16 votos

Arranque automático y asegurar un servidor Linux con un sistema de ficheros cifrado

Estoy de poner en marcha algunos de los nuevos servidores de Ubuntu, y me gustaría conseguir los datos en ellos contra el robo. El modelo de amenaza es que los atacantes deseando el hardware o el más ingenuo de los atacantes con los datos.


Por favor, tome nota de esta sección.

El modelo de amenaza ¿ no incluyen el smart atacantes deseosas de datos, por lo que me imagino que va a hacer uno o más de los siguientes:

  1. Empalme de UPS en el cable de alimentación en el fin de mantener la máquina en funcionamiento continuo.

  2. Insertar un par de Ethernet puentes entre el ordenador y la red de puntos de terminación de la que va a cerrar el tráfico en una red inalámbrica de rango suficiente que el anfitrión mantener la conectividad de red.

  3. Abra la caja y el uso de una sonda en el bus de memoria para agarrar cosas interesantes.

  4. El uso de la TEMPESTAD que los dispositivos de la sonda de lo que el host está haciendo.

  5. El uso de los medios legales (tales como una orden de la corte) me obligan a revelar los datos

  6. Etc. Etc.


Así que lo que quiero es tener algo, o lo ideal es que todos, de los datos en el disco en una partición cifrada, con el material de clave necesaria para acceder a él en los medios externos de algún tipo. Dos métodos que puedo pensar para almacenar el material de clave son:

  1. Almacenar en un host remoto accesible a través de la red y configurar suficiente de la red para recuperar durante el proceso de arranque. La recuperación será permitida solo a la dirección IP asignada a la seguridad de host (por lo tanto no permite el acceso a los datos cifrados si se tratara de arrancar en otra conexión de red) y puede ser desactivado por los administradores si la máquina se descubrió el robo.

  2. Almacenar en un dispositivo de almacenamiento USB que se hace de alguna manera significativamente más difícil de robar que el propio host. La localización de la misma manera remota desde el host, como al final de un cinco metros de cable USB que conduce a otra esquina de la habitación, o incluso en otra habitación, probablemente disminuir significativamente las posibilidades de que los atacantes de tomarlo. Asegurar de alguna manera, como por el encadenamiento de que algo inmóvil, o incluso ponerlo en una caja de seguridad, podría funcionar aún mejor.

Entonces, ¿cuáles son mis opciones para esta configuración? Como he dicho antes, prefiero tener todo (aparte de tal vez una pequeña partición de arranque que no contiene /etc) cifrados, de modo que no tengo que preocuparme de donde estoy poniendo los archivos, o de dónde son accidentalmente aterrizaje.

Estamos ejecutando Ubuntu 9.04, si hace alguna diferencia.

8voto

Haakon Puntos 1150

Yo sé de una ingeniosa variante de la Opción 1 se llama Mandos.

Se utiliza una combinación de un par de claves GPG, Avahi, SSL y IPv6 suman a su disco RAM inicial para recuperar de forma segura su partición root de la contraseña de la clave. Si los Mandos servidor no está presente en la LAN, el servidor es un cifrado de ladrillo o de los Mandos servidor no ha visto a un latido del corazón de los Mandos de software de cliente para un determinado período de tiempo va a ignorar las peticiones para que el par de claves y el servidor es un cifrado de ladrillo próxima vez que se inicie.

Mandos Página De Inicio

Mandos LÉAME

2voto

Evan Anderson Puntos 118832

Si usted simplemente está buscando para proteger contra los no-técnicos atacantes creo que su mejor apuesta es el mejor de la seguridad física.

Mi pensamiento es, pues:

Si estás buscando un arranque que no requiere interacción humana para entrar en el material de clave, a continuación, usted no va a encontrar ninguna solución, que sea seguro, incluso de robo informal por un attacher con conocimientos técnicos (o, más apropiadamente, la capacidad para pagar a alguien con habilidades técnicas).

Poner el material de clave en algo parecido a un USB de la unidad no ofrece ninguna seguridad real. El atacante podía leer la clave de la unidad de disco usb. El pulgar de la unidad no se puede saber si el equipo se ha conectado en el server o el equipo atacante del portátil. Todos, el atacante tiene que hacer es asegurarse de que tomar el todo, o en el caso de la llave USB en el extremo de un 15 pies de largo USB extendo-cable atascado en el interior de una caja fuerte, basta con conectar el extendo-cable en su PC y leer la clave.

Si vas a transferir la clave a través de la red probablemente "cifrar". Todos, el atacante tiene que hacer es intervenir en el proceso de incrustación, robar el servidor y, a continuación, realizar ingeniería inversa cualquier "cifrado" que hizo cuando envió la clave a través de la red. Por definición, el equipo del servidor de recibir un "cifrado" la clave de toda la red tiene que ser capaz de "descifrar" que la clave para poder usarlo. Así que, realmente, no eres el cifrado de la clave-usted es sólo la codificación de los mismos.

En última instancia, usted necesita un (artificial?) la inteligencia presente a la entrada de la llave en el servidor. Uno que puede decir "yo sé que no soy la divulgación de la clave a nadie, pero el equipo servidor, y sé que no ha sido robado". Un humano puede hacer esto. Una unidad de almacenamiento USB no se puede. Si te encuentras con otra inteligencia que puede hacer entonces creo que tendrás algo negociables. >alegría<

Lo más probable es que, yo creo, que usted va a perder la clave y destruir sus datos, mientras no obtengan ningún tipo de seguridad. En lugar de su estrategia con el cifrado de los juegos, creo que estás mejor y con una mayor seguridad física.

Editar:

Creo que estamos trabajando desde diferentes definiciones del término "modelo de amenaza", tal vez.

Si su modelo de amenaza es de hardware robo, entonces la solución que usted propone re: el cifrado de disco, como yo lo veo, no hace nada para contrarrestar la amenaza. Su propuesta de solución se ve como una medida preventiva contra el robo de los datos, no el robo de hardware.

Si desea detener el hardware de ser robado, usted necesita cerrojo, candado, empotrarse en el concreto, etc.

Ya he dicho lo que yo quería decir re: robo de los datos, así que no voy a insistir en que, de nuevo, excepto para decir: Si vas a poner la llave en un dispositivo físico, y usted no puede proteger el equipo de servidor de ser robado, entonces usted no puede proteger el dispositivo clave de ser robado.

Supongo que su mejor solución "barata" es armar algún tipo de red basado en el intercambio de claves. Yo pondría uno o más seres humanos en el bucle para autenticar la "liberación" de la clave en el caso de un reinicio. Haría que el tiempo de inactividad hasta que el humano "publicado" la clave, pero al menos le daría una oportunidad para averiguar por qué una clave de "liberación" que se solicitó y decidir si o no para hacerlo.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: