скрытая ОС с внешним загрузчиком
Добрый день!
собираюсь подготавливать к работе ноутбук, нужен совет. Вредполагаемые условия использования подразумевают, с одной стороны, обработку чувствительных данных (составляющих не гос., но коммерческую тайну). Отсюда целесообразность применения шифрования диска. С другой стороны ноут предполагается таскать с собой на международных рейсах, вносить/выносить из учреждений и пр., где он может быть как гласно, так и не гласно досмотрен. Поэтому желательно, чтобы факт использования крипто было трудно определить и еще труднее доказать.
Собираюсь установить две ОС. Первую – для основной работы – скрытую ОС на зашифрованном разделе, наверное PC-BSD. вторую – фэйк – WinXP, на разделе без шифрования. Вобщем это похоже на конструкцию, описанную Здесь.
Разница в том, что в моем случае при включении компа хотелось бы не видеть меню загрузчика или любых других признаков наличия скрытой ОС. При обычном включении должен обычным образом загрузиться Win c безобидным содержанием. Скрытые разделы при этом должны отображаться, оптимально, как свободное место внутри раздела Win, либо как неразмеченные разделы (что хуже). Для загрузки BSD нужно будет вставить флэшку с загрузчиком и ввести пароль (а еще лучше – флэшку с загрузчиком, предъявить токен и ввести пароль). тогда должна загрузиться скрытая ОС.
Вопрос: как лучше всего реализовать данную конструкцию опенсорсными средствами (dm-crypt, truecrypt и пр.)? Можно ли организовать обмен файлами между двумя системами, например через отдельный раздел, без риска "засветить" существование скрытой ОС?
Спасибо
Там способ для Linux'а описан, а не для BSD. Более универсальный способ обсуждался в /comment44983. Хинт: LiveCD (читайте весь тот топик).
Так и не надо ставить никаких загрузчиков.В биос поднять загрузку с флэшки на верх. При включении питания загрузится виндоза с Активного раздела. Если же включать с предварительно вставленной флэшкой,то загрузка пойдет с нее.
виндоза об этом понятия не имеет,но geom eli FreeBSD-ный ставит свою метку в последний сектор раздела.
какими системами? недавно в FreeBSD портировали truecrypt.
То, что вы пишете — несколько взаимоисключающие параграфы. Если вы говорите про TC, то там реализовано (опуская дискуссии о том, насколько это всё правда и т.п.) отрицаемость наличия скрытых разделов при нетрицании использования шифрования как такового, а я вам дал ссылку, исходя из ваших цитат, на какое-то приближение к отрицаемости использования крипто как такового для шифрования дисковых данных.
комментариев: 105 документов: 20 редакций: 3
Ну да, так и видится вобщем. Буду пробовать. Больше сложностей вызывает вторая часть вопроса:
можно поподробнее, что за метки FreeBSD ставит в конец раздела? и если том с BSD зашифрован, то разве эти метки что-нибудь кому-нибудь могут сказать?
Кстати, искомая функциональность реализована, оказывается, в последней версии SecurStar DCPP. Но он не опенсрс...
Сигнатуры. Последовательность байт, по которой программы могут видеть что это — BSD-раздел (и, даже, может быть, с geli — тут я не в курсах).
Странно, что "неиспользуемое" место размечено с помощью BSDшного disklabel. Странно, что у него есть сигнатуры. Значит, оно всё-таки используется, а вы, скорей всего, просто не говорите к нему пароль и лжёте на допросах. Ну, это если глубоко копать и сильно заморачиваться.
Жесткий диск – ad0.Предположим на первом разделе ad1 живет виндоз,на втором ad2,зашифрованном с помощью geli, поселена FreeBSD.
Загрузчик,который на флэшке,как узнает,что ему расшифровывать,что зашифрованный раздел вообще существует?
С помощью метки, которую geli записал в последний сектор раздела ad2.
Есфесли речь идет о bsdlabel,то созданная им инфа о разметке будет находится внутри криптораздела. если о записи в MBR,созданной fdisk в процессе установки FreeBSD,то после_установки ее можно исправить тем же fdisk с
на например
можно усугублять obscurity и далее,но не вижу в этом смысла.
Не догма,но руководство к действию©
HOWTO: GELI+ZFS for whole system inc. root with boot from USB stick
Удачи.
Чему будет соответствовать криптораздел, вторичному или первичному разделу FreeBSD? Слайсу или партиции? Если вторичному, то будет светиться, что DOS-раздел (первичный, т.е.) не только существует, но ещё и размечен на более мелкие зачем-то.
Ага, стереть попросту. И как ты потом собираешься указывать BSD где начало, а где конец DOSовского раздела? И много в этом смысла? Раздел-то всё равно будет. Вот и вопрос, для каких целей есть в системе неиспользуемый раздел.
Похоже из-за моего косноязычая твоя моя не понимай :) полагаю лучше обратится к первоисточникуman geli см. `init'
хозяин – барин
не будет
Грубо говоря и мягко выражаясь, не стереть, а сменить имя. От переименования местоположение и размер раздела не изменятся.
Немного, написал же obscurity )
geli работает с блочными устройствами, без разницы же слайс это или партиция.
После подключения шифрованного устройства будет сформировано новое с суффиксом .eli, т.е. после выполнения `geli attach /dev/da2' в /dev появится /dev/da2.eli которое можно использовать, опять же, как обычное блочное устройство. Размечать его, создавать партиции, или накатить на нем любую файловую систему.
Что за зверь loop-девайс, честно признаюсь не знаю ,что-то пропустил или просто не застал, geli впервые появился в FreeBSD-6.
Для шифрования отдельного файла, он предварительно подключается как виртуальный диск через mdconfig, далее можно работать с /dev/md0 и /dev/md0.eli соответственно.