Ngăn chặn hành vi trộm cắp dữ liệu trên các máy chủ được triển khai từ xa tiếp xúc với truy cập vật lý [đã đóng]

Tôi đang cố gắng nghĩ cách để bảo mật các máy chủ Linux tiếp xúc với truy cập vật lý. Nền tảng cụ thể của tôi là các máy chủ Linux có hệ số dạng nhỏ trên bo mạch chủ alix2d13 của PC Engines . Kích thước nhỏ thể hiện nguy cơ bị loại bỏ khỏi cơ sở bởi kẻ tấn công.

Giả sử có quyền truy cập vật lý vào máy chủ:

1) ROOT-PASSWORD: Bạn kết nối cáp điều khiển với máy chủ và bạn nhận được lời nhắc nhập mật khẩu. Nếu bạn không biết mật khẩu, bạn có thể khởi động lại máy ở chế độ một người dùng và đặt lại mật khẩu. Voilà, bạn có quyền truy cập root.

Để đảm bảo an toàn ở trên, bạn chèn mật khẩu trên menu GRUB để khi máy chủ được khởi động lại để vào chế độ người dùng, bạn phải cung cấp mật khẩu GRUB.

2) GRUB_PASSWORD. Nếu bạn tắt máy, lấy ổ cứng ra và gắn nó vào một máy trạm khác, bạn sẽ có thể duyệt /bootthư mục chứa tệp grub.cfg bên trong mà bạn có thể tìm thấy mật khẩu GRUB. Bạn có thể thay đổi mật khẩu GRUB hoặc xóa nó.

Rõ ràng khi chúng ta nói về các máy sản xuất lớn, rất có thể sẽ không có bất kỳ quyền truy cập vật lý nào và ngoài điều đó, ngay cả khi ai đó có quyền truy cập vật lý vào máy chủ, anh ta sẽ không tắt nó.

Các giải pháp khả thi để ngăn chặn hành vi trộm cắp dữ liệu trên các máy chủ dễ bị đánh cắp là gì?

Cách tôi nhìn thấy nó, bằng cách này hay cách khác truy cập vào dữ liệu có thể được lấy.

Quy tắc tôi luôn làm việc là một khi kẻ tấn công có quyền truy cập vật lý vào máy chủ của bạn, cuối cùng chúng có thể xâm nhập vào nó - trừ khi, như kasperd nói, bạn sử dụng mã hóa toàn bộ đĩa mạnh với mật khẩu khởi động và sẵn sàng ở đó để nhập nó mỗi khi chủ nhà khởi động.

Giải pháp tôi biết là mã hóa đĩa và sử dụng Mô-đun nền tảng đáng tin cậy TPM:

Theo cách này, bây giờ cách giải mã ổ cứng là:

Các ứng dụng mã hóa toàn bộ đĩa [...] có thể sử dụng công nghệ này [TPM] để bảo vệ các khóa được sử dụng để mã hóa ổ cứng của máy tính và cung cấp xác thực toàn vẹn cho đường dẫn khởi động đáng tin cậy (ví dụ: BIOS, boot sector, v.v.) Các sản phẩm mã hóa toàn bộ đĩa của bên thứ ba cũng hỗ trợ TPM. Tuy nhiên, TrueCrypt đã quyết định không sử dụng nó. - Wikipedia

Tất nhiên tôi có thể sai và TPM có thể dễ dàng bị bẻ khóa hoặc tôi có thể không biết các giải pháp khác.

Mã hóa toàn bộ đĩa là một ý tưởng tốt cho máy tính xách tay và máy chủ gia đình nhỏ.

Mã hóa toàn bộ đĩa không yêu cầu TPM. Và thậm chí một TPM không thể bảo vệ bạn trước một cuộc tấn công người giúp việc độc ác tinh vi . Vì vậy, để thực sự bảo vệ máy chủ Linux gia đình nhỏ của bạn (hoặc một trung tâm dữ liệu), bạn cần các biện pháp truy cập vật lý phù hợp khác.

Đối với trường hợp sử dụng tại nhà của bạn, có thể đủ để cài đặt một số phần cứng DIY sáng tạo:

1. cho phép bạn nhận ra bất kỳ sự xâm nhập vật lý nào khi bạn quay lại và
2. làm gián đoạn việc cung cấp năng lượng cho máy tính của bạn trong bất kỳ nỗ lực xâm nhập vật lý nào.

