создание электронного идентификатора для загрузки

[kopernik21187]

Передо мной стоит такая задача: есть Debian Lenny 5.0.2 и нужно сделать так, чтобы вход в ОС осуществлялся только при предъявлении флешки и ввода пароля. В общем нужно научиться создавать электронный usb-идентификатор и научить Линукс загружаться  только с такой флешки. Примеры есть- это алладиновские ключи(http://www.aladdin.ru/)  и Рутокеновские(http://www.rutoken.ru/). Если кто-нибудь знает как это делать киньте пожалуйста ссылки хотя бы в каком направлении копать.
   С уважением, kopernik21187

[lit-uriy]

ХМ, я думаю это больше по организации работы в ОСьке, чем по программированию на Qt.

[BRE]

Передо мной стоит такая задача: есть Debian Lenny 5.0.2 и нужно сделать так, чтобы вход в ОС осуществлялся только при предъявлении флешки и ввода пароля. В общем нужно научиться создавать электронный usb-идентификатор и научить Линукс загружаться  только с такой флешки. Примеры есть- это алладиновские ключи(http://www.aladdin.ru/)  и Рутокеновские(http://www.rutoken.ru/). Если кто-нибудь знает как это делать киньте пожалуйста ссылки хотя бы в каком направлении копать.
   С уважением, kopernik21187

Почитай на тему PAM и одного из его модулей pam_usb.
Навскидку: http://www.nixp.ru/articles/nopassword_auth_via_pam_usb

[Vass]

А может по старинке? просто записать boot раздел на флешку, нет флешки - нет boot'а - ничего не работает.

[break]

Есть еще ключи Guardant - московская контора - ключи разного семейства, могут ли блокировать загрузки ОС не знаю, но их можно программировать под себя.

Теперь сори за оффтоп: У вас задача странная и бессмысленная - если вы будете защищать программу которая всем нужна (для широкого круга аудитории) то вашу самописную зашиту очень быстро взломают - потому что взломщики то же есть хорошие спецы, всякие там бут сектора на флешке - для них не проблема, если нужно защитить программу кот. узкоспециализированная - то ключи самый вариант.

А блокирование загрузки ОС без флешки - все обходиться, да и неудобно - это ничуть не надежнее пароля, флешку можно потерять, продать конкурентам и т.д. - в общем все что и с паролем - проще провести разъяснительную беседу с сотрудниками о том что нельзя писать пароли на бумажках и пообещать штрафы за разглашение...

[Павел_F.]

вход в ОС осуществлялся только при предъявлении флешки и ввода пароля. В общем нужно научиться создавать электронный usb-идентификатор и научить Линукс загружаться  только с такой флешки.

Копай в направлении udev и правил для него. Udev'у можно сказать в правилах выполнять любой скрипт при вставке конкретной флеши( для определения можно использовать любой ее параметр). Эта тема много осуждалась в нете, для автомонтирования нужной флеши в нужную папку например.

Что касаемо входа( буду иметь ввиду графическую оболочку) то это копать в сторону desktop manager( xdm - стандартный от иксов, gdm - стандартный в гноме, kdm - для кед). Взять его исходники и переписать так чтобы он не показывал окно для входа если нет флеши.
Итого:
1)Можно, например, завести на флешке скрипт в котором создавать свою переменную окружения и прописывать ее значение. Сделать правило для udev в котором по вставке нужной флеши монтировать ее и выполнять с нее нужный скрипт. В desktop manager смотреть значение переменной окружения и делать вывод о том позволить войти или выключится нафиг.
2)Можно в неразмеченной области флешки( чтоб никто не догадался) поместить некий код. А в desktop manager искать флеш, если есть читать код из неразмеченной области и думать то или нет.
3)Можно на нужном уровне запуска линукс( хорошая вещь уровни запуска, тоже почитайте) поставить нужный скрипт который показвает запрос пароля и ищет флеш. а потом уже идет обычная загрузка...
4) Да можно даже в исходники grub дописать свой кусок чтоб флеш искал и пароль просил.

Да вариантов вагон с тележкой!

[break]

P.S.

4) Да можно даже в исходники grub дописать свой кусок чтоб флеш искал и пароль просил.

