusim ale ako nieco take realizovat.

To jiste zastavi alespon polovinu pionyru z pomocne skoly a mozna i Frantu z kravina. To by mohlo fungovat leda na stroji, ktery nema zadnou konektivitu a pokud mozno ani monitor, aby si nekdo nesjel kamerou hexadump systemu pro OCR.

Název: Re:Restrikce nabootováné systému na specifický HW
Přispěvatel: r23 03. 12. 2014, 00:53:57

Nedávno jsem tu někomu doporučoval bezpečnostní karty od GO-Trust, to může být také řešení.

Název: Re:Restrikce nabootováné systému na specifický HW
Přispěvatel: chladic 02. 01. 2015, 15:51:03

Dakujem vsetkym za podnety. Nakoniec sme zvolili uplne inu cestu a zabezpecili radsej aplikaciu nez system

Název: Re:Restrikce nabootováné systému na specifický HW
Přispěvatel: František Nedokončený 02. 01. 2015, 20:20:45

To zní zajímavě, mohl by jste být prosím trochu konkrétnější? :-)
Myslím, že by jste tím obohatil nejen ty, kteří budou někdy v budoucnu řešit podobný problém.. :-)

Název: Re:Restrikce nabootováné systému na specifický HW
Přispěvatel: muhehe 02. 01. 2015, 21:36:23

jak dlouho trvalo od zruseni podpory linuxu na PS3, nez se objevil prvni PS3 jailbreak modchip? matne vzpominam, ze to bylo min nez pul roku.

Název: Re:Restrikce nabootováné systému na specifický HW
Přispěvatel: muhehe 02. 01. 2015, 21:39:34

tpm ani secureboot neresi pozadovane zadani:
- duvera dodavatele zakaznikovi

ale resi misto toho
- duvera zakaznika ve spousteny system

Název: Re:Restrikce nabootováné systému na specifický HW
Přispěvatel: muhehe 02. 01. 2015, 21:45:14

dozorci pracujici pro otrokare, spolu s otrokarskym systemem je dosavadni nejdokonalejsi technicky zvladnute reseni pozadovane tazatelem.

Název: Re:Restrikce nabootováné systému na specifický HW
Přispěvatel: mkub 02. 01. 2015, 23:26:32

Citace: chladic  02. 12. 2014, 16:41:35

Zdravim vsetkych,

uz dlhsie sa zaoberam jednou ulohou, ktoru neviem vyriesit.
Chcem spravit instalaciu linuxoveho systemu s cryptovanym root FS, tak aby sa nemuselo zadavat heslo pri boote.

Cize vysledok je taky ak dam niekomu nainstalovany system s celym HW, tak si ho nemoze nijak skopirovat, ani pozmenit.
Jedna moznost ma napadla kluc k odcryptovaniu root FS naviazat na motherboard ID + HDD ID a hodit do do kernelu, pretoze
v initrd to je jednoduche vidiet a zmenit. Netusim ale ako nieco take realizovat.
Dalsia moznost bola projekt coreboot, ale v nom som nenasiel riesenie na tento problem.

Napada niekoho nieco, ako to riesit ?

dakujem za kazdy podnet
Rast'o

tym, ze vytvoris neupravitelnu distribuciu porusujes automaticky GNU licenciu, ktora hovori, ze ziadny projekt zalozeny na GNU licencii by sa mal riadit touto licenciou, alebo kompatibilnou (dost zjednodusene)
a okrem toho, ak /root zasifrujes, tak potrebujes v initrd si popridavat ovladace k vsetkym zariadeniam, ako aj si v nom vytvorit malinky rood particiu, kde by sa vsetko potrebne spustilo a nasledne initrd by pripojil uz zasifrovanu particiu...
a root particiu nedoporucujem sifrovat a pokial chces sifrovat, tak by si si mal vytvorit zvlast particie pre sifrovane data (napr. pre /var, /home, a adresare /, /bin /sbin a pod... tie su zbytocne sifrovat, ako aj /boot, kde su ulozene jadro, samotny initrd,... by sa nemal sifrovat