Iptables-kérdés
Sziasztok! Asus router gyári firmware (Linux fut rajta) kiexportáltam a tűzfalat és valamit nem értek: Ez a sor: -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT megoldaná az alábbit is és feleslegesen van engedélyezve, vagy rosszul gondolom? -A INPUT -p udp -m udp --sport 67 --dport 68 -j ACCEPT Mivel már kezdeményezett kapcsolatokra utal és nekem sima Linux alatt soha nem volt bajom tűzfallal, ha csak ezt az egyetlen sort tartalmazta és csak a related és established csomagokat engedtem, UDP üzenetek is mentek, DNS lekérdezés stb. Nem jelent kockázatot külön az UDP engedélyezése? Üdv, G _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: fajlrendszer titkositas
Hi! Megoldás lehet a cryptsetup is, bár amiatt, hogy ez már nem filerendszert titkosít, hanem egy teljes kötetet, az utólagos beüzemelése nem feltétlen, egyszerű - cserébe viszont olyan fs tehető rá, amilyet akarunk. Ami meg eszembe jutott: lvm-mel egyutt kell tudnia mukodni, legalabb az online meretnoveles mukodjon. man cryptsetup ... resize Resizes an active mapping . ... Tehát első kanyarban lvresize -L megnöveli az LVM kötet méretét, második lépésben dd if=/dev/urandom of=$LVMKOTET bs=1M seek=$MERET feltölti random adattal az új területet, majd jöhet a cryptsetup resize $TITKOSKOTET parancs. Utolsó lépésként a resize$FS $TITKOSKOTET futtatásával meg kell növelni magát a filerendszer is és készen is vagyunk. Az egész on-the-fly elkövethető. Az új terület random adattal feltöltése elhagyható, de security szempontból nem szerencsés - elkövetése esetén viszont *nagyon* észnél kell lenni és precízen ki kell számolni a seek paraméter értékét, ellenkező esetben az öntökönlövés szigorú esetét állítjuk elő!!! Üdv Zsolt _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: fajlrendszer titkositas
On Thu, 21 Jan 2016, Kosa Attila wrote: Nekem a lenyeg az lenne, hogy Debianon minel kevesebb barkacsolassal mukodokepes legyen, a rendszerindulas folyamataban a leheto legkevesebb fennakadast okozza, a performanciaban ne okozzon jelentos visszaesest az alkalmazasa. Johetnek a tippek, hogy merre erdemes elindulni :) Luks: https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system -Sygma _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: fajlrendszer titkositas
On 01/21/2016 03:28 PM, Kosa Attila wrote: > Ami meg eszembe jutott: lvm-mel egyutt kell tudnia mukodni, > legalabb az online meretnoveles mukodjon. Az LV-n található block device-t kell titkosítani, és menni fog a bövítés. Tizensok éve a loop-aes a kedvencem, de már kivették a Debianból. A dm-cryptnek van kompatibilis üzemmódja, bár nem annyira kényelmes. g _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: fajlrendszer titkositas
2016-01-21 14:40 keltezéssel, Kosa Attila írta: Hello! Egy szolgaltato virtualis gepen kellene egy adatbazisban olyan adatokat tarolni, amelyekhez nem kellene hozzaferniuk attol, hogy esetleg direktben elerik a diszket. Emiatt valamilyen titkositott fajlrendszerre gondoltam. Meg nem kezdtem el nyomozni, hogy mely megoldasok a legelterjedtebbek mostanaban. Nekem a lenyeg az lenne, hogy Debianon minel kevesebb barkacsolassal mukodokepes legyen, a rendszerindulas folyamataban a leheto legkevesebb fennakadast okozza, a performanciaban ne okozzon jelentos visszaesest az alkalmazasa. Johetnek a tippek, hogy merre erdemes elindulni :) A rendszerindulást mindenképp meg fogja akasztani, ha nem akarod a bankkártyára írni a PIN kódot :) Én encryptfs-t használok desktopon/notebookon. Jó ötlet lehet még, ha az érzékeny adat van encryptálva a db-ben eleve (csak arra ugye nem lesz(jó) index). Ilyenkor a visszafejtéshez szükséges kulcs jöhet más forrásból (pl. spec. alkalmazásból). _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: fajlrendszer titkositas
