Bật hệ thống mã hóa từ xa

11

Hệ thống của tôi chứa đầy dữ liệu rất nhạy cảm, vì vậy tôi cần mã hóa càng nhiều dữ liệu càng tốt.

Tôi có một bản cài đặt Debian được mã hóa yêu cầu mật khẩu dài mỗi lần khởi động. Có cách nào đơn giản để thiết lập nó để tôi có thể nhập mật khẩu đó từ xa không?

Nếu một số bản phân phối khác có thể làm điều đó, tôi không ngại cài đặt một cái gì đó khác thay vì Debian.

debian  remote  luks 
người dùng2363676
nguồn
2
Những loại vector tấn công mà bạn lo lắng? Là một kho lưu trữ khóa phần cứng (nơi mà khóa riêng không thể được trích xuất bằng phần mềm, nhưng bất kỳ ai sở hữu phần cứng đó đều có thể giải mã nội dung của bạn) có phù hợp không? . Sẽ không bao giờ có được mật khẩu của bạn, đây là nơi giải mã thực sự xảy ra trong phần cứng có thể an toàn hơn).
Charles Duffy
@CharlesDuffy Mối quan tâm chính là máy chủ (hoặc đĩa của nó) bị đánh cắp về mặt vật lý, vì vậy khóa phần cứng không còn nữa, vì nó cũng có thể bị đánh cắp. Tôi đặc biệt đặt mật khẩu hệ thống tệp biểu tượng 40+ và mật khẩu gốc biểu tượng 20+ (ai là người dùng duy nhất trong toàn hệ thống), vì vậy tôi nên an toàn trong hầu hết các trường hợp, phải không?
user2363676
1
Bị xóa và bị đánh cắp, hoặc bạn lo lắng về việc kẻ tấn công có quyền truy cập vật lý trong khi phần cứng vẫn được cấp nguồn? Nếu ai đó có thể cắm các thiết bị mới lên bus PCI, họ có thể tạo một bản sao của bộ nhớ vật lý, để họ có thể đánh cắp khóa mã hóa khỏi hệ thống đang chạy, đã mở khóa. (Họ không thể đánh cắp mật khẩu được sử dụng để mã hóa khóa, nhưng nếu bạn có chính khóa đó, điều đó không liên quan).
Charles Duffy
1
Một vectơ tấn công khác là để ai đó sửa đổi trình tự khởi động để tạo một bản sao mật khẩu trong quá trình giải mã / mở khóa, khởi động lại máy của bạn và sau đó chờ bạn đăng nhập và mở khóa (do đó hãy để mã họ thêm vào lưu trữ bản sao của mật khẩu ngoài băng tần) trước khi đánh cắp phần cứng. Đôi khi đến với các mô hình mối đe dọa toàn diện (và giảm nhẹ chống lại chúng) đôi khi trở nên khó khăn. (Tôi thấy madscientist159 đã chỉ ra khả năng đó).
Charles Duffy

Câu trả lời:

16

Bạn có thể kích hoạt tính năng này bằng cách cài đặt dropbear-initramfsvà làm theo hướng dẫn để định cấu hình các khóa SSH của mình. Điều này sẽ khởi động máy chủ SSH từ initramfs, cho phép bạn kết nối từ xa và nhập cụm mật khẩu mã hóa.

Stephen Kitt
nguồn
3
Xin lưu ý rằng bất kỳ ai có quyền truy cập vật lý vào máy đều có thể thay thế initramfs của bạn bằng phiên bản độc hại của riêng họ, trích xuất khóa riêng SSH của bạn để tấn công MITM và nhiều hình thức khó chịu khác. Tối thiểu bạn nên xem xét một TPM, nếu không phải là công nghệ bảo mật tiên tiến hơn, nếu có bất kỳ cơ hội nào hộp được truy cập vật lý bởi một diễn viên độc hại.
madscientist159
0

Nếu bạn đã cài đặt Debian trên máy chủ Dell hoặc HP - Dell có iDrac và HP có ILO, cả hai đều có bảng điều khiển ảo dựa trên web cho phép bạn tương tác với máy trong khi khởi động.

bk201
nguồn
HP của tôi quá cũ để không may ILO, cảm ơn vì đã gợi ý.
user2363676
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.