Crittografia della home directory di un server in base alla disponibilità [duplicato]


0

Questa domanda ha già una risposta qui:

Disclaimer: sono un principiante con l'amministrazione del server.

Devo crittografare la directory home per un server Ubuntu?

Crittografare la directory home significa anche crittografare la cartella .ssh e quindi non essere in grado di accedervi tramite ssh se non accedo prima attraverso la console del server. Inoltre, significa non essere in grado di risolvere qualsiasi problema in remoto se il server viene in qualche modo riavviato.

La crittografia della home directory per un server ad alta disponibilità è una buona pratica? In tal caso, come devo affrontare il problema che ho citato?

Risposte:


1

La prima domanda che dovresti porre è "Quali dati vorrei crittografare nella mia home directory sul server?" . Se la risposta è "Non lo so" , allora non farlo.

Se vuoi davvero farlo, puoi cambiare la posizione dei authorized_keysfile in un'altra posizione sicura/etc/ssh/sshd_config , ad esempio come descritto nella mia altra risposta su AskUbuntu :

AuthorizedKeysFile /etc/ssh/%u/authorized_keys

Questo dovrebbe darti la possibilità di accedere al server, ma devi comunque inserire la password per decrittografare la home crittografata in seguito.

Inoltre è bene considerare un accesso fisico. Se hai qualche server cloud o macchina ospitata in qualche altro posto, la directory crittografata è inutile. Chiunque abbia accesso fisico a quella macchina può leggere la chiave di crittografia dalla memoria del server.


Aspetti positivi, avrei dovuto aggiungere: abbiamo alcuni certificati SSL memorizzati, che potrebbe essere un buon motivo per crittografarlo, suppongo. E abbiamo anche accesso fisico alla macchina (è il nostro cluster interno).
user3834459,

In questo caso, avrebbe senso farlo con questa modifica del percorso del authorized_keysfile.
Jakuje,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.