Я налаштовую нові сервери Ubuntu, і я хотів би захистити дані на них від крадіжок. Модель загрози - це зловмисники, які бажають апаратури або, скоріше, наївні зловмисники, які бажають отримати дані.
Зверніть увагу на цей розділ.
Модель загрози не включає розумних зловмисників, які бажають отримати дані; Я припускаю, що вони зроблять одне чи більше з наступного:
Складіть ДБЖ в кабель живлення, щоб машина постійно працювала.
Вставте пару мостів Ethernet між комп’ютером та мережевою точкою завершення, яка зможе перенести трафік по бездротовій мережі достатнього діапазону, щоб хост підтримував мережеве з'єднання.
Відкрийте скриньку та використовуйте щуп на шині пам'яті, щоб захопити цікаві речі.
Використовуйте пристрої TEMPEST, щоб перевірити, що робить хост.
Використовуйте юридичні засоби (наприклад, ухвалу суду), щоб змусити мене розкривати дані
І т.д.
Тому я хочу мати деякі дані, або в ідеалі, всі дані на диску на зашифрованому розділі, з ключовим матеріалом, необхідним для доступу до нього на зовнішніх носіях. Для зберігання ключового матеріалу я можу придумати два способи:
Зберігайте його на віддаленому хості, доступному через мережу, і конфігуруйте достатньо мережі, щоб отримати його під час завантаження. Завантаження може бути дозволено лише до IP-адреси, призначеної захищеному хосту (таким чином, не дозволяється отримати доступ до зашифрованих даних, якщо вони завантажуються в іншому мережевому з'єднанні) та може бути відключена адміністраторами, якщо машина виявила викрадену.
Зберігайте його на USB-накопичувачі, який зробити певним чином значно складніше, ніж сам хост. Розташування його віддалено від хоста, наприклад, наприкінці п'ятиметрового USB-кабелю, що веде в інший кут кімнати чи навіть іншої кімнати, ймовірно, значно знизить шанси зловмисників взяти його. Захистити його якимось чином, наприклад, прив'язавши його до чогось нерухомого або навіть поставити його в сейф, було б ще краще.
То які мої варіанти налаштування цього? Як я вже говорив раніше, я вважаю за краще, щоб все (окрім, можливо, невеликого завантажувального розділу, який не містить / тощо) зашифровано, так що мені не потрібно турбуватися про те, куди я кладу файли чи куди вони ' Ви випадково приземлилися.
Ми працюємо на Ubuntu 9.04, якщо це має значення.