Hola :) El Tuesday 08 January 2008, Camaleón escribió:
El 8/01/08, Carlos E. R. escribió:
Yo sólo encriptaría ciertas zonas: home, temp, y quizás /var/spool. El sistema lo prefiero normal, porque no le veo sentido a encriptar los programas que de todas formas están en el DVD bajable de internet.
No son tanto los programas, sino los datos que generan los programas. Por ejemplo, así a vuela pluma, se me ocurren los registros. Habría que cifrar completo /var/log para tener eso cubierto.
¿/etc/shadow? Sería interesante cifrar el acceso a /etc/shadow para evitar que alguien tenga la tentación de brute-force reventar las claves. También es interesante proteger /etc/group y otros ficheros que tienen claves (lilo.conf, por ejemplo). Algunas veces los ficheros de configuración no tienen claves, pero sí información de cómo está organizada nuestra red: DNS, DHCP, ... Por lo que si tienen acceso a estos ficheros, pueden saber cosas de nuestra red que no deberían. IMHO: cifrar todo.
Estoy de acuerdo con Doctor Nemo en que se debe cifrar el disco entero y debe ser un proceso transparente para las aplicaciones, para el usuario, y por supuesto, un formato estandarizado y flexible que permita el movimiento de los datos (entrada y salida) sin perder la seguridad y sin requerir componentes adicionales físicos (como los biométricos) ni lógicos (como controladores).
Si eres tan paranoico, explora la preteción hardware del fabricante de discos duros, que existe. Pero ojito, que avisan que es peligrosa. Lo tienes en hdparm.
(pensando en voz alta...)
El cifrado por hardware depende del dispositivo donde se almacenan los datos y el cifrado de volúmenes (o directorios) depende del sistema donde se haya instalado... el cifrado debería ser a nivel de archivo (individual) y totalmente independiente del sistema operativo y del medio. Una capa de datos de formato normalizado >:-)
Creo que Seagate tiene una opción de cifrado automático en algunos discos que se hace por hardware (independiente del OS). La duda es si arranco con otro OS, ¿puedo acceder a la otra partición? O bien, ¿se cifra todo el disco (cada partición) con una única clave? Se pueden juntar ambos cifrados: el que ofrece el disco duro por hardware y el que ofrece el OS para mayor seguridad. Y si quieres aún más seguridad: cifras cada fichero además de cada directorio y de cada sistema de ficheros. A eso podemos añadir un poco de esteganografía. Lo malo de todo esto son las claves ... a ver quién se acuerda de tanta clave, menos mal que existen los Post-It ;) Rafa -- Rafa Grimán Systems Engineer Silicon Graphics, S.A. Sociedad Unipersonal Plaza del Descubridor Diego de Ordás 3 Tel: +34 91 398 42 00 Edificio Santa Engracia 120 Fax: +34 91 398 42 01 28003 Madrid Mobile: +34 628 11 79 40 Spain E-mail: rgriman@sgi.com http://www.sgi.com Skype: rgriman NIF - A79415873. Inscrita en el Registro Mercantil de Madrid Tomo 207, Folio 104, Hoja M-4186 el 5-7-90 __________________________________________________________________________ NB: INFORMATION IN THIS MESSAGE IS SGI CONFIDENTIAL. IT IS INTENDED SOLELY FOR THE PERSON(S) TO WHOM IT IS ADDRESSED AND MAY NOT BE COPIED, USED, DISCLOSED OR DISTRIBUTED TO OTHERS WITHOUT SGI CONSENT. IF YOU ARE NOT THE INTENDED RECIPIENT PLEASE WILL YOU NOTIFY ME BY EMAIL OR TELEPHONE, DELETE THE MESSAGE FROM YOUR SYSTEM IMMEDIATELY AND DESTROY ANY PRINTED COPIES. NB: LA INFORMACION CONTENIDA EN ESTE MENSAJE ES CONFIDENCIAL DE SGI. ESTA DIRIGIDA UNICAMENTE A LA PERSONA(S) A LA CUAL SE ENVIA Y NO PUEDE SER COPIADA, UTILIZADA, DIVULGADA O DISTRIBUIDA A OTROS SIN EL CONSENTIMIENTO PREVIO DE SGI. SI USTED NO ES EL DESTINATARIO INDICADO HAGA EL FAVOR DE NOTIFICARMELO POR MAIL O POR TELEFONO, BORRE EL MENSAJE DE SU SISTEMA INMEDIATAMENTE Y DESTRUYA CUALQUIER COPIA IMPRESA "We cannot treat computers as Humans. Computers need love." Happily using KDE 3.5.7 :) --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org