Đối với các nhà báo và người thổi còi đối mặt với một số công ty lớn hoặc các cơ quan chính phủ hùng mạnh vì kẻ thù của họ có lẽ vẫn chưa đủ an toàn. Ba cơ quan thư này có thể có các thiết bị pháp y cần thiết để cứu vãn văn bản rõ ràng khỏi RAM thậm chí vài phút sau khi tắt nguồn .

Đây là một giải pháp đơn giản: xây dựng lại kernel mà không cần chế độ một người dùng!

Nói một cách khéo léo hơn, hãy chỉnh sửa kernel linux mà bạn đang sử dụng để chế độ S được ánh xạ lại thành bất cứ chế độ mặc định nào của bạn là (3,4,5). Bằng cách đó, mọi nỗ lực khởi động vào chế độ một người dùng sẽ khởi động hệ thống bình thường. Bạn có thể có thể làm điều tương tự trong các tập lệnh init. Bằng cách đó, sẽ không có phương tiện đặc biệt nào để vào hệ thống mà không biết mật khẩu.

Đi qua và hỏi trên trang web Điện tử. Tôi khá chắc chắn rằng có các thiết kế SOC nhúng mã hóa mọi thứ và một khi bạn hợp nhất nó, thì "không thể" đối với kỹ sư đảo ngược.

Điều đó nói rằng, tôi đã có mặt tại một buổi thuyết trình DefCon nơi nhóm trình bày chính xác cách họ tách nó ra. Trong rất nhiều trường hợp, các chip không được hợp nhất hoặc thiết kế chip dại dột bao gồm một cổng gỡ lỗi không được kết nối. Trên các lớp khác, họ loại bỏ các lớp chip hóa học và đọc chip bằng quét kính hiển vi điện tử. Bạn sẽ không bao giờ được an toàn từ các tin tặc thực sự chuyên dụng.

Tôi muốn đưa ra một cách tiếp cận khác, nếu bạn sẵn sàng xem xét các biện pháp phòng ngừa phá hoại. Xem xét hàn một tụ điện công suất lớn vào hdd và ram của bạn, điều này khi phát hiện giả mạo (bạn quyết định phương pháp / cảm biến) sẽ xả dữ liệu phá hủy.

Điều này "ngăn chặn" truy cập theo nghĩa trống rỗng không ai có thể truy cập hệ thống sau đó. Vì vậy, nó trả lời nguyên văn câu hỏi, trong khi có thể hoàn toàn thiếu ý định của bạn.

Một tụ điện chỉ là một ví dụ. Các khả năng khác tồn tại. Vấn đề là sự phá hủy thời tiết của thiết bị (hoặc ít nhất là dữ liệu chứa trong đó) có thể chấp nhận được.

Giải pháp dựa trên bộ đếm thời gian cũng có thể - trừ khi thiết bị có thể ping về nhà cứ sau vài phút / giờ / ... nó tự hủy. Nhiều khả năng khác nhau cùng chủ đề này.

Một giải pháp tiềm năng sẽ là sử dụng mã hóa toàn bộ đĩa, đặt chìa khóa vào thẻ nhớ / thẻ nhớ USB và đặt máy tính vào hộp kim loại có một cửa duy nhất có công tắc mở, cùng với một số cảm biến môi trường.

Để khởi động thiết bị một khi bạn đặt ổ USB vào cổng (ở bên ngoài "vault") và nó sẽ đọc khóa FDE từ đó và khởi động hệ thống. Nếu "vault" được mở, công tắc mở sẽ thiết lập lại hệ thống, xóa khóa khỏi bộ nhớ.

Nếu môi trường cho phép, bạn có thể thêm nhiều cảm biến như nhiệt độ, gia tốc, độ ẩm, v.v ... Nếu phát hiện sự thay đổi đột ngột trong các giá trị được báo cáo, hệ thống sẽ đặt lại, vì vậy nếu một tên trộm chỉ cố lấy hệ thống và đặt nó trong túi của anh ta, nó sẽ được thiết lập lại trước khi anh ta ngắt kết nối nó khỏi tất cả các dây cáp của nó.