-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-01-08 a las 16:10 +0100, Rafa Grimán escribió:
El Tuesday 08 January 2008, Camaleón escribió:
El 8/01/08, Carlos E. R. escribió:
Yo sólo encriptaría ciertas zonas: home, temp, y quizás /var/spool. El sistema lo prefiero normal, porque no le veo sentido a encriptar los programas que de todas formas están en el DVD bajable de internet.
No son tanto los programas, sino los datos que generan los programas. Por ejemplo, así a vuela pluma, se me ocurren los registros. Habría que cifrar completo /var/log para tener eso cubierto.
El /var/log no debería contener inforamción delicada como son los passwords - pero puede tenerla. Tradicionalmente existen auth y authpriv. Vale, puedes meter el /var entero.
¿/etc/shadow? Sería interesante cifrar el acceso a /etc/shadow para evitar que alguien tenga la tentación de brute-force reventar las claves. También es interesante proteger /etc/group y otros ficheros que tienen claves (lilo.conf, por ejemplo).
Algunas veces los ficheros de configuración no tienen claves, pero sí información de cómo está organizada nuestra red: DNS, DHCP, ... Por lo que si tienen acceso a estos ficheros, pueden saber cosas de nuestra red que no deberían.
IMHO: cifrar todo.
No le veo el sentido a encriptar /usr u /opt, por ejemplo. Pero si quieres encriptar /etc, ya tienes que encriptar la raiz, porque es inseparable. Ahora bien, los datos de configuración de red y servicios sólo interesan en un servidor u ordenador de mesa, no en un portatil. Y un servidor debe estar asegurado físicamente.
(pensando en voz alta...)
El cifrado por hardware depende del dispositivo donde se almacenan los datos y el cifrado de volúmenes (o directorios) depende del sistema donde se haya instalado... el cifrado debería ser a nivel de archivo (individual) y totalmente independiente del sistema operativo y del medio. Una capa de datos de formato normalizado >:-)
Lo tienes: lo que se recomienda es usar gpg, como proceso posterior; aunque en linux también puedes combinar gpg con un volumen. La ventaja de linux en este respecto es que puedes encriptar sistemas de ficheros de forma transparente para todas las aplicaciones, que creen que estan usando ficheros normales. Vamos, que lo hace el kernel. Y hay un montón de variantes. La desventaja es que todo eso está muy poco documentado - para variar.
Creo que Seagate tiene una opción de cifrado automático en algunos discos que se hace por hardware (independiente del OS). La duda es si arranco con otro OS, ¿puedo acceder a la otra partición? O bien, ¿se cifra todo el disco (cada partición) con una única clave?
Sí. Pero creo que es el disco entero, no las particiones. Y no se si es encriptación o password.
Se pueden juntar ambos cifrados: el que ofrece el disco duro por hardware y el que ofrece el OS para mayor seguridad. Y si quieres aún más seguridad: cifras cada fichero además de cada directorio y de cada sistema de ficheros. A eso podemos añadir un poco de esteganografía. Lo malo de todo esto son las claves ... a ver quién se acuerda de tanta clave, menos mal que existen los Post-It ;)
X'-) __________________________________________________________________________
NB: INFORMATION IN THIS MESSAGE IS SGI CONFIDENTIAL. IT IS INTENDED SOLELY FOR THE PERSON(S) TO WHOM IT IS ADDRESSED AND MAY NOT BE COPIED, USED, DISCLOSED
Ja, ja. Pues entonces encriptadlo :-P
OR DISTRIBUTED TO OTHERS WITHOUT SGI CONSENT. IF YOU ARE NOT THE INTENDED RECIPIENT PLEASE WILL YOU NOTIFY ME BY EMAIL OR TELEPHONE, DELETE THE MESSAGE FROM YOUR SYSTEM IMMEDIATELY AND DESTROY ANY PRINTED COPIES.
Jo, jo. Deben estar soñando los que escribieron esto. Si me llega un correo, ya es mio >:-) - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHg5hQtTMYHG2NR9URAgoUAJ9Y2/2sMcBEKjRiU0jnsP7QX1RsewCfXW7O jCnSie5S5kyGaDZhfLXUIF0= =YbJ1 -----END PGP SIGNATURE-----