Kryptograficzny System Plików pod Linuxem - Jak To Zrobiæ: OCHRONA CFS Następna strona Poprzednia strona Spis treści 5. OCHRONA CFS Aby umożliwiæ użytkownikom dostêp do zaszyfrowanych danych, CFS wymaga od użytkownika hasła, które jest używane do wygenerowania zestawów kluczy. Zdobycie hasła przez niepowołane osoby pozwala intruzom odczytaæ zaszyfrowane dane, dlatego jest niezwykle ważne, aby użytkownik we własnym interesie chronił hasło dostêpu. Istnieją dwie możliwości zdobycia Twojego hasła przez intruzów: Sniffing Atak przeciwko protokołowi. Informacje zawarte poniżej mogą zostaæ użyte, aby zmniejszyæ prawdopodobieñstwo skutecznego ataku przeciwko CFS. Upewnij siê, że binaria CFS są oryginalne: upewnij siê, że: cattach, ccat, cmkdir, cname, cfsd i cdetach nie zostały zastąpione "koniami trojañskimi", które zapisują hasła dostêpu, upewnij siê, że CFS serwer (cfsd), nie został w jakiś sposób zmodyfikowany i że szyfruje dane poprawnie, atak przeciwko "cdetach" zazwyczaj wymaga małej modyfikacji kodu, która chroni klucze dostêpu przed zniszczeniem i pozwala intruzowi uzyskaæ kontrolê nad zakodowanymi danymi. Najprostszym sposobem na upewnienie siê, ze binaria nie zostały podmienione, jest zlinkowanie ich statycznie i umieszczenie na płycie CD. Inny sposób, to zlinkowanie statyczne, wygenerowanie sum kontrolnych za pomocą programu MD5 i umieszczenie ich na dyskietce zabezpieczonej przed zapisem. Przed użyciem CFS w systemie, zamountuj dyskietkê i sprawdź czy sumy kontrolne zgadzają siê; w razie potrzeby zastêpując podmienione programy ich oryginalnymi wersjami. Uważaj na programy zapisujące do pliku dane wpisywane z klawiatury, tzw. keyboard grabbers i zawsze stosuj siê do poniższych zasad: kiedy wpisujesz hasło w oknie xterm-a, upewnij siê, że xterm jest oryginalny i używaj bezpiecznej klawiatury "Secure keyboard". To uniemożliwi przechwycenie hasła przez wyżej opisane programy, wpisuj hasła do terminali przyłączonych bezpośrednio do portów szeregowych systemu, gdy są one dostêpne, upewnij siê, że konsole (pty i tty) są ustawione tak, aby uniemożliwiæ innym odczytanie twojego hasła. Nigdy nie wpisuj hasła poprzez sieæ, nawet jeśli znajduje siê ona za firewallem i wiesz, że nikt podłączony do sieci nie używa sniffera. Tyczy siê to także sieci używających, tzw. scramble routers, ponieważ nie masz pewności, ze routery używają odpowiednio silnej enkrypcji, nie mają "tylnych drzwi" albo innych dziur, które pozwoliłyby intruzowi pokonaæ enkrypcjê routera. Jeżeli jednak musisz podaæ hasło poprzez sieæ, rób to tylko zaszyfrowanym kanałem pomiêdzy hostami. (najbardziej znany i popularny jest (ssh) secure shell - przyp. autora) Zawsze używaj komendy cdetach, kiedy nie pracujesz z danymi. Nawet kiedy przerywasz pracê na kilka minut. 5.1 ZNANE PROBLEMY Z CFS W tym momencie jedyny znany problem, to komunikat "Permission denied", kiedy próbujesz dostaæ siê do plików na płycie CD. Następna strona Poprzednia strona Spis treści