Автозавантаження та захист Linux-сервера зашифрованою файловою системою


16

Я налаштовую нові сервери Ubuntu, і я хотів би захистити дані на них від крадіжок. Модель загрози - це зловмисники, які бажають апаратури або, скоріше, наївні зловмисники, які бажають отримати дані.


Зверніть увагу на цей розділ.

Модель загрози не включає розумних зловмисників, які бажають отримати дані; Я припускаю, що вони зроблять одне чи більше з наступного:

  1. Складіть ДБЖ в кабель живлення, щоб машина постійно працювала.

  2. Вставте пару мостів Ethernet між комп’ютером та мережевою точкою завершення, яка зможе перенести трафік по бездротовій мережі достатнього діапазону, щоб хост підтримував мережеве з'єднання.

  3. Відкрийте скриньку та використовуйте щуп на шині пам'яті, щоб захопити цікаві речі.

  4. Використовуйте пристрої TEMPEST, щоб перевірити, що робить хост.

  5. Використовуйте юридичні засоби (наприклад, ухвалу суду), щоб змусити мене розкривати дані

  6. І т.д.


Тому я хочу мати деякі дані, або в ідеалі, всі дані на диску на зашифрованому розділі, з ключовим матеріалом, необхідним для доступу до нього на зовнішніх носіях. Для зберігання ключового матеріалу я можу придумати два способи:

  1. Зберігайте його на віддаленому хості, доступному через мережу, і конфігуруйте достатньо мережі, щоб отримати його під час завантаження. Завантаження може бути дозволено лише до IP-адреси, призначеної захищеному хосту (таким чином, не дозволяється отримати доступ до зашифрованих даних, якщо вони завантажуються в іншому мережевому з'єднанні) та може бути відключена адміністраторами, якщо машина виявила викрадену.

  2. Зберігайте його на USB-накопичувачі, який зробити певним чином значно складніше, ніж сам хост. Розташування його віддалено від хоста, наприклад, наприкінці п'ятиметрового USB-кабелю, що веде в інший кут кімнати чи навіть іншої кімнати, ймовірно, значно знизить шанси зловмисників взяти його. Захистити його якимось чином, наприклад, прив'язавши його до чогось нерухомого або навіть поставити його в сейф, було б ще краще.

То які мої варіанти налаштування цього? Як я вже говорив раніше, я вважаю за краще, щоб все (окрім, можливо, невеликого завантажувального розділу, який не містить / тощо) зашифровано, так що мені не потрібно турбуватися про те, куди я кладу файли чи куди вони ' Ви випадково приземлилися.

Ми працюємо на Ubuntu 9.04, якщо це має значення.


1
Ваша модель загрози носить уніформи з трьома літерами на ній? :)
Sven

Вони не носять уніформи. :-) Але серйозно, ні; будь-яке державне агентство, приховане чи ні, може бути досить розумним, щоб забрати всю техніку, а не лише те, що вони можуть швидко захопити.
Curt J. Sampson

1
Ваше питання, здається, суперечить собі. Спочатку ви говорите "Я хотів би захистити дані на них від крадіжок", потім ви скажете, що "не включає розумних зловмисників, які бажають отримати дані". Ви дбаєте про дані чи ні?
Zoredache

1
Я дбаю про це так. Якщо ви зможете за подібну ціну захистити її від розумних нападників, а також німих, чудово, я це зроблю. Якщо ні, то принаймні я уникаю ситуації, коли хтось купує вживаний привід у магазині для переробки та виявляє на ньому всі дані моїх клієнтів.
Керт Дж. Сампсон

+1 за те, що насправді продумує модель загрози, що багато людей із подібним запитанням забувають робити.
sleske

Відповіді:


8

Я знаю розумний варіант Варіанту 1, який називається Мандос.

