linux user group brescia

On Mon, Nov 10, 2008 at 09:39:49AM +0100, Giorgio P.R. wrote:
> In poche parole mi state dicendo:
> 1- se metti la passphrase nell'init comunque è rintracciabile
> per cui alla fine il cryptsetup o simili non servono se non la si tiene  
> memorizzata nel cervello umano e basta
>
> 2- anche senza montare la partizione con un altro S.O.
> se do l'accesso a un linux con auto-login (non root) senza fornire la  
> password qualcuno può leggere i dati dall'utente demo
> e prendere i file degli altri utenti e di root? no dai non è vero!

No, questo non e' vero, ma ovviamente bisogna fare le cose per bene.
E' chiaro che l'utente "demo" puo' fare solo le cose permesse
all'utente "demo".
Il file "grub.conf" puo' essere protetto in lettura

$ ls -l /boot/grub/grub.conf
-rw------- 1 root root 711 29 ott 14:15 /boot/grub/grub.conf
$ cat /boot/grub/grub.conf
cat: /boot/grub/grub.conf: Permission denied

E similarmente per la password per cryptsetup, che andra' messa
in file con permessi "600" (-rw-------)

Chiaro che bisogna stare poi attenti a cosa si permette
di fare a "demo" (tipicamente via sudo o via programmi suiddati root).

Se l'utente ha accesso fisico alla macchina bisogna:
- disabilitare il boot da floppy, cdrom, USB, rete (tutto eccetto
l'hd)
- avere solo sistemi avviabili "sicuri"
- utilizzare una password in grub
- mettere la password per accedere al BIOS setup della macchina
- mettere un lucchetto per evitare che venga resettato il BIOS.

(e forse dimentico qualcosa...)

mp