Boot otomatis dan Mengamankan Server Linux dengan Sistem File Terenkripsi

Saya sedang menyiapkan beberapa server Ubuntu baru, dan saya ingin mengamankan data mereka dari pencurian. Model ancaman adalah penyerang yang menginginkan perangkat keras atau penyerang yang naif yang menginginkan data.

Harap perhatikan bagian ini.

Model ancaman tidak termasuk penyerang pintar yang menginginkan data; Saya kira mereka akan melakukan satu atau lebih hal berikut ini:

1. Pisahkan UPS ke dalam kabel daya agar mesin terus beroperasi.

2. Masukkan sepasang penghubung Ethernet antara komputer dan titik terminasi jaringan yang akan menjembatani lalu lintas melalui jaringan nirkabel dengan jangkauan yang memadai sehingga tuan rumah akan menjaga konektivitas jaringan.

3. Buka kotak dan gunakan probe pada bus memori untuk mengambil hal-hal menarik.

4. Gunakan perangkat TEMPEST untuk menyelidiki apa yang dilakukan host.

5. Gunakan cara hukum (seperti perintah pengadilan) untuk memaksa saya mengungkapkan data

6. Dll

Jadi yang saya inginkan adalah memiliki beberapa, atau idealnya semua, data pada disk pada partisi terenkripsi, dengan bahan utama yang diperlukan untuk mengaksesnya di media eksternal dalam beberapa jenis. Dua metode yang dapat saya pikirkan untuk menyimpan materi utama adalah:

1. Simpan di host jarak jauh yang dapat diakses melalui jaringan, dan konfigurasikan cukup jaringan untuk mengambilnya selama proses boot. Pengambilan akan diizinkan hanya ke alamat IP yang ditetapkan untuk host yang diamankan (sehingga tidak memungkinkan akses ke data yang dienkripsi jika itu dibooting pada koneksi jaringan lain) dan dapat dinonaktifkan oleh administrator jika mesin ditemukan dicuri.

2. Simpan di perangkat penyimpanan USB yang dibuat dengan cara yang jauh lebih sulit untuk dicuri daripada host itu sendiri. Menempatkannya jauh dari tuan rumah, seperti pada ujung kabel USB lima meter yang mengarah ke sudut lain ruangan, atau bahkan ruangan lain, mungkin akan secara signifikan mengurangi kemungkinan penyerang mengambilnya. Mengamankannya dalam beberapa cara, seperti dengan merantai itu ke sesuatu yang tidak bergerak, atau bahkan memasukkannya ke dalam brankas, akan bekerja lebih baik.

Jadi apa saja pilihan saya untuk mengatur ini? Seperti yang saya katakan sebelumnya, saya lebih suka memiliki semuanya (selain dari mungkin partisi boot kecil yang tidak mengandung / etc) terenkripsi, sehingga saya tidak perlu khawatir tentang di mana saya meletakkan file, atau di mana mereka ' sedang tidak sengaja mendarat.

Kami menjalankan Ubuntu 9.04, jika ada bedanya.

Saya tahu varian pintar Opsi 1 yang disebut Mandos.

Ini menggunakan kombinasi pasangan kunci GPG, Avahi, SSL dan IPv6 yang semuanya ditambahkan ke disk RAM awal Anda untuk mengambil kata sandi kunci partisi root dengan aman. Jika server Mandos tidak ada pada LAN, server Anda adalah batu bata terenkripsi atau server Mandos belum melihat detak jantung dari perangkat lunak klien Mandos untuk jangka waktu tertentu, itu akan mengabaikan permintaan di masa depan untuk pasangan kunci dan server adalah batu bata yang dienkripsi waktu berikutnya ia boot.

Beranda Mandos

Mandos README

Jika Anda hanya ingin melindungi dari penyerang non-teknis saya pikir taruhan terbaik Anda adalah keamanan fisik yang lebih baik.