Він використовує комбінацію пари ключів GPG, Avahi, SSL та IPv6, всі вони додані до вашого початкового диска оперативної пам’яті, щоб надійно отримати пароль ключа кореневого розділу. Якщо сервер Mandos відсутній у локальній мережі, ваш сервер є зашифрованою цеглою або сервер Mandos протягом певного періоду часу не бачив серцебиття від клієнтського програмного забезпечення Mandos, він ігнорує майбутні запити для цієї пари ключів та сервера це зашифрована цегла наступного разу, коли вона завантажується.

Домашня сторінка Mandos

Mandos ЧИТАТИ


1
Цікава ідея. Я припускаю, що ви будете PXE завантажувати клієнтів, щоб відкритий / приватний ключ не був на диску жорсткого диска. Тим не менш, ви можете відключити ключ від дроту, а потім використати це, в поєднанні з нюхом передачі основного ключа шифрування серверним комп'ютером, щоб розшифрувати накопичувач. Весь "сервер не видасть ключ, якщо він не почув биття серця у часовому вікні ххх", звучить як акуратний спосіб потрапити в петлю людини. Охайний проект. Не надто важко перемогти, якщо у вас фізичний доступ, але акуратний.
Еван Андерсон

2
Еване, ти хочеш прочитати FAQ у Mandos README, я думаю ....
Curt J. Sampson

Гм. Мені не ясно, чому Mandos працює лише через локальну мережу. Це тому, що він не може встановити IP-адресу та маршрути для використання Інтернету?
Керт Дж. Сампсон

1
Curt, Mandos використовує локальні адреси ipv6 посилання для зв'язку, яка обмежена локальним лан. Однак це означає, що йому не потрібна зовнішня конфігурація (dhcp) або конфлікт з іншими серверами в тій самій локальній мережі. en.wikipedia.org/wiki/…
Хакон

1
Як співавтор Mandos я можу погодитися лише з Хааконом. Насправді спосіб Mandos використовувати глобальні адреси IPv4 за допомогою ядра ip=та mandos=connectпараметрів, дивіться цей лист: mail.fukt.bsnet.se/pipermail/mandos-dev/2009-February/…, але зауважте, що це дещо крихко клієнти намагатимуться підключитися до вказаного сервера лише один раз і безповоротно відмовлять в іншому випадку. Рекомендована конфігурація здійснюється через локальну мережу. Можу також зазначити, що Mandos доступний в Ubuntu з 9.04 (а також у тестуванні Debian)
Тедді

6

Якщо ви просто хочете захистити від нетехнічних зловмисників, я вважаю, що найкраща ставка - краща фізична безпека.

Моє мислення таким чином:

Якщо ви шукаєте завантаження, яке не потребує взаємодії з людьми, щоб вводити ключовий матеріал, ви не збираєтесь придумувати жодне рішення, яке буде безпечним від навіть випадкових крадіжок з допомогою будь-яких технічних навичок (або, що більш доцільно, можливість платити комусь із технічними навичками).

Введення ключового матеріалу у щось на зразок USB-накопичувача не забезпечить реальної безпеки. Зловмисник міг просто прочитати ключ від великого пальця. Палець не може знати, чи є комп'ютер, до якого він підключений, це серверний комп'ютер або ноутбук зловмисника. Все, що зловмисник повинен зробити, це переконатися, що вони або все візьмуть, або у випадку, якщо ваш USB-ключ на кінці 15-футового розтяжного кабелю USB, застрягший всередині сейфа, просто підключіть подовжувальний кабель до свого ПК та прочитайте ключ.

Якщо ви збираєтесь передати ключ по мережі, ви, ймовірно, "зашифруєте" його. Все, що зловмисник повинен зробити, - це підслухати процес керування, вкрасти сервер, а потім реверсувати інженер будь-яке "шифрування", яке ви робили, коли ви надсилали ключ по всій мережі. За визначенням, серверний комп'ютер, який отримує "зашифрований" ключ з усієї мережі, повинен мати можливість "розшифрувати" цей ключ для того, щоб використовувати його. Отже, дійсно, ви не шифруєте ключ - ви просто кодуєте його.

