Saya sedang menyiapkan beberapa server Ubuntu baru, dan saya ingin mengamankan data mereka dari pencurian. Model ancaman adalah penyerang yang menginginkan perangkat keras atau penyerang yang naif yang menginginkan data.
Harap perhatikan bagian ini.
Model ancaman tidak termasuk penyerang pintar yang menginginkan data; Saya kira mereka akan melakukan satu atau lebih hal berikut ini:
Pisahkan UPS ke dalam kabel daya agar mesin terus beroperasi.
Masukkan sepasang penghubung Ethernet antara komputer dan titik terminasi jaringan yang akan menjembatani lalu lintas melalui jaringan nirkabel dengan jangkauan yang memadai sehingga tuan rumah akan menjaga konektivitas jaringan.
Buka kotak dan gunakan probe pada bus memori untuk mengambil hal-hal menarik.
Gunakan perangkat TEMPEST untuk menyelidiki apa yang dilakukan host.
Gunakan cara hukum (seperti perintah pengadilan) untuk memaksa saya mengungkapkan data
Dll
Jadi yang saya inginkan adalah memiliki beberapa, atau idealnya semua, data pada disk pada partisi terenkripsi, dengan bahan utama yang diperlukan untuk mengaksesnya di media eksternal dalam beberapa jenis. Dua metode yang dapat saya pikirkan untuk menyimpan materi utama adalah:
Simpan di host jarak jauh yang dapat diakses melalui jaringan, dan konfigurasikan cukup jaringan untuk mengambilnya selama proses boot. Pengambilan akan diizinkan hanya ke alamat IP yang ditetapkan untuk host yang diamankan (sehingga tidak memungkinkan akses ke data yang dienkripsi jika itu dibooting pada koneksi jaringan lain) dan dapat dinonaktifkan oleh administrator jika mesin ditemukan dicuri.
Simpan di perangkat penyimpanan USB yang dibuat dengan cara yang jauh lebih sulit untuk dicuri daripada host itu sendiri. Menempatkannya jauh dari tuan rumah, seperti pada ujung kabel USB lima meter yang mengarah ke sudut lain ruangan, atau bahkan ruangan lain, mungkin akan secara signifikan mengurangi kemungkinan penyerang mengambilnya. Mengamankannya dalam beberapa cara, seperti dengan merantai itu ke sesuatu yang tidak bergerak, atau bahkan memasukkannya ke dalam brankas, akan bekerja lebih baik.
Jadi apa saja pilihan saya untuk mengatur ini? Seperti yang saya katakan sebelumnya, saya lebih suka memiliki semuanya (selain dari mungkin partisi boot kecil yang tidak mengandung / etc) terenkripsi, sehingga saya tidak perlu khawatir tentang di mana saya meletakkan file, atau di mana mereka ' sedang tidak sengaja mendarat.
Kami menjalankan Ubuntu 9.04, jika ada bedanya.