Название: создание электронного идентификатора для загрузки Отправлено: kopernik21187 от Декабрь 14, 2009, 14:18 Передо мной стоит такая задача: есть Debian Lenny 5.0.2 и нужно сделать так, чтобы вход в ОС осуществлялся только при предъявлении флешки и ввода пароля. В общем нужно научиться создавать электронный usb-идентификатор и научить Линукс загружаться только с такой флешки. Примеры есть- это алладиновские ключи(http://www.aladdin.ru/) и Рутокеновские(http://www.rutoken.ru/). Если кто-нибудь знает как это делать киньте пожалуйста ссылки хотя бы в каком направлении копать.
С уважением, kopernik21187 Название: Re: создание электронного идентификатора для загрузки Отправлено: lit-uriy от Декабрь 14, 2009, 14:53 ХМ, я думаю это больше по организации работы в ОСьке, чем по программированию на Qt.
Название: Re: создание электронного идентификатора для загрузки Отправлено: BRE от Декабрь 14, 2009, 15:14 Передо мной стоит такая задача: есть Debian Lenny 5.0.2 и нужно сделать так, чтобы вход в ОС осуществлялся только при предъявлении флешки и ввода пароля. В общем нужно научиться создавать электронный usb-идентификатор и научить Линукс загружаться только с такой флешки. Примеры есть- это алладиновские ключи(http://www.aladdin.ru/) и Рутокеновские(http://www.rutoken.ru/). Если кто-нибудь знает как это делать киньте пожалуйста ссылки хотя бы в каком направлении копать. Почитай на тему PAM и одного из его модулей pam_usb.С уважением, kopernik21187 Навскидку: http://www.nixp.ru/articles/nopassword_auth_via_pam_usb Название: Re: создание электронного идентификатора для загрузки Отправлено: Vass от Декабрь 14, 2009, 18:46 А может по старинке? просто записать boot раздел на флешку, нет флешки - нет boot'а - ничего не работает.
Название: Re: создание электронного идентификатора для загрузки Отправлено: break от Декабрь 14, 2009, 21:46 Есть еще ключи Guardant - московская контора - ключи разного семейства, могут ли блокировать загрузки ОС не знаю, но их можно программировать под себя.
Теперь сори за оффтоп: У вас задача странная и бессмысленная - если вы будете защищать программу которая всем нужна (для широкого круга аудитории) то вашу самописную зашиту очень быстро взломают - потому что взломщики то же есть хорошие спецы, всякие там бут сектора на флешке - для них не проблема, если нужно защитить программу кот. узкоспециализированная - то ключи самый вариант. А блокирование загрузки ОС без флешки - все обходиться, да и неудобно - это ничуть не надежнее пароля, флешку можно потерять, продать конкурентам и т.д. - в общем все что и с паролем - проще провести разъяснительную беседу с сотрудниками о том что нельзя писать пароли на бумажках и пообещать штрафы за разглашение... Название: Re: создание электронного идентификатора для загрузки Отправлено: Павел_F. от Декабрь 14, 2009, 22:22 вход в ОС осуществлялся только при предъявлении флешки и ввода пароля. В общем нужно научиться создавать электронный usb-идентификатор и научить Линукс загружаться только с такой флешки. Копай в направлении udev и правил для него. Udev'у можно сказать в правилах выполнять любой скрипт при вставке конкретной флеши( для определения можно использовать любой ее параметр). Эта тема много осуждалась в нете, для автомонтирования нужной флеши в нужную папку например. Что касаемо входа( буду иметь ввиду графическую оболочку) то это копать в сторону desktop manager( xdm - стандартный от иксов, gdm - стандартный в гноме, kdm - для кед). Взять его исходники и переписать так чтобы он не показывал окно для входа если нет флеши. Итого: 1)Можно, например, завести на флешке скрипт в котором создавать свою переменную окружения и прописывать ее значение. Сделать правило для udev в котором по вставке нужной флеши монтировать ее и выполнять с нее нужный скрипт. В desktop manager смотреть значение переменной окружения и делать вывод о том позволить войти или выключится нафиг. 2)Можно в неразмеченной области флешки( чтоб никто не догадался) поместить некий код. А в desktop manager искать флеш, если есть читать код из неразмеченной области и думать то или нет. 3)Можно на нужном уровне запуска линукс( хорошая вещь уровни запуска, тоже почитайте) поставить нужный скрипт который показвает запрос пароля и ищет флеш. а потом уже идет обычная загрузка... 4) Да можно даже в исходники grub дописать свой кусок чтоб флеш искал и пароль просил. Да вариантов вагон с тележкой! Название: Re: создание электронного идентификатора для загрузки Отправлено: break от Декабрь 14, 2009, 23:02 P.S.
