Установка TrueCrypt в Gentoo и Calculate Linux

 Truecrypt - одна из лучших программ для шифрования информации.
Кроме огромного колличества возможностей у нее есть еще одно преимущество - она Open Sourse! Аналогов с такими же возможностями и при этом бесплатной я не видел.
С установка под Windows все просто, а вот в Linux могут возникнуть проблемы. У меня и возникли...

После установки при попытке монтирования криптоконтейнера я получил следующую ошибку:

device-mapper:reload ioctl failed:

Итак, гугл сказал что не хватает модулей в ядре.
Значит нужно пересобрать ядро со всеми необходимыми модулями.
Итак, опишу процесс установки TrueCrypt на gentoo и Calculate Linux

Восстановление openssh public key из private key

Случается, что теряется (удаляется или перезаписывается по ошибке) публичная часть ключа (та, которая обычно имеет суффикс ".pub"),
но если секретная часть жива ("id_rsa" или "id_dsa") то восстановить публичную очень просто:

Если ключ RSA

$ ssh-keygen -y -f id_rsa > id_rsa.pub

или если DSA

$ ssh-keygen -y -f id_dsa > id_dsa.pub

Ссылки:
Восстановление openssh public key из private key
Основы работы с OpenSSL

TrueCrypt + eToken

Что такое TrueCrypt я коротко описал в своей заметке "Шифрование данных - TrueCrypt"
Кратко опишу, как использовать TrueCrypt с аппаратным ключом eToken на Windows.

Использование sftp+chroot из openssh в качестве альтернативы ftp-серверу

Потребовалось создать безопасный файлообменник.
Требования:
1. Безопасность.
2. Простота использования
3. Возможность использовать на различных ОС

Всем этим критериям больше всего удовлетворяет sftp.

SFTP расшифровывается как SSH File Transfer Protocol — SSH-протокол для передачи файлов. Он предназначен для копирования и выполнения других операций с файлами поверх надёжного и безопасного соединения. Как правило, в качестве базового протокола, обеспечивающего соединение, и используется протокол SSH2, но это не обязательно.
OpenSSH (открытый безопасный shell) — набор программ, предоставляющих шифрование сеансов связи по компьютерным сетям с использованием протокола SSH.
  Он был создан под руководством Teo de Raadt (Тэо де Раадт) как открытая альтернатива проприетарного ПО от SSH Communications Security. В набор программ OpenSSH входит и sftp-сервер. Также была добавлена возможность помещать отдельных пользователей в изолированное окружение(chroot).

fail2ban - базовая настройка

fail2ban - утилита, которая парсит логи и выполняет определенные действия на некоторые повторяющиеся события в течении какого-то времени..
Например за несколько неудачных попыток авторизоваться по ssh за некоторое время забанить источник.
Очень полезна для предотвращения перебора паролей и различных зловредных действий.
Методов блокировки также несколько: ipfw, iptables, hosts.deny .
Есть уже много готовых примеров для ssh, exim, postfix,cyrus-imap, apache, lighttpd, named и тд (!!!). Можно их составлять и самим, для этого Вам понадобится некоторое знание регулярных выраженией в python. Сама настройка очень проста и логична.
Рассмотрю базовую установку на FreeBSD и настройку блокировки брутфорса ssh.

SSH авторизация по ключам.

Одним из самых надежных способов аторизации и одновременно удобных является авторизация по ключам.
Естественно при условии безопасного хранения приватных ключей (а для этого можно использовать например программу Truecrypt, вот заметка по использованию..)
Такой способ авторизации часто используется в скриптах, например с такими программами как sftp, scp и др.

Шифрование данных - TrueCrypt

Часто возникает необходимость зашифровать свои данные, причем надежным способом.
В некоторых продуктах программисты специально оставляют возможность расшифровать данные альтернативным способом за вознаграждение или на случай если клиент забыл пароль, а там очень важные данные...
Данные продукты изначально не очень пригодны для хранения действительно важных данных.
Большинство продуктов являются платными, что тоже не очень интересно...
Достаточно давно нашел программу - TrueCrypt, которая удовлетворит наверное любым требованиям, предъявляемым к такому ПО, причем она бесплатная.


Чем мне понравился TrueCrypt:
- бесплатный
- Мультиплатформенный (Windows, Linux, Mac)
- Есть разные версии 32/64 bit, GUI/Console
- поддерживает различные виды шифрование, в том числе и несколькими алгоритмами
- может шифровать разделы жесткого, создавать шифрованные контейнеры
- Умеет делать скрытые тома (внутри уже существующего тома создается второй том, доступ к нему можно получить введя пароль для скрытого тома)
- Есть нормальная портативная версия
- Отказоустойчивость - при резком вырубании света с примонтированным томом информация остается в целости и сохранности (происходило и не раз)
- Есть возможность зашифровать системный диск
- Разные виды доступа - пароль/ключ. Можно также использовать и токены. Я описал эту возможность в статье TrueCrypt + eToken (правда описание для Windows)
- Есть файлы локализации и справка на русском (нужно скачивать отдельно)
- Проект активно развивается.

Установка spamblock

Встал вопрос борьбы со спамерами, от абонентов.
Обычно для этого использовался PF,
но на виртуальной машине Xen FreeBSD 8.1 уходит в коматоз просто при включении PF.
Поэтому пришлось находить другой вариант борьбы...
Нашел аналог, который будет работать в том числе и с IPFW - spamblock.
Это скрипт при помощи tcpdump отлавливает количество соединений за определенный период и если он превышает установленные значения, происходит блокировка (занос в таблицу).

Null route

Иногда является полезным так называемый Null route, т.е маршрутизировать пакет в Null или другими словами просто грохать его.
Например это полезно на маршрутизаторе BGP, который получает минимум одно full view, а значит у него полная таблица маршрутизации в инет и default route ему просто не нужен и на всякий случай его можно "занулить"
Например на FreeBSD это буде выглядеть вот так:

route change default -iface lo0 -blackhole

Также можно использовать в различных схемах предотвращения DDoS или просто как вариант запрета какой либо сети
Например на FreeBSD это буде выглядеть вот так:

route add -net ip-address netmask -iface lo -reject - это с отсылкой icmp inreachable
route add -net ip-address netmask -iface lo -blackhole - без него.

jail - безопасность и виртуализация на базе FreeBSD

Jail можно использовать, как систему виртуализации или как средство для запуска программы в ограниченном окружении.
Для меня встал вопрос именно по безопасности, хотя сути это не меняет.
Учитывая, что большинство взломов производится не из-за "дырявой" системы (по крайней мере это относится к FreeBSD ), а из-за уязвимостей сервисов или неправильной их настройки.
Самым часто взламываемым сервисом является Веб.
Чтобы минимизировать ущерб от вероятного взлома, лучше поместить каждый сервис в свою отдельную "тюрьму" - виртуальную среду, за пределы которой злоумышленник не сможет выйти (или это будет крайне затруднительно).

Итак, поехали :)