Russian Qt Forum
Ноябрь 22, 2024, 19:10 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
 
  Начало   Форум  WIKI (Вики)FAQ Помощь Поиск Войти Регистрация  

Страниц: [1]   Вниз
  Печать  
Автор Тема: создание электронного идентификатора для загрузки  (Прочитано 8679 раз)
kopernik21187
Гость
« : Декабрь 14, 2009, 14:18 »

Передо мной стоит такая задача: есть Debian Lenny 5.0.2 и нужно сделать так, чтобы вход в ОС осуществлялся только при предъявлении флешки и ввода пароля. В общем нужно научиться создавать электронный usb-идентификатор и научить Линукс загружаться  только с такой флешки. Примеры есть- это алладиновские ключи(http://www.aladdin.ru/)  и Рутокеновские(http://www.rutoken.ru/). Если кто-нибудь знает как это делать киньте пожалуйста ссылки хотя бы в каком направлении копать.
   С уважением, kopernik21187
Записан
lit-uriy
Джедай : наставник для всех
*******
Offline Offline

Сообщений: 3880


Просмотр профиля WWW
« Ответ #1 : Декабрь 14, 2009, 14:53 »

ХМ, я думаю это больше по организации работы в ОСьке, чем по программированию на Qt.
Записан

Юра.
BRE
Гость
« Ответ #2 : Декабрь 14, 2009, 15:14 »

Передо мной стоит такая задача: есть Debian Lenny 5.0.2 и нужно сделать так, чтобы вход в ОС осуществлялся только при предъявлении флешки и ввода пароля. В общем нужно научиться создавать электронный usb-идентификатор и научить Линукс загружаться  только с такой флешки. Примеры есть- это алладиновские ключи(http://www.aladdin.ru/)  и Рутокеновские(http://www.rutoken.ru/). Если кто-нибудь знает как это делать киньте пожалуйста ссылки хотя бы в каком направлении копать.
   С уважением, kopernik21187
Почитай на тему PAM и одного из его модулей pam_usb.
Навскидку: http://www.nixp.ru/articles/nopassword_auth_via_pam_usb
Записан
Vass
Гость
« Ответ #3 : Декабрь 14, 2009, 18:46 »

А может по старинке? просто записать boot раздел на флешку, нет флешки - нет boot'а - ничего не работает.
Записан
break
Гипер активный житель
*****
Offline Offline

Сообщений: 846


Просмотр профиля
« Ответ #4 : Декабрь 14, 2009, 21:46 »

Есть еще ключи Guardant - московская контора - ключи разного семейства, могут ли блокировать загрузки ОС не знаю, но их можно программировать под себя.

Теперь сори за оффтоп: У вас задача странная и бессмысленная - если вы будете защищать программу которая всем нужна (для широкого круга аудитории) то вашу самописную зашиту очень быстро взломают - потому что взломщики то же есть хорошие спецы, всякие там бут сектора на флешке - для них не проблема, если нужно защитить программу кот. узкоспециализированная - то ключи самый вариант.

А блокирование загрузки ОС без флешки - все обходиться, да и неудобно - это ничуть не надежнее пароля, флешку можно потерять, продать конкурентам и т.д. - в общем все что и с паролем - проще провести разъяснительную беседу с сотрудниками о том что нельзя писать пароли на бумажках и пообещать штрафы за разглашение...
Записан
Павел_F.
Гость
« Ответ #5 : Декабрь 14, 2009, 22:22 »

вход в ОС осуществлялся только при предъявлении флешки и ввода пароля. В общем нужно научиться создавать электронный usb-идентификатор и научить Линукс загружаться  только с такой флешки.
Копай в направлении udev и правил для него. Udev'у можно сказать в правилах выполнять любой скрипт при вставке конкретной флеши( для определения можно использовать любой ее параметр). Эта тема много осуждалась в нете, для автомонтирования нужной флеши в нужную папку например.

Что касаемо входа( буду иметь ввиду графическую оболочку) то это копать в сторону desktop manager( xdm - стандартный от иксов, gdm - стандартный в гноме, kdm - для кед). Взять его исходники и переписать так чтобы он не показывал окно для входа если нет флеши.
Итого:
1)Можно, например, завести на флешке скрипт в котором создавать свою переменную окружения и прописывать ее значение. Сделать правило для udev в котором по вставке нужной флеши монтировать ее и выполнять с нее нужный скрипт. В desktop manager смотреть значение переменной окружения и делать вывод о том позволить войти или выключится нафиг.
2)Можно в неразмеченной области флешки( чтоб никто не догадался) поместить некий код. А в desktop manager искать флеш, если есть читать код из неразмеченной области и думать то или нет.
3)Можно на нужном уровне запуска линукс( хорошая вещь уровни запуска, тоже почитайте) поставить нужный скрипт который показвает запрос пароля и ищет флеш. а потом уже идет обычная загрузка...
4) Да можно даже в исходники grub дописать свой кусок чтоб флеш искал и пароль просил.

