Fórum Root.cz
Hlavní témata => Server => Téma založeno: martimb 13. 10. 2021, 13:23:20
-
Zdravím,
na úvod upozorňuji, že jsem v Linuxech trochu laik, ale že zas nepotřebuji sáhodlouhé odpovědi, spíš nápady či tipy jak na to.
Mám malý domácí server s debianem a řeším že bych ho dal do hostingu.
Chtěl bych ale server a data na něm zašifrovat. Jde mi o to aby bylo i co nejméně vidět do systému, nejen do samotných dat. Problém je v tom, že se mi nechce tam běhat pokud ho třeba restartuju a je potřeba z konzole zadávat heslo.
Je nějaký způsob jak co nejvíce vše zašifrovat a přitom třeba vzdáleně po síti zadávat heslo ?
Čistě teoretický scénář: Předpokládejme, že budu mít bezpečnou síťovou cestu, kdy se mohu vzdáleně připojit.
Ale hrozí že by třeba železo mohl někdo odcizit. Nemůže s ním příliš manipulovat na místě ale následně by se mohl pokusit ho nějak prozkoumávat. Takže jde i o to, aby heslo nebo jeho hash po restartu nezůstalo v nějaké cache.
Děkuji Martin
-
Out of Band Management - ilo, idrac etc.
-
Ano, jde to, je to naprosto běžná věc. Úplně jednoduché řešení je takové, že se nastartuje jenom nejnutnější základ systému (a s ním i SSH) z nešifrovaného disku, vy se připojíte přes SSH, zadáte heslo a teprve tím se připojí disk šifrovaný disk s daty. Dost informací na jedné stránce najdete ve wiki ArchLinuxu: Data-at-rest encryption (https://wiki.archlinux.org/title/Data-at-rest_encryption) (neznamená to, že musíte použít Arch – jenom jejich wiki je skvělá a obsahuje spoustu informací). Nebo zkuste rovnou googlit „debian system encrypt“, najdete spoustu článků, které popisují krok za krokem, co je potřeba udělat.
Takže jde i o to, aby heslo nebo jeho hash po restartu nezůstalo v nějaké cache.
Ukládat hash hesla do cache by bylo k ničemu. A při restartu se paměť počítače smaže, takže heslo v žádné cache nezůstane.
-
Ještě se dá jednoduše přidat 2fázová ochrana OAuth, takže jen heslo k přístupu nestačí a je nutné použít i kód z mobilu (je třeba si udělat zálohu instalačního kódu při ukládání do telefonu).
-
Ještě se dá jednoduše přidat 2fázová ochrana OAuth, takže jen heslo k přístupu nestačí a je nutné použít i kód z mobilu (je třeba si udělat zálohu instalačního kódu při ukládání do telefonu).
To ale nijak nezvyšuje bezpečnost šifrovaných dat. Tím zabezpečíte přístup přes SSH nebo login, ale pokud má někdo přístup k fyzickému disku, prostě ho přimountuje do svého systému a je mu úplně jedno, co by dělal systém na tom disku, kdyby ho nabootoval.
-
Na debianu celkem dobre funguje integrace dropbear-initramfs. Pak se da k serveru pripojit a vzdalene "zadat" heslo.
Jeden z navodu je napr. na https://www.cyberciti.biz/security/how-to-unlock-luks-using-dropbear-ssh-keys-remotely-in-linux/
Je samozrejme potreba sledovat, co v tomhle specialnim shellu pri bootu spoustite. Porad se muze stat, ze vam nejaka dabelska ~pokojska~/uklizecka v datacentru vymeni obsah initramdisku a misto odemykaci utility tam bude najednou nastroj, ktery bude vase heslo posilat kamsi do cloudu.
-
Je samozrejme potreba sledovat, co v tomhle specialnim shellu pri bootu spoustite. Porad se muze stat, ze vam nejaka dabelska ~pokojska~/uklizecka v datacentru vymeni obsah initramdisku a misto odemykaci utility tam bude najednou nastroj, ktery bude vase heslo posilat kamsi do cloudu.
tak proto se sifruje i /boot ;-) u legacy by pak pokojska musela do grub stage 1 implementovat podporu site a keyloger, coz bude o nekolik radu koplikovanejsi nez upravit initrd... v pripade UEFI pak misto Grubu pouzit Sicherboot podepsanejma vlastnima klicema a ostatni klice z UEFI vyhazene a jen doufat ze pokojska neodpoji cmos bat ci nepreflashne bios ;-)
-
tak proto se sifruje i /boot ;-) u legacy by pak pokojska musela do grub stage 1 implementovat podporu site a keyloger
No moment, a jak zadá do toho grubu heslo vzdáleně tazatel? Přes management (ten nevím jak se backdooruje, ale slyšel jsem, že v nich bývají úplně neuvěřitelné díry) nebo z nějakého openwrt routříku co bude mít bokem po sériáku (ale ten backdoornout jde snadno).
v pripade UEFI pak misto Grubu pouzit Sicherboot podepsanejma vlastnima klicema a ostatni klice z UEFI vyhazene a jen doufat ze pokojska neodpoji cmos bat ci nepreflashne bios ;-)
Tak jako ideální by asi bylo tohle a natahovat klíč z firmwarového (ne na desce! to jde odsniffnout) TPM. Pak už by pokojská musela dělat útok na RAMky (MITM nebo coldboot). Ale nevím jak složité je to nastavit. Lennart o tom měl nedávno zápisek, kde sice psal úplné nesmysly okolo, ale technická část by snad mohla být dobře.
Jinak osobně se taky přimlouvám za instalaci dropbearu, integrace do initramfs by měla proběhnout možná dokonce automaticky (někde tomu musíš dát SSH klíče a na kernel commandline nastavit network= parametr).
-
KVM over IP.
-
Přes management (ten nevím jak se backdooruje, ale slyšel jsem, že v nich bývají úplně neuvěřitelné díry)
Což znamená získat od hostingu druhý síťový port, druhou veřejnou IP adresu nebo alespoň přesměrování portu… Pokud se objednává na počet U nebo rovnou celé racky, bude se řešit i management síť. Já jsem si ale pod dotazem představil takovou tu polici, kde směska nejrůznějších towerů, RPi, „set-top-boxů“ apod., a tam asi management port v ceně nebude.
Myslím, že s takovýmto zabezpečením bude nejsložitější na celé věci sehnat detailní plány jaderné elektrárny, které na ten server uložíte – aby tak silné zabezpečení mělo nějaký smysl ;-)