From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: Alexey Voinov To: mandrake-russian@altlinux.ru Subject: Re: [mdk-re] GnuPG and paranoia Message-ID: <20010619223233.B7566@voins.local> Mail-Followup-To: Alexey Voinov , mandrake-russian@altlinux.ru References: <20010618234308.74fa9fc8.linux@abr.x9.ru> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="rS8CxjVDS/+yyDmU" Content-Disposition: inline User-Agent: Mutt/1.2.5i In-Reply-To: <20010618234308.74fa9fc8.linux@abr.x9.ru>; from linux@abr.x9.ru on Mon, Jun 18, 2001 at 11:43:08PM +0400 Sender: mandrake-russian-admin@altlinux.ru Errors-To: mandrake-russian-admin@altlinux.ru X-BeenThere: mandrake-russian@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: Linux-Mandrake RE / ALT Linux discussion list List-Unsubscribe: , List-Archive: Date: Tue Jun 19 22:40:07 2001 X-Original-Date: Tue, 19 Jun 2001 22:32:33 +0400 Archived-At: List-Archive: List-Post: --rS8CxjVDS/+yyDmU Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit Andrey Brindeew wrote > Hi! > > Насчет сабжа. > Я решил, что хранить связку с секретными ключами на винчестере - слишком > опасно, посему сделал так, как написано внизу. > Мне просто интересно - может кто еще как реализовал это? > Предлагаю на суд общественности свой "рецепт". > Конструктивная критика принимается с удовольствием! > > 1. Создал каталог /security > 2. Файл secring.gpg перетащил на две дискетки: одну спрятал подальше (на > ней еще дополнительно копия связки открытых ключей, и revocation > certificates). > 3. Файл ~/.gnupg/secring.gpg заменил символической ссылкой в > /security/secring.gpg > 4. Монтирую рутом дискетку вот так: > > --- Выдержка из /etc/fstab --- > /dev/fd0 /security vfat > noatime,noauto,nodev,noexec,nouser,uid=501,conv=binary,umask=077 0 0 > --- Закончилась --- > > Я, конечно, понимаю, что при доступе к компу и выдергивании дискетки все > идет "садом, огородом", но тем не менее, считаю, что для машины, почти > постоянно торчащей "мордой в Сеть", этого достаточно. Есть другие мнения? Есть такая тонкость: дискеты очень ненадежны. У меня неоднократно были сиутации, когда идеальные во всех предыдущих случаях дискеты начинали сбоить, как только требовался очень нужный файл, сохраненный на ней. Причем сбой часто происходит на двух дискетах (с копиями одного и того же) почти синхронно. Сбой может произойти в разных секторах, но то, что не прочитается один файл --- это почти гарантировано. Я понимаю, что очень все это похоже на мистику, если бы сам не сталкивался --- не поверил бы. :) Другая ососбенность этого способа состоит в том, что невозможно совместить работу с данными на дискете (на какой-то ещё) с работой с ключами. (Если, конечно, не установлено 2 дисковода, но что-то я очень давно таких машин не видел :) Даже если не требуется это делать одновременно дёргать туда-сюда дискеты не самое приятное времяпровождение. Я думаю вариант для настоящего параноика --- поставить ядро с rsbac, и разрешить доступ к secring только для gpg запущеного под uidом владельца файла. Тогда останутся только "законные" способы вытащить ключи. Небольшой патчик к gpg поможет закрыть и эту "дыру". :) Есть, конечно вариант и попроще: следить за тем, какие сервисы предоставляются машиной, закрывать ненужные, жестоко ограничивать нужные. Вот я все ленюсь закрыть у себя дома apache от внешний воздействий --- так при каждом сеансе связи какой-нибудь ко^H^H нехороший человек считает свои долгом послать ко мне запрос вида GET /.html/........./config.sys :) -- Best Regards! Alexey Voinov voins@voins.program.ru voins@online.ru vns@altlinux.ru --rS8CxjVDS/+yyDmU Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE7L5rB3FGE/YJu+jkRAmr2AJ9HEGtkXPAinbXxK5ZfsFv+jGFNjwCfYQ7P 9szlbKlgeA6DYJgIJz1Gj28= =3c3S -----END PGP SIGNATURE----- --rS8CxjVDS/+yyDmU--