Kryptograficzny System Plików pod Linuxem - Jak To Zrobić: OCHRONA CFS Poprzednia Następna Spis Treści 5. OCHRONA CFS Aby umożliwić użytkownikom dostęp do zaszyfrowanych danych, CFS wymaga od użytkownika hasła, które jest używane do wygenerowania zestawów kluczy. Zdobycie hasła przez niepowołane osoby pozwala intruzom odczytać zaszyfrowane dane, dlatego jest niezwykle ważne, aby użytkownik we własnym interesie chronił hasło dostępu. Istnieją dwie możliwości zdobycia Twojego hasła przez intruzów: Sniffing Atak przeciwko protokołowi. Informacje zawarte poniżej mogą zostać użyte, aby zmniejszyć prawdopodobieństwo skutecznego ataku przeciwko CFS. Upewnij się, że binaria CFS są oryginalne: upewnij się, że: cattach, ccat, cmkdir, cname, cfsd i cdetach nie zostały zastąpione "koniami trojańskimi", które zapisują hasła dostępu, upewnij się, że CFS serwer (cfsd), nie został w jakiś sposób zmodyfikowany i że szyfruje dane poprawnie, atak przeciwko "cdetach" zazwyczaj wymaga małej modyfikacji kodu, która chroni klucze dostępu przed zniszczeniem i pozwala intruzowi uzyskać kontrolę nad zakodowanymi danymi. Najprostszym sposobem na upewnienie się, ze binaria nie zostały podmienione, jest zlinkowanie ich statycznie i umieszczenie na płycie CD. Inny sposób, to zlinkowanie statyczne, wygenerowanie sum kontrolnych za pomocą programu MD5 i umieszczenie ich na dyskietce zabezpieczonej przed zapisem. Przed użyciem CFS w systemie, zamountuj dyskietkę i sprawdź czy sumy kontrolne zgadzają się; w razie potrzeby zastępując podmienione programy ich oryginalnymi wersjami. Uważaj na programy zapisujące do pliku dane wpisywane z klawiatury, tzw. keyboard grabbers i zawsze stosuj się do poniższych zasad: kiedy wpisujesz hasło w oknie xterm-a, upewnij się, że xterm jest oryginalny i używaj bezpiecznej klawiatury "Secure keyboard". To uniemożliwi przechwycenie hasła przez wyżej opisane programy, wpisuj hasła do terminali przyłączonych bezpośrednio do portów szeregowych systemu, gdy są one dostępne, upewnij się, że konsole (pty i tty) są ustawione tak, aby uniemożliwić innym odczytanie twojego hasła. Nigdy nie wpisuj hasła poprzez sieć, nawet jeśli znajduje się ona za firewallem i wiesz, że nikt podłączony do sieci nie używa sniffera. Tyczy się to także sieci używających, tzw. scramble routers, ponieważ nie masz pewności, ze routery używają odpowiednio silnej enkrypcji, nie mają "tylnych drzwi" albo innych dziur, które pozwoliłyby intruzowi pokonać enkrypcję routera. Jeżeli jednak musisz podać hasło poprzez sieć, rób to tylko zaszyfrowanym kanałem pomiędzy hostami. (najbardziej znany i popularny jest (ssh) secure shell - przyp. autora) Zawsze używaj komendy cdetach, kiedy nie pracujesz z danymi. Nawet kiedy przerywasz pracę na kilka minut. 5.1 ZNANE PROBLEMY Z CFS W tym momencie jedyny znany problem, to komunikat "Permission denied", kiedy próbujesz dostać się do plików na płycie CD. Poprzednia Następna Spis Treści