Jadi pemikiran saya adalah:

Jika Anda mencari sepatu yang tidak memerlukan interaksi manusia untuk memasukkan materi utama, maka Anda tidak akan menemukan solusi apa pun yang akan aman dari pencurian biasa oleh seorang guru yang memiliki keterampilan teknis (atau, lebih tepatnya, kemampuan membayar seseorang dengan keterampilan teknis).

Menempatkan material kunci dalam sesuatu seperti USB-drive tidak akan menawarkan keamanan nyata. Penyerang hanya bisa membaca kunci dari thumb drive. Drive jempol tidak dapat mengetahui apakah komputer yang dicolokkan adalah komputer server atau laptop penyerang. Yang harus dilakukan oleh penyerang adalah memastikan mereka mengambil semuanya, atau dalam hal kunci USB Anda di ujung kabel ekstensi USB sepanjang 15 kaki yang terjebak di dalam brankas, cukup sambungkan kabel ekstensi ke PC mereka dan baca kunci.

Jika Anda akan mentransfer kunci melalui jaringan Anda mungkin akan "mengenkripsi" itu. Yang harus dilakukan penyerang adalah menguping pada proses penguncian, mencuri server, dan kemudian merekayasa-balik "enkripsi" apa pun yang Anda lakukan saat mengirim kunci di jaringan. Menurut definisi, komputer server yang menerima kunci "terenkripsi" dari seluruh jaringan harus dapat "mendekripsi" kunci itu untuk menggunakannya. Jadi, sungguh, Anda tidak mengenkripsi kunci - Anda hanya menyandikannya.

Pada akhirnya, Anda memerlukan intelijen (buatan?) Yang ada untuk memasukkan kunci ke server. Yang bisa mengatakan "Saya tahu bahwa saya tidak membocorkan kunci kepada siapa pun kecuali komputer server, dan saya tahu bahwa itu belum dicuri." Manusia dapat melakukan ini. USB thumb drive tidak bisa. Jika Anda menemukan kecerdasan lain yang dapat melakukannya maka saya pikir Anda akan memiliki sesuatu yang dapat dipasarkan. > tersenyum <

Kemungkinan besar, saya pikir, Anda akan kehilangan kunci dan menghancurkan data Anda tanpa mendapatkan keamanan apa pun. Sebagai pengganti strategi Anda dengan permainan enkripsi, saya pikir Anda lebih baik memiliki keamanan fisik yang lebih kuat.

Edit:

Saya pikir kita sedang bekerja dari definisi yang berbeda dari istilah "model ancaman", mungkin.

Jika model ancaman Anda adalah pencurian perangkat keras, maka solusi yang Anda usulkan adalah: enkripsi disk, seperti yang saya lihat, tidak melakukan apa pun untuk menangkal ancaman. Solusi yang Anda usulkan terlihat seperti tindakan balasan terhadap pencurian data, bukan pencurian perangkat keras.

Jika Anda ingin menghentikan perangkat keras dari dicuri, Anda harus membautnya, mengunci, membungkusnya dengan beton, dll.

Saya sudah mengatakan apa yang ingin saya katakan: pencurian data, jadi saya tidak akan memainkannya lagi, kecuali untuk mengatakan: Jika Anda akan memasukkan kunci ke perangkat fisik dan Anda tidak dapat melindungi komputer server dari dicuri maka Anda tidak dapat melindungi perangkat kunci dari dicuri juga.

Saya kira solusi "murah" terbaik Anda adalah memasang beberapa pertukaran kunci berbasis jaringan. Saya akan menempatkan satu atau lebih manusia di loop untuk mengotentikasi "rilis" kunci jika terjadi reboot. Ini akan menyebabkan downtime sampai manusia "melepaskan" kunci, tetapi setidaknya itu akan memberi Anda kesempatan untuk mencari tahu mengapa "pelepasan" kunci diminta dan memutuskan apakah akan melakukannya atau tidak.