Linux'ta şifresiz kimlik doğrulama ile tam disk şifreleme


16

Debian 5.0.5'te oldukça standart bir disk şifreleme kurulumu var: şifrelenmemiş /bootbölüm ve sdaX_cryptdiğer tüm bölümleri içeren şifreli .

Şimdi, bu başsız bir sunucu kurulumu ve klavye olmadan önyükleme yapmak istiyorum (şu anda sadece bir klavye ve bir monitör takılıyken önyükleyebilirim).

Şimdiye kadar /bootbölümü bir USB sürücüsüne taşıma ve anahtarı otomatik girmek için küçük değişiklikler yapma fikrim var ( askpassönyükleme komut dosyasında bir yerde sadece bir çağrı olduğunu düşünüyorum ). Bu şekilde başsız önyükleme yapabilirim, sadece önyükleme sırasında bir flash sürücüye ihtiyacım var.

Gördüğüm gibi, sorun şu ki

  1. Çalışması için tüm parçaları ve parçaları bulmaya zaman ayırmam gerekiyor,
  2. Yenilenen bir güncelleme varsa, initrdUSB'deki önyükleme bölümünü yeniden oluşturmam gerekiyor, bu da sıkıcı görünüyor.

Soru: Yapmak istediğim şey için standart bir düşük bakım çözümü var mı? Yoksa başka bir yere mi bakmalıyım?

Yanıtlar:


7

Sisteminizi şifre yerine bir anahtar gerektirecek şekilde ayarlayabilir ve bu anahtarı bir USB çubuğunda aramak için bazı komut dosyalarını değiştirebilirsiniz. Bu süreç için Debian Lenny hakkında ayrıntılı bir açıklama buldum . Sonunda Debian'ın yeni sürümleri için gerekli değişiklikleri açıklayan bazı notlar var.


Kulağa ihtiyacım var gibi geliyor. Cevabı kabul etmeden önce her şeyin güncellemeler arasında çalışmaya devam etmesinin ne kadar çaba sarfettiğini görmem gerekiyor.
Alex B

Tamam, "standart" bir çözüm olmasa da, bu işe yaramış gibi görünüyor.
Alex B

5

Ancak, anahtarları düz metin halinde bırakıyorsanız tam disk şifrelemesine sahip olmanın anlamı nedir?

Bunun çalışması için, Microsoft ve Big Media kendi kötü kullanıcı bastırıcı amaçları için ele geçirmeden önce Güvenilir Bilgi İşlem Platformunun olması gerektiği gibi bir şeye ihtiyacınız olacaktır.

Fikir, anakarttaki anahtarları tutan bir çipe sahip olmak ve anahtarları sadece çalışan yazılımın güvenilir bir otorite (siz) tarafından doğru bir şekilde imzalandığını doğruladığında vermek. Bu şekilde anahtarları açıkta bırakmazsınız ve sunucuyu etkileşimli olarak önyüklemeniz gerekmez.

Güvenilir Hesaplamanın herhangi bir şekilde kullanıldığını hiç görmediğim üzücü , ki bu son kullanıcı için faydalı olabilir .


Anahtar, düz metin olarak yerleştirilen SSH anahtarınızdan daha fazla düz metin olarak yerleştirilmemektedir ~/.ssh. Sadece tam disk şifreleme ile başsız bir sunucu önyükleme ve anahtarı almak istiyorum. Saldırganın şifrelenmemiş önyükleme bölümünü değiştirebileceğini ve anahtarı çalabileceğini anlıyorum (yine de yazılım tabanlı normal bir şifre sürümünde olduğu gibi), ama sadece gündelik hırsızlığa karşı koruyorum.
Alex B

Aslında TPM, DRM'den ve son zamanlarda hükümet ve işletmelerin kullanımına geri döndü. Gizli anahtarları saklamak için kullanabileceğiniz birçok işletim sistemi var, bütünlük koruması sunan herhangi bir şey bilmiyorum (yani bir saldırganın bir keylogger eklemesine izin vermiyor /boot).
Gilles 'SO- kötü olmayı bırak'

@AlexB: Sunucunuzda bir TPM var mı? Öyleyse, Güvenilen Grub ile muhtemelen istediğinizi yapabilirsiniz .
Gilles 'SO- kötü olmayı bırak'

Anahtarları düz metin olarak bırakmanın bir faydası olduğunu unutmayın; bu, tüm diski sıfırlamadan bir diskteki hassas verileri tamamen silebilirsiniz. Evet, süper bloğu veya bölüm tablosunu sıfırlayabilirsiniz, ancak hepimizin bildiği gibi, veriler yine de bu işlemlerden kurtarılabilir.
strugee

@strugee: LUKS kullanıyorsanız, LUKS üstbilgisini sıfırlamak tüm birimi kurtarılamaz yapar. Düz üstbilgisiz dm-crypt kullanıyorsanız, o zaman evet, daha sonra bir parola ile kurtarılabilir.
Jay Sullivan

5

Mandos (ben ve diğerlerinin yazdığı) bu sorunu çözer:

Mandos, şifrelenmiş kök dosya sistemlerine sahip sunucuların katılımsız ve / veya uzaktan yeniden başlatılmasına izin veren bir sistemdir. SSS listesi de dahil olmak üzere daha fazla bilgi için giriş kılavuz sayfasına bakınız .

Kısacası, önyükleme sunucusu şifreyi ağ üzerinden güvenli bir şekilde alır. Ayrıntılar için README'ye bakın.


1
Bu özgür yazılım olsa bile, bunun sizin ürününüz olduğunu belirtmek, gerçekten gerekli değilse takdir edilecektir . Daha okunabilir bir README / SSS bağlantısı ve Mandos'un nasıl çalıştığına dair kısa bir açıklama da takdir edilecektir.
Gilles 'SO- kötü olmayı kes'

1
@Gilles: Şimdi bitti.
Teddy
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.