Можно и биос в компе дизассемблировать и подправить тчоб неразмеченную область на флешке искал...

Да вариантов вагон с тележкой!

Вариантов много - никто не спорит, но целесобразность должна у них быть...

или
1) Секретарша перестанет уметь включать свой комп.
или
2) Я прийду с Live-CD и все равно заберу все данные с винта

Лучше поставьте это все в сейф - к нему электронный замок, от него детонатор и заряд побольше по периметру офиса :-)

[Павел_F.]

Можно и биос в компе дизассемблировать и подправить тчоб неразмеченную область на флешке искал...

Дизасемблировать и править имеющиеся в свободном доступе исходники это разные вещи. Это раз. Два, другие варианты много проще.

1) Секретарша перестанет уметь включать свой комп.

Ну она раньше вводила пароль в таком красивеньком окошке, а теперь вот в не красивой строчке надо написать. Это тяжело, но она справится, я в нее верю.

2) Я прийду с Live-CD и все равно заберу все данные с винта

Ну уж если строиш такую вещь то загрузку с внешних носителей можно и выключить.

Да и вообще... Может надо просто ограничить доступ к компам. Типа как оружие табельное сдал-принял. Чтоб после работы не игрались и сторожа порнуху не зырили ночами.  Вот и загадали админу своему такую задачу, а он вариант попроще ищет. И все, а на данные-то пох. Не зная задачи вы так уверенно говорите что она не оправдана... Зря, наверное...

[break]

Ну она раньше вводила пароль в таком красивеньком окошке, а теперь вот в не красивой строчке надо написать. Это тяжело, но она справится, я в нее верю.

По предложенным вами вариантам она должна вовремя всунуть флешку - толи при загрузке компа то ли при загрузке ОС - она пришла на работу - и тупо забыло это сделать - конечно это было сказано в шутку но ввести пароль проще чем вставить нужную флешку - не верите мне - спросите у бухгалтеров которые с клиент банками работают - только у них сейчас еще и дискеты а не флешки - и там как раз эти скрытые области и т.д. - у каждой конторы несколько счетов в разных банках а в реальности много - вот они и тыкают то одну дискету то другую - это идиотизм, и все эти дисветы подписанные лежат в столе у бухгалтера, + еще флешка для включения компа добавится.

Ну уж если строиш такую вещь то загрузку с внешних носителей можно и выключить.

Ну а как ты ее выключишь так чтобы я не смог включить? В этом то и неразумность суперзащит что всегда есть уровень абстракции до которого она будет работать - если у меня есть физически доступ к компу - то все нет никакой вашей защиты на включение, совсем другое дело шифрованные разделы, SSH и т.д. но речь о них вы не ведете - включить комп и стянуть с винта смогу всегда - сброшу биос, и не так много время на это надо 10 мин максимум с учетом необходимости откручивания/закручивания крышки...

Да и вообще... Может надо просто ограничить доступ к компам. Типа как оружие табельное сдал-принял. Чтоб после работы не игрались и сторожа порнуху не зырили ночами.  Вот и загадали админу своему такую задачу, а он вариант попроще ищет. И все, а на данные-то пох. Не зная задачи вы так уверенно говорите что она не оправдана... Зря, наверное...

Доступ к компам по любому надо ограничить и сторожам порнуху на дисках выдавать чтобы траффик не жрали и вирусы не качали, а данные надо защищать не такими способами - то есть именно защита включения компа с помощью флешки ничуть не эффективнее защиты по паролю - никакой разницы, только неудобства. И задачу я знаю и говорю именно поэтому уверенно - а вот вы с такой уверенностью предложили человеку способы реализации проблемы выгода от которых малоэффективна и трудоемка - это со знанием деала? и не зря?

[Павел_F.]

Я не буду вступать в спор, тем более он у нас не по теме выходит. Человек спрашивал "Как?", а не "Зачем?". Изначально вопрос стоял так, что ему нужно это сделать ( ну вот, например, пришло начальство и сказало хочу так и все!). Давайте все же советовать что и как, я свою мысль озвучил. Если хочется обсудить не "Как?" а "Зачем?" то для этого нужна отдельная тема.