В связи с последними событиями многие всерьез задумываются о безопасности своих компьютерных систем. Новостные ленты пестрят сообщениями о том, что спецслужбы промышляют слежкой за спинами обычных граждан. Громкие аресты, разоблачения и скандалы не сходят со страниц СМИ. И конечно, каждому хочется себя обезопасить от глаз Большого Брата, будь то реальная жизнь или виртуальная реальность.

 

Loading…

Обеспечение безопасности — дело трудное. Можно сравнить ее со стеной из кирпичей: если правильно их сложить и скрепить, то получится прочная конструкция. Но даже самая навороченная защита не спасет от злоумышленника, если тот может спокойно получить физический доступ к объекту нападения. Поэтому обеспечивать безопасность мы начнем с ограничения такого доступа. А точнее, рассмотрим случай, когда злоумышленник (спецслужбы, сантехник дядя Вася…) уже получил его и намеревается прочитать твои секреты.

Представим, что у тебя имеется сервер в дата-центре, персональный компьютер дома или ноутбук на работе. И не очень хочется, чтобы кто-то подошел и покопался в них. При определенных условиях пароли не спасают от загрузки с другого носителя, и тем более (что еще хуже) — от хищения HDD. В таких ситуациях на помощь приходит криптография. Вот к ней-то мы и прибегнем, чтобы защитить нашу информацию.

 

Pre-install

Не секрет, что от конфигурации компьютера зависит очень много, а работа со средствами шифрования накладывает еще большие требования на железо. Моя тестовая система выглядит так:

Intel Xeon SL8P2 3,8 ГГц
8192 RAM DDR-333 ECC
Intel RAID Controller SRCU42L Ultra320 SCSI, RAID 0/1/4/5/10, Cache 64 Мбайт
6 HDD SCSI MAT3073NC Ultra 320 SCSI/SCA2/LVD in RAID-10
OS: FreeBSD 10.1

Вариантов использования криптографии великое множество. Можно сделать отдельный зашифрованный диск и хранить всю информацию там. Или же он будет съемным, и можно использовать его тогда, когда потребуется. Это в какой-то степени защитит от злоумышленника. Почему в какой-то? Да потому, что грамотный нападающий не побрезгует покопаться во временных или конфигурационных файлах твоей системы. Возможно, он найдет то, что его интересует, и ему не придется заниматься расшифровкой всего диска.

Чтобы избежать столь неприятной ситуации, мы объединим описанные варианты в один и на выходе получим зашифрованный диск с ОС, которая будет загружаться со съемного носителя. Ядро системы будет находиться на том же самом носителе: чтобы загрузиться, нам понадобится физическое присутствие. Вернее, для загрузки с зашифрованного корневого раздела необходимо, чтобы ядро ОС было незашифрованным. В этом случае лучше всего его разместить отдельно. Так мы убьем сразу двух зайцев одним выстрелом: без носителя (ядра) система не загрузится, а злоумышленнику придется подумать, как, не выключая сервер, перенести его в другое место для более детального изучения :). Да и сам факт присутствия ОС будет скрыт от посторонних глаз, что не может не радовать.

Конечно, это доставляет много неудобств, особенно если сервер критический и работа должна идти 24/7/365. Но деваться некуда: чем безопаснее система, тем труднее ей пользоваться. Возможно, в будущем эти меры спасут тебе жизнь. Согласись, весомее аргумент найти весьма затруднительно…

Сверка контрольной суммы образа FreeBSD 10.1 с помощью HashTab
Сверка контрольной суммы образа FreeBSD 10.1 с помощью HashTab

Итак, нам понадобится дистрибутив FreeBSD 10.1, записанный на любой носитель. Настоятельно рекомендую скачивать последние с официального сайта производителя и сверять контрольные суммы. В качестве съемного носителя, на котором мы будем хранить наше ядро, возьмем Kingston DataTraveler microDuo USB 2.0. Выбор пал на него, так как он очень маленький — его можно легко проглотить или быстро уничтожить в экстренных ситуациях.

Размер съемного устройства в сравнении с монетой
Размер съемного устройства в сравнении с монетой

Не менее важна надежность носителя. Если у нас каким-то волшебным образом пропадет информация с него, мы можем со стопроцентной уверенностью распрощаться с информацией на жестких дисках нашего сервера. У Kingston, по многочисленным отзывам пользователей, с надежностью все нормально. Стоит отметить, что стандарт USB 2.0 будет накладывать ограничения на скорость загрузки ОС. Для достижения более высоких скоростей используй версию USB 3.0, если ее поддерживает твое оборудование.

 

Install

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


5 комментариев

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Алмазный фонд «Хакера». Самые крутые материалы по реверсингу и malware за три года

Иногда мы, редакторы и авторы «Хакера», сами читаем «Хакер». Нет, ну то есть мы постоянно …