Цитировать 4) Да можно даже в исходники grub дописать свой кусок чтоб флеш искал и пароль просил. Можно и биос в компе дизассемблировать и подправить тчоб неразмеченную область на флешке искал...Цитировать Да вариантов вагон с тележкой! Вариантов много - никто не спорит, но целесобразность должна у них быть...или 1) Секретарша перестанет уметь включать свой комп. или 2) Я прийду с Live-CD и все равно заберу все данные с винта Лучше поставьте это все в сейф - к нему электронный замок, от него детонатор и заряд побольше по периметру офиса :-) Название: Re: создание электронного идентификатора для загрузки Отправлено: Павел_F. от Декабрь 14, 2009, 23:34 Можно и биос в компе дизассемблировать и подправить тчоб неразмеченную область на флешке искал... Дизасемблировать и править имеющиеся в свободном доступе исходники это разные вещи. Это раз. Два, другие варианты много проще.1) Секретарша перестанет уметь включать свой комп. Ну она раньше вводила пароль в таком красивеньком окошке, а теперь вот в не красивой строчке надо написать. Это тяжело, но она справится, я в нее верю.2) Я прийду с Live-CD и все равно заберу все данные с винта Ну уж если строиш такую вещь то загрузку с внешних носителей можно и выключить.Да и вообще... Может надо просто ограничить доступ к компам. Типа как оружие табельное сдал-принял. Чтоб после работы не игрались и сторожа порнуху не зырили ночами. Вот и загадали админу своему такую задачу, а он вариант попроще ищет. И все, а на данные-то пох. Не зная задачи вы так уверенно говорите что она не оправдана... Зря, наверное... Название: Re: создание электронного идентификатора для загрузки Отправлено: break от Декабрь 14, 2009, 23:46 Цитировать Ну она раньше вводила пароль в таком красивеньком окошке, а теперь вот в не красивой строчке надо написать. Это тяжело, но она справится, я в нее верю. По предложенным вами вариантам она должна вовремя всунуть флешку - толи при загрузке компа то ли при загрузке ОС - она пришла на работу - и тупо забыло это сделать - конечно это было сказано в шутку но ввести пароль проще чем вставить нужную флешку - не верите мне - спросите у бухгалтеров которые с клиент банками работают - только у них сейчас еще и дискеты а не флешки - и там как раз эти скрытые области и т.д. - у каждой конторы несколько счетов в разных банках а в реальности много - вот они и тыкают то одну дискету то другую - это идиотизм, и все эти дисветы подписанные лежат в столе у бухгалтера, + еще флешка для включения компа добавится.Цитировать Ну уж если строиш такую вещь то загрузку с внешних носителей можно и выключить. Ну а как ты ее выключишь так чтобы я не смог включить? В этом то и неразумность суперзащит что всегда есть уровень абстракции до которого она будет работать - если у меня есть физически доступ к компу - то все нет никакой вашей защиты на включение, совсем другое дело шифрованные разделы, SSH и т.д. но речь о них вы не ведете - включить комп и стянуть с винта смогу всегда - сброшу биос, и не так много время на это надо 10 мин максимум с учетом необходимости откручивания/закручивания крышки...Цитировать Да и вообще... Может надо просто ограничить доступ к компам. Типа как оружие табельное сдал-принял. Чтоб после работы не игрались и сторожа порнуху не зырили ночами. Вот и загадали админу своему такую задачу, а он вариант попроще ищет. И все, а на данные-то пох. Не зная задачи вы так уверенно говорите что она не оправдана... Зря, наверное... Доступ к компам по любому надо ограничить и сторожам порнуху на дисках выдавать чтобы траффик не жрали и вирусы не качали, а данные надо защищать не такими способами - то есть именно защита включения компа с помощью флешки ничуть не эффективнее защиты по паролю - никакой разницы, только неудобства. И задачу я знаю и говорю именно поэтому уверенно - а вот вы с такой уверенностью предложили человеку способы реализации проблемы выгода от которых малоэффективна и трудоемка - это со знанием деала? и не зря?Название: Re: создание электронного идентификатора для загрузки Отправлено: Павел_F. от Декабрь 15, 2009, 00:07 Я не буду вступать в спор, тем более он у нас не по теме выходит. Человек спрашивал "Как?", а не "Зачем?". Изначально вопрос стоял так, что ему нужно это сделать ( ну вот, например, пришло начальство и сказало хочу так и все!). Давайте все же советовать что и как, я свою мысль озвучил. Если хочется обсудить не "Как?" а "Зачем?" то для этого нужна отдельная тема.
|