Şifrelenmiş Dosya Sistemiyle Bir Linux Sunucuyu Otomatik Önyükleme ve Güvenli Hale Getirme

Bazı yeni Ubuntu sunucuları kuruyorum ve üzerlerindeki verileri hırsızlığa karşı korumak istiyorum. Tehdit modeli, donanımı isteyen saldırganlar veya verileri isteyen saf saldırganlardır.

Lütfen bu bölüme dikkat edin.

Tehdit modeli yok değil verilerini isteyen akıllı saldırganlar arasında; Aşağıdakilerden birini veya birkaçını yapacaklarını varsayıyorum:

1. Makinenin sürekli çalışmasını sağlamak için bir UPS'yi güç kablosuna takın.

2. Bilgisayar ile ağ sonlandırma noktası arasına, ana bilgisayarın ağ bağlantısını koruyacak yeterli aralıktaki bir kablosuz ağ üzerinden trafiği köprüleyecek bir çift Ethernet köprüsü takın.

3. Kutuyu açın ve ilginç şeyleri almak için bellek veriyolunda bir prob kullanın.

4. Ana bilgisayarın ne yaptığını araştırmak için TEMPEST aygıtlarını kullanın.

5. Verileri ifşa etmeme zorlamak için yasal yollardan (mahkeme emri gibi) yararlanın

6. Vs vs.

Yani istediğim şey, bir çeşit harici ortama erişmek için gerekli anahtar malzeme ile, şifreli bir bölümdeki diskteki verilerin bir kısmına veya ideal olarak hepsine sahip olmak. Anahtar malzemeyi saklamak için düşünebileceğim iki yöntem:

1. Ağ üzerinden erişilebilen uzak bir ana bilgisayarda saklayın ve önyükleme işlemi sırasında ağı alacak kadar ağ yapılandırın. Yalnızca güvenli ana bilgisayara atanan IP adresine erişilmesine izin verilir (böylece başka bir ağ bağlantısında önyüklenmişse şifrelenmiş verilere erişime izin verilmez) ve makinenin çalınması keşfedilirse yöneticiler tarafından devre dışı bırakılabilir.

2. Çalması, bir şekilde çalınmasının ana bilgisayarın kendisinden çok daha zor hale getirilmiş bir USB depolama cihazında saklayın. Odanın başka bir köşesine veya hatta başka bir odaya çıkan beş metrelik bir USB kablosunun sonu gibi ana bilgisayardan uzak bir yere yerleştirilmesi, saldırganların onu alma şansını önemli ölçüde azaltacaktır. Hareketsiz bir şeye zincirleme, hatta kasanın içine koyma gibi bir şekilde onu güvence altına almak daha iyi çalışır.

Bunu ayarlamak için seçeneklerim nelerdir? Daha önce de söylediğim gibi, her şeyi (belki / etc içermeyen küçük bir önyükleme bölümü dışında) şifrelenmeyi tercih ederim, böylece dosyaları nereye koyduğum veya nerede bulunduğum konusunda endişelenmem gerekmiyor. kazara iniş yapmak.

Herhangi bir fark yaratırsa Ubuntu 9.04 kullanıyoruz.

Mandos adlı Seçenek 1'in akıllı bir varyantını biliyorum.

Kök bölümünün anahtar parolasını güvenli bir şekilde almak için ilk RAM diskinize eklenen bir GPG anahtar çifti, Avahi, SSL ve IPv6'nın bir kombinasyonunu kullanır. Mandos sunucusu LAN'da yoksa, sunucunuz şifreli bir tuğlaysa veya Mandos sunucusu belirli bir süre boyunca Mandos istemci yazılımından bir kalp atışı görmediğinde, söz konusu anahtar çifti ve sunucu için gelecekteki istekleri dikkate almayacaktır bir dahaki sefere şifreli bir tuğla.

Mandos Ana Sayfası

Mandos README

Sadece teknik olmayan saldırganlara karşı korunmak istiyorsanız en iyi bahsin daha iyi fiziksel güvenlik olduğunu düşünüyorum.

