> A questão do live CD não me preocupa, a idéia é que o servidor teria > uma entrada usb e só, nada de drives de cds ou disquetes. Hoje em dia > existe "live-usb", mas para isso basta desabilitar o boot por usb na > bios.
Nessa linha o mesmo se aplica a CD/DVD =P > A ferramenta está concentrada em apenas uma pasta, o custo de > processamento que a criptografia vai gerar justifica encriptar o disco > todo nesse caso? quero dizer, vale a pena abrir mão de um pouco de > processamento para encriptar todo o disco se a aplicação está > concentrada apenas nessa pasta? (ainda nao sei como a aplicação se > comporta, não sei quanto consome nem nada) Depende do nivel de seguranca que voce quer ter. Se voce nao criptografar tudo tera que digitar a(s) chave(s) de cifragem antes de montar a particao onde esta a aplicacao. E' seguro, ao custo da interatividade com o sysadmin realmente responsavel. Qualquer outra abordagem automatizada a chave estara em uma particao nao criptografada, teoricamente sujeita a copia, mas como com geli pode ficar em extended attributes do UFS2, precisaria de alguem com paciencia e um pouco mais de conhecimento em FreeBSD pra descobrir (ja que voce pode definir o path e nome do atributo). > A idéia inicial era não criar nenhum usuário para manutenção, porém > você me deu uma idéia que parece segura, é capaz de eu usar ela e > restringir um pouco a conta de manutenção usando o sudo. > > É possível eu restringir login usando certificado digital? assim o > cara só ia conseguir logar se: > 1) tivesse a senha da conta desprivilegiada > 2) tivesse a senha do root > 3) tivesse um token com um certificado digital emitido pelo meu servidor Eh sim, voce pode habilitar SecurID com Kerberos5 (de uma olhada no capitulo de kerberos do handbook) e configurar para preauth, ai o a "chave privada" (na verdade o token kerberos) sera lido antes da senha. Se for o caso pode por ainda biometria. Tem devices de preco baixo (80-120 dolares) no mercado, e incluindo teclados[1] ja com leitor biometrico. De preferencia pelos "touchip" da Upek. Mais barato tambem seriam smartcards, de preferencia towitoko[2] =P > > Valeu [1]http://www.ksikeyboards.com/products_list.php?category_id=1 [2]http://www.cardlogix.com/product_readers_towitoko.asp -- Patrick Tracanelli FreeBSD Brasil LTDA. (31) 3281-9633 / 3281-3547 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
