Kun koneen fyysistä turvallisuutta ei voi taata. MITÄ TEHDÄ?

[djsimon]

Elikkä ongelma on siinä, että olen asentamassa palvelimeeni ubuntua ja palvelin sijaitsee sellaisessa tilassa, jonne on muilla mahdollisuus päästä fyysisesti käsiksi. Eli kuinka on mahdollista varmistaa tiedon koskemattomuus fyysisti, jos esimerkiksi joku ruuvaa levyt irti koneesta tai käynnistää järjestelmän joltain CD levyltä?

pelkkä kotihakemisto politiikka takaa kyllä käsittääkseni turvallisuuden mikäli kukaan ei pääsisi mahdollisesti käynnistämään konetta joltain toiselta käyttöjärjestälmältä..

[Risto H. Kurppa]

Jos koneen fyysistä turvallisuutta ei voi taata niin tietojen täydellinen suojaaminen on aika mahdotonta.. Mahdollisesti jonkinlainen kryptaus lennossa olisi ainoa vaihtoehto - mutta sekin hidastaa toimintaa..
Perussettinä tietysti biosiin salasanat ja boottaavaksi mediaksi ainoastaan kovalevy (eli USB, cd ja disketti pois), bootmanagerin suojaus (ohjeita muualla mutta mm. recovery-moodin estäminen ja salasana bootmanageriin). Tietysti sen verran fyysistä suojaamista pitäisi pystyä harrastamaan että saa koneen kotelon lukkoon ja näppäimistöt  & hiiret pois käsiltä..

Vaan kuten sanottu, jos kovalevyn saa koneesta irti, pääsee sitä lukemaan laittamalla rinnakkaislevyksi ellei tietoja ole jotenkin maagisesti kryptattu..

r


edit: Tässä jotain vinkkilinkkejä:
http://www.tldp.org/HOWTO/Security-HOWTO/physical-security.html

http://wiki.linuxquestions.org/wiki/Securing_the_BIOS
http://wiki.linuxquestions.org/wiki/Securing_GRUB
http://wiki.linuxquestions.org/wiki/Securing_LILO
http://wiki.linuxquestions.org/wiki/Security


edit2: tuo 'pelkkä kotihakemistopolitiikka' ei riitä koska sopivilla näppäilyillä bootmanagerista koneen saa käynnistymään yhden käyttäjän moodissa eli käyttäjä kirjautuu koneeseen su - oikeuksin ja pääsee lukemaan mitä tahansa..

[JPK1990]

GRUB ei saisi myöskään komennolla C avata komentopäätettä (root@grub:)

[rähmä]

Jos saat tiedot suojattua siten että niitä ei voi lukea Live Knoppixilla niin ne on varmaankin suojassa.

Ainakin hyvin monelta. Mutta monesti auttaa kun tekee alustuksen semmoselle tiedostojärjestelmälle mitä ei monet tue niin ...

Mutta jos aijoit suojata  tiedot sinivuokoilta niin rakenna oma käyttöjärjestelmä.

[JPK1990]

...uusi tiedostojärjestelmä tuki vain sun kernelissä jonka lähdekoodit olet poistanut.

[stfu]

Joissakin emoissa (Abit tai Asus) on IDE paikkoihin rautakryptaus jonka voi purkaa vain uniikilla koneeseen kuuluvala usb-avaimenperällä. Kaikki levyn tiedot on kryptataan lennossa tietyllä algoritmilla ja nopeuden ei pitäisi kärsiä. Pitäisi olla melko hyvä sydeemi ja kohtuullisen halpa.