: 25 czerwca 2007, 19:02
Jeśli do szyfrowania partycji używa dm-crypt to można zrobić coś takiego, ze do odszyfrowania partycji przy bootowaniu systemu wykorzystywany jest klucz umieszczony na pendrive'ie. Oczywiście klucz nie jest wrzucony na pendrive od tak sobie tylko przy pomocy dd jest zapisany w początkowych sektorach dysku poza fizyczną partycją i dla zwykłego śmiertelnika pozostaje niewidoczny 
Trzeba się tutaj trochę pobawić - resizować partycje na pendrive'ie żeby na początku zrobić trochę wolnego miejsca na klucz i odpowiednio skonfigurować gruba żeby mógł ten klucz odczytać.
Nie pamiętam gdzie o tym czytałem, ale ten artykuł był chyba nawet po polsku, może na wiki gentoo albo na czymś podobnym.
Jednak sposób ten używany jest przy starcie systemu, jeśli pendrive ma być używany podczas logowania to może jest jakiś moduł do PAMa, ale nie spotkałem się z czymś takim.
Być może Twój znajomy powinien zaznajomić się także z dodatkową autoryzacją przy użyciu haseł jednorazowych OTP - przydatne zwłaszcza dla sesji ssh jeśli nie jesteśmy pewni czy komputer z którego się logujemy jest bezpieczny. W skrócie generowana jest lista np. tysiąca haseł i każde z nich używane jest przy logowaniu tylko raz, więc jego przechwycenie nic nie da.
Po szczegóły odsyłam na google - szukać wg słów OPIE OTP.
W Debianie wymagane do tego pakiety to libpam-opie, opie-server, opie-client. Potrzebna jest też ręczna modyfikacja plików PAMa w /etc/pam.d
Trzeba się tutaj trochę pobawić - resizować partycje na pendrive'ie żeby na początku zrobić trochę wolnego miejsca na klucz i odpowiednio skonfigurować gruba żeby mógł ten klucz odczytać.Nie pamiętam gdzie o tym czytałem, ale ten artykuł był chyba nawet po polsku, może na wiki gentoo albo na czymś podobnym.
Jednak sposób ten używany jest przy starcie systemu, jeśli pendrive ma być używany podczas logowania to może jest jakiś moduł do PAMa, ale nie spotkałem się z czymś takim.
Być może Twój znajomy powinien zaznajomić się także z dodatkową autoryzacją przy użyciu haseł jednorazowych OTP - przydatne zwłaszcza dla sesji ssh jeśli nie jesteśmy pewni czy komputer z którego się logujemy jest bezpieczny. W skrócie generowana jest lista np. tysiąca haseł i każde z nich używane jest przy logowaniu tylko raz, więc jego przechwycenie nic nie da.
Po szczegóły odsyłam na google - szukać wg słów OPIE OTP.
W Debianie wymagane do tego pakiety to libpam-opie, opie-server, opie-client. Potrzebna jest też ręczna modyfikacja plików PAMa w /etc/pam.d