Зрештою, вам потрібен (штучний?) Інтелект для введення ключа на сервер. Той, який може сказати: "Я знаю, що я не розголошував ключ нікому, окрім серверного комп'ютера, і знаю, що його не вкрали". Людина може це зробити. Палець USB-накопичувача не може. Якщо ви знайдете інший інтелект, який може це зробити, я думаю, у вас буде щось товарне. > посмішка <

Я, найімовірніше, думаю, що ви втратите ключ і знищите свої дані, не отримавши при цьому жодної безпеки. Замість вашої стратегії з іграми для шифрування, я думаю, вам краще мати більш сильну фізичну безпеку.

Редагувати:

Я думаю, ми працюємо над різними визначеннями терміна "модель загрози", можливо.

Якщо ваша модель загрози - це крадіжка обладнання, то запропоноване рішення щодо: шифрування диска - це, наскільки я бачу, нічого не стосується протидії загрозі. Пропоноване вам рішення виглядає як контрзахід проти крадіжок даних, а не крадіжки обладнання.

Якщо ви хочете запобігти викрадленню обладнання, вам потрібно прикрутити його, зафіксувати, укласти в бетон тощо.

Я вже сказав, що хотів сказати про крадіжку даних, тому я більше не зроблю цього, окрім випадків: якщо ви збираєтесь ввести ключ у фізичний пристрій, ви не зможете захистити серверний комп'ютер від викрадення, тоді ви також не можете захистити ключовий пристрій від викрадення.

Я думаю, що найкраще "дешеве" рішення - сфальсифікувати якийсь обмін ключовими словами в мережі. Я б поклав одного або декількох людей у ​​цикл, щоб підтвердити "випуск" ключа у разі перезавантаження. Це може спричинити простої, поки людина не "відпустить" ключ, але, принаймні, це дасть вам можливість дізнатися, чому запит "звільнення" ключа, і вирішити, чи потрібно це робити.


Це хороше доповнення до аналізу безпеки, тому я дав його підсумок, але це не відповідь на моє запитання, оскільки ви використовуєте іншу модель загрози. Зауважте, що я сказав у питанні про те, проти кого я є, і не захищаюсь.
Керт Дж. Сампсон

1
Що стосується кращої фізичної безпеки, то спершу я хотів би розглянути менш дорогі варіанти. У наших нинішніх умовах нам обійшлося б у багато тисяч доларів, щоб встановити щось, чого не вдасться швидко перемогти хтось із парою болторізів.
Керт Дж. Сампсон

Перечитавши це, я не впевнений, що вам зрозуміло, що моя модель загрози - це не крадіжка апаратури сама по собі , що в основному є лише незручністю, а супутньою крадіжкою даних, що йде разом із нею. Саме тому моє запропоноване рішення - це протидія проти крадіжок даних, а не крадіжка обладнання.
Керт Дж. Сампсон

Цікаво побачити коментар до майже 8-річного питання. Якщо ваше рішення працює для вас, я, безумовно, радію цьому.
Еван Андерсон

Я просто думав: "Я не повинен некроптувати", тоді я побачив ці останні коментарі. Я думаю, що модель загрози Керту така ж, як і моя ... для захисту даних від того, щоб хтось крав обладнання. У кількох коментарях до цього та подібних дописів було сказано, що люди можуть просто «підслухати» ключовий процес та зрозуміти це пізніше. Лише справді смішно поганий процес може бути порушений будь-яким видом повторення. Також ... "все, що зловмисник повинен зробити, це" ... "інженер зворотного будь-якого шифрування, який ви зробили" ... Про кого ми говоримо? Які шанси, що звичайний злодій матиме таку здатність ... чи навіть бажання це зробити?
darron
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.