Fórum Root.cz

Hlavní témata => Server => Téma založeno: freex 31. 03. 2018, 15:00:20

Název: Web interface pro mount LUKS partitionů
Přispěvatel: freex 31. 03. 2018, 15:00:20
Mám doma linuxový server, který funguje i tak trochu jako NAS a současně vystavuje některé služby na Internet (např. nextcloud). Nedávno jsem do něj přikoupil dva disky a spojil je do RAID 1. Teď přemýšlím, že by nebylo špatné začít data šifrovat např. přes LUKS. Jenže počítač je doma a ne v serverovně, čili musím počítat i s možnými výpadky elektřiny. Předpokládám, že když se toto stane, je potřeba šifrované disky znovu připojit a zadat heslo. Existuje nějaký nástroj, který je bezpečné vystavit na Internet (narozdíl od SSH) a který by disky přes webové rozhraní po zadání hesla připojil? Umí toto běžně softwarová řešení pro NAS?
Název: Re:Web interface pro mount LUKS partitionů
Přispěvatel: Franta <xkucf03/> 31. 03. 2018, 16:26:22
SSH, ke kterému se jde přihlásit jen klíčem (případně hodně silným heslem), je řádově bezpečnější než běžná webová aplikace. I tu jde sice napsat bezpečně, ale většina z nich bude děravější než SSH ve výchozím nastavení.

Kvůli čemu vlastně šifruješ? Pokud ti jde třeba jen o možnost reklamace (https://blog.frantovo.cz/c/67/Reklamace%20disku%20a%C2%A0d%C5%AFv%C4%9Brn%C3%A1%20data%3F%20%C5%A0ifrujte%21), tak ulož klíč k diskům na flashku nebo jiný disk, a pak systém naběhne sám a sám odemkne disky. Pokud jde o krádež disků/počítače, tak tohle už nestačí. A je potřeba zadávat heslo vzdáleně – v tom případě bych šel cestou toho SSH.

Problém by byl, kdyby šlo o cílený útok – mohli by ti napadnout nešifrovaný boot/root tak, aby ukládal hesla nebo je někam posílal – ty by sis pak myslel, že jen vypadl proud a zadal bys heslo. Na obranu před takovým útokem už to musíš mít fyzicky zabezpečené, abys poznal, co se děje, a při podezření disky radši neodemykat a jít to zkontrolovat osobně (nebo naopak zmizet).
Název: Re:Web interface pro mount LUKS partitionů
Přispěvatel: freex 31. 03. 2018, 16:59:01
Šifrovat kvůli reklamaci mě vůbec nenapadlo, ale je to docela dobrý nápad. Když disk odejde, wipe tam už neudělám :-) Nicméně šifrovat chci především proto, aby data byla v bezpečí v momentě kdy někdo přijde a celý počítač si odnese. Když to bude zloděj, který ho nechá v první zastavárně, tak možná flashka s klíčem bude stačit. Ale kdo ví :-)

Nemám ambice šifrovat root partition a bránit se nějakému sofistikovnému útoku. Když mi útočník vyhodí jistič a pak bude laserem zkoumat vibrace okenní tabule, jistě se heslo snadno dozví :-) Nebo mi rozebere klávesnici a zapojí do ní keylogger...

Můžu vystavit SSH a schovat ho třeba za VPN. Věřím, že to bude nejbezpečnější varianta. Ale když budu někde na dovolené nebo prostě venku bez počítače, bude to hrozný opruz připojovat. Ne že by nešlo mít na mobilu VPN a SSH klienta, ale rozhodně to není tak pohodlné jako otevřít nějakou stránku a zadat tam heslo.
Název: Re:Web interface pro mount LUKS partitionů
Přispěvatel: freex 31. 03. 2018, 17:11:59
Možná by se dal najít nějaký SSH klient pro android, co umí rovnou interaktivně spustit remotní skript. Pak bych jen zadal heslo na SSH a heslo na LUKS.
Název: Re:Web interface pro mount LUKS partitionů
Přispěvatel: JardaP . 31. 03. 2018, 17:18:57
SSH s klici a zakazanym prihlasovanim pres heslo je hooodne bezpecne a VPN to tezko nejak zlepsi. Jediny opruz je s tim, ze kdyz clovek vystrci port 22 ven, tak tam take muze v logu mit nekolik tisicu pokusu o utok za den a kdo se v tom pak ma hrabat. Takze se dneska SSH hazi na nestandardni ctyrciselny port a vetsinou je tam pak ticho.
Název: Re:Web interface pro mount LUKS partitionů
Přispěvatel: freex 31. 03. 2018, 17:26:58
Přijde mi, že běžnější praxe je strkat to za VPN. Ale nejsem na tohle odborník.
Název: Re:Web interface pro mount LUKS partitionů
Přispěvatel: Franta <xkucf03/> 31. 03. 2018, 20:22:06
Když to bude zloděj, který ho nechá v první zastavárně, tak možná flashka s klíčem bude stačit. Ale kdo ví :-)

Tak ještě můžeš mít někde schované třeba RPi s baterkou a v něm to heslo. Zloděj ho buď nenajde nebo ho při bootu nepřipojí do stejné sítě… nebo bys tam mohl dát třeba senzor/spínač, aby RPi zjistilo, že s ním někdo manipuloval a pak přestalo vydávat heslo a naopak ho smazalo.
Název: Re:Web interface pro mount LUKS partitionů
Přispěvatel: Franta <xkucf03/> 31. 03. 2018, 20:41:43
Přijde mi, že běžnější praxe je strkat to za VPN. Ale nejsem na tohle odborník.

Navázat VPN je rozhodně větší opruz a můžeš mít i problém s kolizemi IP adres, když budeš mít víc VPN současně. Kdežto u těch portů nebo proxy si jen přidáš jeden řádek do ~/.ssh/config.

Ad proxy: to SSH můžeš schovat za nějakou HTTP(S) proxy (třeba Apache), a pak to projde i přes firewally, které by tě jinak na nestandardní port nepustily.
Název: Re:Web interface pro mount LUKS partitionů
Přispěvatel: JardaP . 31. 03. 2018, 20:52:14
Přijde mi, že běžnější praxe je strkat to za VPN. Ale nejsem na tohle odborník.

To si musite rozhodnout, jestli VPN je bezpecnejsi nez SSH. Me ale nenapadaji duvody, proc bych chtel mit SSH vecpane do VPN. SSH zrovna moc bezpecnostnimi problemy netrpi. Ne, ze by nikdy zadne nebyly, ale je to celkem rarita. Guugle pro "vpn exploit" vypada ponekud mene optimisticky: Pul melounu vysledku, derave Cisco, tamhle jeden, kde jde udelat MITM, Checkpoint ma 14 CVE....