Mã hóa toàn bộ đĩa với xác thực không cần mật khẩu trong Linux


16

Tôi có một thiết lập mã hóa đĩa khá chuẩn trong Debian 5.0.5: /bootphân vùng không được mã hóa và được mã hóa sdaX_cryptcó chứa tất cả các phân vùng khác.

Bây giờ, đây là một cài đặt máy chủ không đầu và tôi muốn có thể khởi động nó mà không cần bàn phím (ngay bây giờ tôi có thể khởi động nó chỉ với một bàn phím và một màn hình kèm theo).

Cho đến nay tôi có ý tưởng di chuyển /bootphân vùng vào ổ USB và sửa đổi một chút để tự động nhập khóa (tôi nghĩ chỉ có một cuộc gọi đến askpasstrong tập lệnh khởi động ở đâu đó). Bằng cách này tôi có thể khởi động không đầu, chỉ cần có ổ flash trong lúc khởi động.

Theo tôi thấy, vấn đề với nó là

  1. Tôi cần đầu tư thời gian để tìm ra tất cả các bit và miếng để làm cho nó hoạt động,
  2. Nếu có một bản cập nhật, nó sẽ tái tạo initrd, tôi cần tạo lại phân vùng khởi động trên USB, điều này có vẻ tẻ nhạt.

Câu hỏi: có một giải pháp bảo trì thấp tiêu chuẩn có sẵn cho những gì tôi muốn làm không? Hay tôi nên tìm nơi khác hoàn toàn?

Câu trả lời:


7

Bạn có thể thiết lập hệ thống của mình để yêu cầu khóa thay vì mật khẩu và thay đổi một số tập lệnh để tìm kiếm khóa này trên thẻ nhớ USB. Tôi đã tìm thấy một lời giải thích chi tiết cho quá trình này trên Debian Lenny. Cuối cùng, có một số lưu ý mô tả các thay đổi cần thiết cho các phiên bản Debian mới hơn.


Âm thanh như những gì tôi cần. Trước tiên tôi cần xem cần bao nhiêu nỗ lực để giữ mọi thứ hoạt động giữa các bản cập nhật trước khi tôi chấp nhận câu trả lời.
Alex B

OK, mặc dù không có giải pháp "chuẩn", nhưng điều này dường như đã có hiệu quả.
Alex B

5

Nhưng sau đó, điểm có mã hóa toàn bộ đĩa là gì, nếu bạn chỉ để các khóa nằm xung quanh trong bản rõ?

Để làm việc đó, bạn cần một cái gì đó giống như Nền tảng Điện toán đáng tin cậy được cho là trước khi Microsoft và Big Media chiếm quyền điều khiển cho mục đích khuất phục người dùng xấu xa của chính họ.

Ý tưởng là có một con chip giữ các khóa trong bo mạch chủ và nó chỉ cung cấp các khóa khi nó xác minh rằng phần mềm đang chạy đã được ký bởi một cơ quan đáng tin cậy (bạn). Bằng cách này, bạn không để các phím trong tầm nhìn rõ ràng và bạn không phải khởi động máy chủ một cách tương tác.

Thật đáng tiếc tôi chưa bao giờ thấy Tin học đáng tin cậy sử dụng tốt , điều này thực sự có thể hữu ích cho người dùng cuối .


Khóa này không còn được đặt xung quanh trong bản rõ hơn khóa SSH của bạn được đặt xung quanh trong bản rõ ~/.ssh. Tôi chỉ muốn có thể khởi động một máy chủ không đầu với mã hóa toàn bộ đĩa và lấy chìa khóa ra. Tôi nhận ra rằng kẻ tấn công có thể sửa đổi phân vùng khởi động không được mã hóa và đánh cắp khóa (giống như với phiên bản mật khẩu thông thường dựa trên phần mềm), nhưng tôi chỉ bảo vệ chống trộm thông thường.
Alex B

Trên thực tế, TPM đã quay trở lại từ DRM và chính phủ và các doanh nghiệp sử dụng gần đây. Có rất nhiều HĐH có thể sử dụng nó để lưu trữ các khóa bí mật, tôi không biết bất kỳ hệ điều hành nào cung cấp bảo vệ toàn vẹn (tức là không cho phép kẻ tấn công chèn keylogger vào /boot).
Gilles 'SO- ngừng trở thành ác quỷ'

@AlexB: Máy chủ của bạn có TPM không? Nếu vậy, có lẽ bạn có thể làm những gì bạn muốn với Trusted Grub .
Gilles 'SO- ngừng trở thành ác quỷ'

Lưu ý rằng có một lợi ích của việc để lại các khóa trong bản rõ, đó là bạn có thể xóa hoàn toàn dữ liệu nhạy cảm trên đĩa mà không cần xóa toàn bộ đĩa. Có, bạn có thể loại bỏ siêu khối hoặc bảng phân vùng, nhưng như chúng ta đều biết, dữ liệu vẫn có thể phục hồi được từ các hoạt động đó.
strugee

@strugee: nếu bạn đang sử dụng LUKS, việc bỏ tiêu đề LUKS làm cho toàn bộ âm lượng không thể phục hồi. Nếu bạn sử dụng dm-crypt tiêu đề đơn giản, thì có, nó vẫn có thể được phục hồi sau đó bằng mật khẩu.
Jay Sullivan

5

Mandos (mà tôi và những người khác đã viết) giải quyết vấn đề này:

Mandos là một hệ thống cho phép các máy chủ có hệ thống tệp gốc được mã hóa khởi động lại không cần giám sát và / hoặc từ xa. Xem trang hướng dẫn giới thiệu để biết thêm thông tin, bao gồm danh sách Câu hỏi thường gặp.

Nói tóm lại, máy chủ khởi động lấy mật khẩu qua mạng, một cách an toàn. Xem README để biết chi tiết.


1
Ngay cả khi phần mềm miễn phí này, tuyên bố rằng đây là sản phẩm của bạn sẽ được đánh giá cao nếu không thực sự cần thiết . Một liên kết README / FAQ dễ đọc hơn và một lời giải thích ngắn về cách Mandos hoạt động cũng sẽ được đánh giá cao.
Gilles 'SO- ngừng trở nên xấu xa'

1
@Gilles: Xong ngay.
Teddy
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.