Utilisation d'écryptfs ou d'encfs (éventuellement plus) La phrase secrète de déchiffrement réelle est conservée dans un fichier déchiffré par le mot de passe.
À cause de cela, si paranoïaque (ou tentative d'impressionner), vous pouvez effectivement déchiqueter toutes les données cryptées aux normes DOD américaines (généralement l'ensemble du répertoire de base) dans quelques millisecondes.
Je veux configurer mon ordinateur (ou au moins mon système Vbox) pour déchiqueter la phrase secrète enveloppée si un mot de passe spécifique est entré ou que le mauvais mot de passe est entré une certaine quantité de fois dans une rangée.
Ceci serait assez facile mais je ne sais pas comment entrer dans le système d'authentification Linux à un niveau qui me permettra de vérifier le mot de passe incorrect et / ou exécuter le programme déchiqueté sur le fichier.
TL; DR: Quelqu'un sait comment rendre Linux shred un fichier si une connexion incorrecte utilisait un mot de passe spécifique?
3 Réponses :
Vous devrez développer un module PAM et configurer votre système pour l'utiliser pour le mot de passe Validation.
Si cela est un peu décourageant, vous pouvez essayer pam-script qui revendique la capacité exécuter des scripts dans le cadre du processus d'authentification. Je n'ai pas essayé cela moi-même.
C'est ce que j'ai dit, mais il y a d'abord des modules de PAM qui vous permettent de courir de "modules" PHP et d'autre part, je n'ai aucune idée de faire un module PAM époustouflé. Il ne semble pas y avoir de tutoriels là-bas (a du sens comme la plupart des gens qui jouent avec ce genre de choses sauraient probablement tout déjà)
En général, la méthode à utiliser pour accrocher à Linux Authentification est via PAM . Écriture de votre propre module PAM ou en trouvant un qui peut être contraint de faire ce que vous voulez.
L'option la plus facile que je peux voir est pam_script . p>
Installation, puis mettre Notez que le script pourrait être exécuté en tant que root ou comme l'utilisateur, le stockage des données de défaillance de mot de passe doit être effectué avec une attention particulière aux autorisations. P> La version simple sans la version de plusieurs échecs est quelque peu comme suit: P> auth-optionnel PAM_Script.so code> dans le (s) fichier (s) correspondant (s) dans /etc/pam.d et écrivez un script pam_script_auth qui regarde à $ pam_user et $ pam_authtok. p> if [ $PAM_USER = "jv" ] && [ $PAM_AUTHTOK = "ThePoliceHaveMe" ]; then
shredcommand
fi
Je pense que je sais ce que vous voulez dire, ajoutez une ligne avec pam_script.so à /etc/pam.d/common-auth (ou puis-je faire autre chose spécifiquement pour mon utilisateur? cp /etc/pam.d/common-auth /etc/pam.d/aruser-auth ?) Puis écrivez un script pour le gérer? Seul un problème étant que je ne sais pas comment faire l'un ou l'autre d'entre eux.
/etc/pam.d/aruser-auth ne fonctionnera pas, tout dans /etc/pam.d sélectionne en fonction de ce que le programme demande, pas qui vous êtes. J'ai ajouté un exemple de script simple à ma réponse, mais je ne sais pas quelles commandes à courir pour déchiqueter le mot de passe.
Ooh wow c'est une explosion du passé. J'ai fait en fait. 4 ans et demi plus tard, il ressemble à une programmation pour moi, mais je vais le coller si tu le veux
@Jv puis-je voir votre exemple de travail final? Je suis coincé sur des obstacles faciles
Les bonnes réponses ont déjà été publiées expliquant comment faire ce que vous voulez utiliser à l'aide des modules d'authentification pluggable afin que je ne les répète pas.
Premièrement, lorsque vous marchez automatiquement vos touches de cryptage après un certain nombre de connexions défaillantes, vous avez une vulnérabilité désagréable de la vulnérabilité de service, où tout le monde peut détruire toutes vos données en vous connectant de manière incorrecte.
Deuxièmement, vous pensez probablement que cela fonctionnerait quand "ils" obtenez votre machine, mais ce ne serait pas, car tout en essayant de casser votre cryptage ou de deviner votre mot de passe, personne n'utiliserait votre système à fais le. La première chose que quiconque ferait est de copier vos partitions brutes et de jouer avec vos données dans un environnement sûr où ils peuvent être sûrs que les données qu'elles tentent de lire ne seront pas détruites dans le processus.
Troisième, comme pour déchiqueter toutes les données sur les normes DOD américaines dans quelques millisecondes, n'oubliez pas de déchiqueter la partition totale de l'échange, ou de ne pas en utiliser un en premier lieu. De plus, alors qu'il peut sembler ne pas être nécessaire, n'oubliez pas de déchiqueter le contenu de la RAM également, car le contenu de la RAM peut parfois être récupéré même après la perte de puissance.
Je voudrais simplement clipser le fichier et le chat sur une image à un endroit aléatoire sur Internet pour récupérer. C'est principalement un exercice, mais aiderait si quelqu'un sans compétences informatiques vous menaçait de leur donner le mot de passe à ce moment-là et là. Si vous utilisez un dossier crypté, vous devez utiliser un DM-Crypt ED Swap de toute façon, et la RAM ne persiste pas presque aussi longtemps que nécessaire pour récupérer des données sans azote liquide et s'il l'utilise Ils avaient probablement un keylogger matériel de toute façon.