Hallo zusammen,
bei einem Kunden haben einige Aussendienstmitarbeiter M$-Laptops, die per USB-Stick gesichert werden. Soll heißen, die Kisten sind ohne eingesteckten USB-Stick nicht benutzbar.
Wie würde man dies unter OpenBSD realisieren? Der USB-Port müßte wohl in der fstab mit "autostart" angegeben werden und ich vermute einmal, das aus den Ports automount geladen sein muß. Aber sonst? Ich stelle mich mal jetzt ganz dumm: Irgendwie müßte das System permament das vorhandensein eines bestimmten, eingesteckten USB-Sticks abfragen und sobald der Stick abgezogen ist, nur noch die Eingabe des Passwortes zugelassen. Auf dem Stick könnten z.B. weitere sensible Daten gespeichert sein, wie Zertifikate oder die GnuPG-Dateien. Auch eine Zwangstrennung bzw. automatische Erkennung im Netz könnte ich mir in diesem Zusammenhang vorstellen.
Sicherlich: Es ist ein Risiko - ist der Stick weg oder defekt, wird der Systemzugang wohl ein _wenig_ schwierig... :-/ Dies wäre jedoch abzuwägen gegenüber dem Risiko, daß in der Abwesenheit jemand, der das Passwort kennt, sich am Laptop und damit an den Daten zu schaffen macht. Ich zumindest kenne Situationen, in denen der Verlust eines Laptops leicht verschmerzt wird, der Verlust der Vertraulichkeit der Daten hingegen einer Katastrophe gleichkommt.
Hat jemand eine schlaue Idee? Irgendein Ansatz, vielleicht gab es sogar schon einmal dazu einen Thread?
Gruß,
SteWo
bei einem Kunden haben einige Aussendienstmitarbeiter M$-Laptops, die per USB-Stick gesichert werden. Soll heißen, die Kisten sind ohne eingesteckten USB-Stick nicht benutzbar.
Wie würde man dies unter OpenBSD realisieren? Der USB-Port müßte wohl in der fstab mit "autostart" angegeben werden und ich vermute einmal, das aus den Ports automount geladen sein muß. Aber sonst? Ich stelle mich mal jetzt ganz dumm: Irgendwie müßte das System permament das vorhandensein eines bestimmten, eingesteckten USB-Sticks abfragen und sobald der Stick abgezogen ist, nur noch die Eingabe des Passwortes zugelassen. Auf dem Stick könnten z.B. weitere sensible Daten gespeichert sein, wie Zertifikate oder die GnuPG-Dateien. Auch eine Zwangstrennung bzw. automatische Erkennung im Netz könnte ich mir in diesem Zusammenhang vorstellen.
Sicherlich: Es ist ein Risiko - ist der Stick weg oder defekt, wird der Systemzugang wohl ein _wenig_ schwierig... :-/ Dies wäre jedoch abzuwägen gegenüber dem Risiko, daß in der Abwesenheit jemand, der das Passwort kennt, sich am Laptop und damit an den Daten zu schaffen macht. Ich zumindest kenne Situationen, in denen der Verlust eines Laptops leicht verschmerzt wird, der Verlust der Vertraulichkeit der Daten hingegen einer Katastrophe gleichkommt.
Hat jemand eine schlaue Idee? Irgendein Ansatz, vielleicht gab es sogar schon einmal dazu einen Thread?
Gruß,
SteWo