Benim düşüncem şöyle:

Anahtar malzemeye girmek için insan etkileşimi gerektirmeyen bir önyükleme arıyorsanız, herhangi bir teknik beceriye sahip bir saldırgan tarafından gündelik hırsızlıktan bile güvenli olacak herhangi bir çözüm bulmayacaksınız (veya daha uygun şekilde, teknik becerilere sahip birine ödeme yapabilme).

Anahtar malzemeyi USB flash sürücü gibi bir şeye koymak gerçek bir güvenlik sağlamaz. Saldırgan, başparmak sürücüsünün anahtarını okuyabildi. Başparmak sürücüsü takıldığı bilgisayarın sunucu bilgisayar mı yoksa saldırganın dizüstü bilgisayarı mı olduğunu bilemez. Saldırganın yapması gereken tek şey, her şeyi aldıklarından emin olmaktır veya 15 metrelik bir USB extendo kablosunun ucundaki USB anahtarınızın kasanın içine sıkışmış olması durumunda, extendo kablosunu PC'sine takın ve okuyun anahtar.

Anahtarı ağ üzerinden aktaracaksanız, büyük olasılıkla "şifreleyeceksiniz". Saldırganın tek yapması gereken, anahtarlama işlemine kulak misafiri olmak, sunucuyu çalmak ve daha sonra anahtarı ağ üzerinden gönderdiğinizde yaptığınız "şifreleme" işlemlerini tersine mühendislik yapmaktır. Tanımı gereği, ağ üzerinden "şifreli" bir anahtar alan sunucu bilgisayar, onu kullanabilmek için bu anahtarın şifresini çözebilmelidir. Yani, aslında anahtarı şifrelemiyorsunuz - sadece kodluyorsunuz.

Sonuç olarak, anahtarı sunucuya girmek için (yapay?) Bir zekaya ihtiyacınız vardır. "Anahtarı sunucu bilgisayar dışında kimseye ifşa etmediğimi biliyorum ve çalınmamış olduğunu biliyorum." Bir insan bunu yapabilir. USB flash sürücü yapamaz. Eğer bunu yapabilen başka bir zeka bulursanız, pazarlanabilir bir şeyiniz olacağını düşünüyorum. > Gülümseme <

Büyük olasılıkla, herhangi bir güvenlik kazanmadan anahtarı kaybedip verilerinizi yok edeceğinizi düşünüyorum. Şifreleme oyunları ile stratejiniz yerine, daha güçlü fiziksel güvenliğe sahip olmanın daha iyi olduğunu düşünüyorum.

Düzenle:

Sanırım belki de "tehdit modeli" teriminin farklı tanımlarından çalışıyoruz.

Tehdit modeliniz donanım hırsızlığıysa, önerilen çözüm yeniden: disk şifreleme, gördüğüm gibi, tehdide karşı koymakla ilgili hiçbir şey yapmaz. Önerilen çözüm, donanım hırsızlığına değil, veri hırsızlığına karşı bir önlem gibi görünüyor.

Donanımın çalınmasını durdurmak istiyorsanız, cıvatalamanız, kilitlemeniz, betona gömmeniz vb.

Daha önce söylemek istediklerimi söyledim: Verilerin çalınması, bu yüzden şunu söylemek dışında bir daha harp etmeyeceğim: Anahtarı fiziksel bir cihaza koyacaksanız ve koruyamazsanız sunucu bilgisayarın çalınmasını ve anahtar cihazın çalınmasını önleyemezsiniz.

En iyi "ucuz" çözüm ağ tabanlı anahtar değişimi bir tür teçhiz etmektir sanırım. Bir yeniden başlatma durumunda anahtarın "serbest bırakılması" nın kimliğini doğrulamak için bir veya daha fazla insanı döngüye koyardım. İnsan anahtarı "serbest bırakana" kadar kesinti süresine neden olur, ancak en azından size neden önemli bir "serbest bırakma" talebinin bulunup bulunmadığını öğrenme ve bunu yapıp yapmamaya karar verme şansı verir.