Şifreli sistemi uzaktan açma

11

Sistemim çok hassas verilerle dolu, bu yüzden mümkün olduğunca çoğunu şifrelemem gerekiyor.

Önyükleme sırasında her seferinde uzun bir şifre isteyen şifreli bir Debian kurulumum var. Bu şifreyi uzaktan girebilmem için kurmanın basit bir yolu var mı?

Başka bir dağıtım bunu yapabilirse, Debian yerine başka bir şey yüklemeyi umursamıyorum.

debian  remote  luks 
user2363676
kaynak
2
Ne tür bir saldırı vektörü hakkında endişeleniyorsun? Bir donanım anahtarı deposu (özel anahtarın yazılım tarafından çıkarılamadığı, ancak bu donanıma sahip olan herkes içeriğinizin şifresini çözebileceği yerlerde) uygun mu? (BTW, birçok tam disk şifreleme sisteminin devreye girdiğinizde bir ana anahtarın kilidini açtığını ve daha sonra bu anahtarı RAM'de sakladığını unutmayın - yani, yeterli ayrıcalıklara sahip olan herkes bu ana anahtarı kilitli olmayan sistemden kopyalasa bile kopyalayabilir şifrenizi asla almayın; bu, gerçek şifre çözme işleminin donanımda gerçekleşmesinin daha güvenli olabileceği bir yerdir).
Charles Duffy
@CharlesDuffy Ana sorun sunucu (veya diskleri) fiziksel olarak çalınmasıdır, bu nedenle çalınabileceği için donanım anahtarı söz konusu değildir. Özellikle 40+ sembol dosya sistemi parolasını ve 20+ sembol kök parolasını (tüm sistemdeki tek kullanıcı kim) ayarladım, bu yüzden çoğu durumda güvende olmalıyım, değil mi?
user2363676
1
Kaldırıldı ve çalındı, yoksa donanım açıkken bir saldırganın fiziksel erişim elde etmesinden endişe duyuyor musunuz? Birisi yeni aygıtları PCI veriyoluna takabilirse, fiziksel belleğin bir kopyasını oluşturabilir, böylece şifreleme anahtarını çalışan, kilidi açılmış bir sistemden çalabilir. (Anahtarı şifrelemek için kullanılan şifreyi çalamazlar, ancak anahtarın kendisi varsa, bu önemsizdir).
Charles Duffy
1
Başka bir saldırı vektörü, birisinin şifresini çözme / kilit açma işlemi sırasında parolanın bir kopyasını oluşturmak, makinenizi yeniden başlatmak ve ardından oturum açmanızı ve kilidini açmanızı (böylece ekledikleri kodun bir kopyasını saklamasına izin verecek şekilde) değiştirmesi içindir. şifresini bant dışı) unutmayın. Kapsamlı tehdit modelleri bulmak (ve bunlara karşı hafifletmek) bazen zorlaşır. (Madscientist159'un bu olasılığı zaten işaret ettiğini görüyorum).
Charles Duffy

Yanıtlar:

16

SSH anahtarlarınızı yapılandırmak için talimatları yükleyerek dropbear-initramfsve uygulayarak bunu etkinleştirebilirsiniz . Bu, initramfs'den bir SSH sunucusu başlatarak uzaktan bağlanmanıza ve şifreleme parolanızı girmenize olanak tanır.

Stephen Kitt
kaynak
3
Makineye fiziksel erişimi olan herkesin initramf'lerinizi kendi kötü amaçlı sürümleriyle değiştirebileceğini, bir MITM saldırısı için SSH özel anahtarınızı ve diğer çeşitli nastiness biçimlerini çıkarabileceğini unutmayın. Kutunun kötü niyetli bir aktör tarafından fiziksel olarak erişilme şansı varsa, daha gelişmiş bir güvenlik teknolojisi değilse, en azından bir TPM'ye bakmalısınız.
madscientist159
1

Debian'ı bir Dell veya HP sunucusuna kurduysanız - Dell'de iDrac ve HP'de ILO vardır, her ikisinde de önyükleme sırasında makineyle etkileşime girmenizi sağlayan web tabanlı sanal konsollar vardır.

bk201
kaynak
HP'm ne yazık ki ILO'ya sahip olamayacak kadar yaşlı, ancak öneri için teşekkürler.
user2363676
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.