Да вариантов вагон с тележкой!
« Последнее редактирование: Декабрь 14, 2009, 22:37 от Павел_F. » Записан
break
Гипер активный житель
*****
Offline Offline

Сообщений: 846


Просмотр профиля
« Ответ #6 : Декабрь 14, 2009, 23:02 »

P.S.
Цитировать
4) Да можно даже в исходники grub дописать свой кусок чтоб флеш искал и пароль просил.
Можно и биос в компе дизассемблировать и подправить тчоб неразмеченную область на флешке искал...

Цитировать
Да вариантов вагон с тележкой!
Вариантов много - никто не спорит, но целесобразность должна у них быть...

или
1) Секретарша перестанет уметь включать свой комп.
или
2) Я прийду с Live-CD и все равно заберу все данные с винта

Лучше поставьте это все в сейф - к нему электронный замок, от него детонатор и заряд побольше по периметру офиса :-)
« Последнее редактирование: Декабрь 14, 2009, 23:04 от break » Записан
Павел_F.
Гость
« Ответ #7 : Декабрь 14, 2009, 23:34 »

Можно и биос в компе дизассемблировать и подправить тчоб неразмеченную область на флешке искал...
Дизасемблировать и править имеющиеся в свободном доступе исходники это разные вещи. Это раз. Два, другие варианты много проще.

1) Секретарша перестанет уметь включать свой комп.
Ну она раньше вводила пароль в таком красивеньком окошке, а теперь вот в не красивой строчке надо написать. Это тяжело, но она справится, я в нее верю.

2) Я прийду с Live-CD и все равно заберу все данные с винта
Ну уж если строиш такую вещь то загрузку с внешних носителей можно и выключить.

Да и вообще... Может надо просто ограничить доступ к компам. Типа как оружие табельное сдал-принял. Чтоб после работы не игрались и сторожа порнуху не зырили ночами.  Вот и загадали админу своему такую задачу, а он вариант попроще ищет. И все, а на данные-то пох. Не зная задачи вы так уверенно говорите что она не оправдана... Зря, наверное...
« Последнее редактирование: Декабрь 14, 2009, 23:36 от Павел_F. » Записан
break
Гипер активный житель
*****
Offline Offline

Сообщений: 846


Просмотр профиля
« Ответ #8 : Декабрь 14, 2009, 23:46 »

Цитировать
Ну она раньше вводила пароль в таком красивеньком окошке, а теперь вот в не красивой строчке надо написать. Это тяжело, но она справится, я в нее верю.
По предложенным вами вариантам она должна вовремя всунуть флешку - толи при загрузке компа то ли при загрузке ОС - она пришла на работу - и тупо забыло это сделать - конечно это было сказано в шутку но ввести пароль проще чем вставить нужную флешку - не верите мне - спросите у бухгалтеров которые с клиент банками работают - только у них сейчас еще и дискеты а не флешки - и там как раз эти скрытые области и т.д. - у каждой конторы несколько счетов в разных банках а в реальности много - вот они и тыкают то одну дискету то другую - это идиотизм, и все эти дисветы подписанные лежат в столе у бухгалтера, + еще флешка для включения компа добавится.

Цитировать
Ну уж если строиш такую вещь то загрузку с внешних носителей можно и выключить.
Ну а как ты ее выключишь так чтобы я не смог включить? В этом то и неразумность суперзащит что всегда есть уровень абстракции до которого она будет работать - если у меня есть физически доступ к компу - то все нет никакой вашей защиты на включение, совсем другое дело шифрованные разделы, SSH и т.д. но речь о них вы не ведете - включить комп и стянуть с винта смогу всегда - сброшу биос, и не так много время на это надо 10 мин максимум с учетом необходимости откручивания/закручивания крышки...

Цитировать
Да и вообще... Может надо просто ограничить доступ к компам. Типа как оружие табельное сдал-принял. Чтоб после работы не игрались и сторожа порнуху не зырили ночами.  Вот и загадали админу своему такую задачу, а он вариант попроще ищет. И все, а на данные-то пох. Не зная задачи вы так уверенно говорите что она не оправдана... Зря, наверное...
Доступ к компам по любому надо ограничить и сторожам порнуху на дисках выдавать чтобы траффик не жрали и вирусы не качали, а данные надо защищать не такими способами - то есть именно защита включения компа с помощью флешки ничуть не эффективнее защиты по паролю - никакой разницы, только неудобства. И задачу я знаю и говорю именно поэтому уверенно - а вот вы с такой уверенностью предложили человеку способы реализации проблемы выгода от которых малоэффективна и трудоемка - это со знанием деала? и не зря?
« Последнее редактирование: Декабрь 14, 2009, 23:49 от break » Записан
Павел_F.
Гость
« Ответ #9 : Декабрь 15, 2009, 00:07 »

Я не буду вступать в спор, тем более он у нас не по теме выходит. Человек спрашивал "Как?", а не "Зачем?". Изначально вопрос стоял так, что ему нужно это сделать ( ну вот, например, пришло начальство и сказало хочу так и все!). Давайте все же советовать что и как, я свою мысль озвучил. Если хочется обсудить не "Как?" а "Зачем?" то для этого нужна отдельная тема.
Записан
Страниц: [1]   Вверх
  Печать  
 
Перейти в:  


Страница сгенерирована за 0.055 секунд. Запросов: 22.