Вопросы Теги

Подходы для шифрования диска сервера Linux

  • Вот простой путь:

    ls /tmp/test | grep -v to_be_kept | xargs rm -r

  • Если Вы хотите удалить скрытый также:

    ls -a /tmp/test | grep -v to_be_kept | xargs rm -r

Всегда тестируйте вывод сначала!

Попробуйте их сначала без | xargs rm -r часть! Если Вы получаете список файлов и каталоги, Вы хотели удалить Вас, может также применяться...

7
задан 25 January 2012 в 22:21
2 ответа

Чтобы понять, как лучше всего решить вашу проблему, вы нужно прояснить, чего вы пытаетесь достичь. Другими словами, какова ваша модель угроз? Кто ваш нападающий? Вы упомянули, что для обхода шифрования потребуется «взять машину в действии» (под этим, я полагаю, вы имеете в виду ее взлом), но это наиболее вероятный сценарий для размещенного в одном месте сервера. Шифрование диска в основном используется в случае физической кражи.

Вам также необходимо учитывать, какие данные вы защищаете. Вы упомянули «полное шифрование диска», но требуется ли для этого шифрование, например / usr? Если вы используете стандартный дистрибутив, там ничего интересного. Не зная больше о том, что сервер будет содержать это » Трудно дать рекомендацию.

Но чтобы дать более конкретное предложение, рассмотрим следующий гипотетический сервер. Он содержит следующее:

  • Простой веб-сайт, показывающий некоторые продукты
  • Базовое приложение для заказа CRUD, написанное на Rails / Django / что угодно
  • База данных Postgres для информации о клиентах и ​​заказах

Из этих компонентов только база данных действительно нуждается в защите, поэтому вот как я подхожу к этому:

  • Оставьте большую часть машины незашифрованной (но сделайте как можно большую часть FS доступной только для чтения)
  • Создайте отдельный раздел для базы данных и зашифруйте это с надежным паролем с использованием любой доступной системы шифрования Linux (ecryptfs и т. д.).
  • После каждой перезагрузки войдите в систему и смонтируйте раздел с ключом, который хранится в другом месте.
  • При перезагрузке сервер будет предупреждать me

Вы упоминаете TPM, а TPM - нет t поможет вам в ряде случаев, например, если злоумышленник получает права администратора. TrueCrypt отклонил поддержку TPM по этой причине.

4
ответ дан 2 December 2019 в 23:38

Вы также можете использовать TPM с dm-crypt :
https://github.com/shpedoikal/tpm-luks
http: // code .google.com / p / cryptsetup / wiki / FrequencyAskedQuestions # 2._Setup

Небольшой SSH-сервер, интегрированный с виртуальным диском initrd, позволяет удаленно вводить пароль для разблокировки диска.

] Обратите внимание, что ни одно из вышеупомянутых решений не защищает должным образом от опытного злоумышленника, имеющего физический доступ к серверу.

3
ответ дан 2 December 2019 в 23:38

Теги

Похожие вопросы