On Thu, Jan 21, 2016 at 03:11:00PM +0100, Zs wrote: > > >Egy szolgaltato virtualis gepen kellene egy adatbazisban olyan > >adatokat tarolni, amelyekhez nem kellene hozzaferniuk attol, hogy > >esetleg direktben elerik a diszket. Emiatt valamilyen titkositott > >fajlrendszerre gondoltam. Meg nem kezdtem el nyomozni, hogy > >mely megoldasok a legelterjedtebbek mostanaban. > Ubuntu elég régóta felajánlja telepítéskor, hogy a $HOME > könyvtár titkosítható legyen. Utólag is könnyen telepíthető, A Debian telepitoje is ajanl ilyet. > Megoldás lehet a cryptsetup is, bár amiatt, hogy ez már nem > filerendszert titkosít, hanem egy teljes kötetet, az utólagos > beüzemelése nem feltétlen, egyszerű - cserébe viszont olyan > fs tehető rá, amilyet akarunk. Ami meg eszembe jutott: lvm-mel egyutt kell tudnia mukodni, legalabb az online meretnoveles mukodjon. > Mindkét esetben az indulásnál lehet probléma, mert ha a jelszó > be van égetve a csatoló scriptbe, akkor az nagyjából a "kulcs a > lábtörlő alatt" típusú betörésvédelemnek felel meg, ha meg a > script nem tudja automatikusan elővenni, akkor nincs automatikus > reboot, be kell lépni a csatoláshoz. ... illetve lehet olyat csinálni, > hogy egy script segítségével máshonnan vevődik elő a jelszó, > de... > >Nekem a lenyeg az lenne, hogy Debianon minel kevesebb > >barkacsolassal mukodokepes legyen, > ... de ez már barkácsolás. Igen, ez az egyik, amit meg nem latok, hogy a rendszer indulasanak a folyamatat hogyan lehet ugy megcsinalni, hogy ne kelljen kezzel beavatkozni, de megse legyen titkositas nelkul tarolva a fajlrendszer titkositasahoz hasznalt jelszo... -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: fajlrendszer titkositas
Hi! Egy szolgaltato virtualis gepen kellene egy adatbazisban olyan adatokat tarolni, amelyekhez nem kellene hozzaferniuk attol, hogy esetleg direktben elerik a diszket. Emiatt valamilyen titkositott fajlrendszerre gondoltam. Meg nem kezdtem el nyomozni, hogy mely megoldasok a legelterjedtebbek mostanaban. Ubuntu elég régóta felajánlja telepítéskor, hogy a $HOME könyvtár titkosítható legyen. Utólag is könnyen telepíthető, a file tartalmat titkosítja és tárolja, igazából a könyvtár tartalma sem lesz emészthető - értsd: a file nevek is titkosításra kerülnek. Kódszó: ecryptfs. Nálam Kubuntu 14.04 alatt két éve stabilan gurul, úgy tudom, Debian alá is van. Megoldás lehet a cryptsetup is, bár amiatt, hogy ez már nem filerendszert titkosít, hanem egy teljes kötetet, az utólagos beüzemelése nem feltétlen, egyszerű - cserébe viszont olyan fs tehető rá, amilyet akarunk. Mindkét esetben az indulásnál lehet probléma, mert ha a jelszó be van égetve a csatoló scriptbe, akkor az nagyjából a "kulcs a lábtörlő alatt" típusú betörésvédelemnek felel meg, ha meg a script nem tudja automatikusan elővenni, akkor nincs automatikus reboot, be kell lépni a csatoláshoz. ... illetve lehet olyat csinálni, hogy egy script segítségével máshonnan vevődik elő a jelszó, de... Nekem a lenyeg az lenne, hogy Debianon minel kevesebb barkacsolassal mukodokepes legyen, ... de ez már barkácsolás. Üdv Zsolt _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
fajlrendszer titkositas
Hello! Egy szolgaltato virtualis gepen kellene egy adatbazisban olyan adatokat tarolni, amelyekhez nem kellene hozzaferniuk attol, hogy esetleg direktben elerik a diszket. Emiatt valamilyen titkositott fajlrendszerre gondoltam. Meg nem kezdtem el nyomozni, hogy mely megoldasok a legelterjedtebbek mostanaban. Nekem a lenyeg az lenne, hogy Debianon minel kevesebb barkacsolassal mukodokepes legyen, a rendszerindulas folyamataban a leheto legkevesebb fennakadast okozza, a performanciaban ne okozzon jelentos visszaesest az alkalmazasa. Johetnek a tippek, hogy merre erdemes elindulni :) -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux