Attivazione remota del sistema crittografato

11

Il mio sistema è pieno di dati molto sensibili, quindi devo crittografare il più possibile.

Ho un'installazione Debian crittografata che richiede ogni volta una password lunga durante l'avvio. Esiste un modo semplice per configurarlo in modo da poter inserire quella password da remoto?

Se qualche altra distribuzione può farlo, non mi dispiace installare qualcos'altro invece di Debian.

debian  remote  luks 
user2363676
fonte
2
Che tipo di vettore di attacco sei preoccupato? Un archivio di chiavi hardware (dove la chiave privata non può essere estratta dal software, ma chiunque possieda quel pezzo di hardware potrebbe decrittografare il contenuto) è appropriato? (A proposito, tieni presente che molti sistemi di crittografia dell'intero disco sbloccano una chiave master quando li attivi, quindi memorizzano quella chiave nella RAM, il che significa che chiunque abbia privilegi sufficienti può potenzialmente copiare quella chiave master dal sistema sbloccato, anche se non lo fanno mai ottenere la tua password; questo è un posto dove avere la decodifica effettiva nell'hardware può essere più sicuro).
Charles Duffy,
@CharlesDuffy La preoccupazione principale è che il server (oi suoi dischi) vengono fisicamente rubati, quindi la chiave hardware è fuori discussione, poiché può anche essere rubata. Ho impostato in modo specifico la passphrase di oltre 40 simboli e la password di 20+ simboli (chi è l'unico utente dell'intero sistema), quindi dovrei essere al sicuro nella maggior parte dei casi, giusto?
user2363676,
1
Rimosso e rubato o sei preoccupato che un utente malintenzionato ottenga l'accesso fisico mentre l'hardware è ancora acceso? Se qualcuno può collegare a caldo nuovi dispositivi sul bus PCI, può creare una copia della memoria fisica, in modo da poter rubare la chiave di crittografia da un sistema in esecuzione e sbloccato. (Non possono rubare la password utilizzata per crittografare la chiave, ma se hai la chiave stessa, è irrilevante).
Charles Duffy,
1
Un altro vettore di attacco è che qualcuno modifichi la sequenza di avvio per creare una copia della password durante il processo di decrittografia / sblocco, riavviare il computer e quindi attendere che tu acceda e sblocchi (lasciando così che il codice che ha aggiunto memorizzi una copia della password fuori banda) prima di rubare l'hardware. Arrivare con modelli di minaccia completi (e attenuarli) a volte diventa difficile. (Vedo che madscientist159 ha già sottolineato questa possibilità).
Charles Duffy,

Risposte:

16

Puoi abilitarlo installando dropbear-initramfse seguendo le istruzioni per configurare le tue chiavi SSH. Questo avvierà un server SSH da initramfs, permettendoti di connetterti da remoto e inserire la tua passphrase di crittografia.

Stephen Kitt
fonte
3
Tieni presente che chiunque abbia accesso fisico alla macchina può sostituire i tuoi initramfs con la propria versione dannosa, estrarre la tua chiave privata SSH per un attacco MITM e varie altre forme di cattiveria. Almeno dovresti guardare un TPM, se non una tecnologia di sicurezza più avanzata, se c'è qualche possibilità che il box acceda fisicamente a un attore malintenzionato.
madscientist159,
0

Se hai installato Debian su un server Dell o HP - Dell ha iDrac e HP ha ILO, entrambe hanno console virtuali basate sul Web che ti permetterebbero di interagire con la macchina durante l'avvio.

bk201
fonte
Purtroppo il mio HP è troppo vecchio per avere ILO, grazie per il suggerimento.
user2363676,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.