Включение зашифрованной системы удаленно

11

Моя система полна очень конфиденциальных данных, поэтому мне нужно зашифровать их как можно больше.

У меня есть зашифрованная установка Debian, которая запрашивает длинный пароль каждый раз при загрузке. Есть ли простой способ настроить его так, чтобы я мог вводить этот пароль удаленно?

Если какой-то другой дистрибутив может это сделать, я не против установить что-то еще вместо Debian.

debian remote luks user2363676
источник
2
О каком типе атаки вы беспокоитесь? Подходит ли хранилище аппаратных ключей (где секретный ключ не может быть извлечен программным обеспечением, но любой, кто владеет этим оборудованием, может расшифровать ваш контент)? (Кстати, обратите внимание, что многие системы полнодискового шифрования разблокируют мастер-ключ при его использовании, а затем сохраняют этот ключ в ОЗУ - это означает, что любой пользователь с достаточными привилегиями может потенциально скопировать этот мастер-ключ из разблокированной системы, даже если он никогда не получите свой пароль, это место, где может быть безопаснее иметь фактическое дешифрование на аппаратном уровне).
Чарльз Даффи
@CharlesDuffy Основная проблема заключается в физической краже сервера (или его дисков), поэтому об аппаратном ключе не может быть и речи, поскольку он также может быть украден. Я специально установил парольную фразу файловой системы 40+ и пароль root более 20 символов (кто является единственным пользователем во всей системе), поэтому в большинстве случаев я должен быть в безопасности, верно?
user2363676
1
Удалены и украдены, или вы беспокоитесь о том, что злоумышленник получит физический доступ, пока оборудование еще включено? Если кто-то может подключить новые устройства к шине PCI, он может сделать копию физической памяти, чтобы они могли украсть ключ шифрования из работающей незаблокированной системы. (Они не могут украсть пароль, используемый для шифрования ключа, но если у вас есть сам ключ, это не имеет значения).
Чарльз Даффи
1
Еще один вектор атаки: кто-то может изменить последовательность загрузки, чтобы сделать копию пароля во время процесса расшифровки / разблокировки, перезагрузить компьютер, а затем подождать, пока вы войдете в систему и разблокируете ее (таким образом, добавленный код сохранит копию пароля вне диапазона) до кражи аппаратного обеспечения. Придумать всесторонние модели угроз (и смягчить их) иногда бывает сложно. (Я вижу, что madscientist159 уже указал на эту возможность).
Чарльз Даффи

Ответы:

16

Вы можете включить это, установив dropbear-initramfsи следуя инструкциям для настройки ключей SSH. Это запустит SSH-сервер из initramfs, что позволит вам удаленно подключиться и ввести вашу кодовую фразу шифрования.

Стивен Китт
источник
3
Имейте в виду, что любой, кто имеет физический доступ к компьютеру, может заменить ваши initramfs своей собственной вредоносной версией, извлечь свой закрытый ключ SSH для атаки MITM и другие различные виды злости. Как минимум, вам следует обратить внимание на TPM, если не на более продвинутую технологию безопасности, если есть вероятность, что злоумышленник получит физический доступ к коробке.
madscientist159
0

Если вы установили Debian на сервер Dell или HP - у Dell есть iDrac, а у HP - ILO, у обеих из них есть виртуальные консоли на основе Интернета, которые позволят вам взаимодействовать с машиной во время загрузки.

bk201
источник
Мой HP слишком стар, чтобы иметь МОТ, к сожалению, спасибо за предложение.
user2363676