एक एन्क्रिप्टेड फ़ाइल सिस्टम के साथ एक लिनक्स सर्वर को ऑटो बूटिंग और सुरक्षित करना

16

मैं कुछ नए उबंटू सर्वर स्थापित कर रहा हूं, और मैं चोरी के खिलाफ उन पर डेटा सुरक्षित करना चाहूंगा। खतरा मॉडल हमलावर है जो हार्डवेयर की इच्छा रखते हैं या बल्कि भोले हमलावर डेटा की इच्छा रखते हैं।

कृपया इस अनुभाग पर ध्यान दें।

खतरे के मॉडल में स्मार्ट हमलावरों के डेटा शामिल नहीं हैं; मुझे लगता है कि वे निम्नलिखित में से एक या अधिक काम करेंगे:

  1. मशीन को लगातार चालू रखने के लिए यूपीएस को पावर केबल में विभाजित करें।

  2. कंप्यूटर और नेटवर्क समाप्ति बिंदु के बीच ईथरनेट पुलों की एक जोड़ी डालें जो पर्याप्त रेंज के एक वायरलेस नेटवर्क पर ट्रैफ़िक को पाट देगा जिससे होस्ट नेटवर्क कनेक्टिविटी बनाए रखेगा।

  3. बॉक्स खोलें और दिलचस्प सामान को हथियाने के लिए मेमोरी बस पर एक जांच का उपयोग करें।

  4. होस्ट क्या कर रहा है, इसकी जांच करने के लिए TEMPEST उपकरणों का उपयोग करें।

  5. डेटा का खुलासा करने के लिए मुझे मजबूर करने के लिए कानूनी साधनों (जैसे अदालत के आदेश) का उपयोग करें

  6. आदि आदि।

तो मैं जो चाहता हूं, वह है एक एन्क्रिप्टेड पार्टीशन पर डिस्क पर मौजूद डेटा का कुछ, या आदर्श रूप से सभी, किसी न किसी तरह की बाहरी मीडिया पर इसे एक्सेस करने के लिए आवश्यक सामग्री। मुख्य सामग्री के भंडारण के लिए मैं दो तरीके सोच सकता हूं:

  1. इसे नेटवर्क के माध्यम से सुलभ रिमोट होस्ट पर संग्रहीत करें, और बूट प्रक्रिया के दौरान इसे पुनः प्राप्त करने के लिए नेटवर्क के लिए पर्याप्त कॉन्फ़िगर करें। पुनर्प्राप्ति को केवल सुरक्षित होस्ट को असाइन किए गए आईपी पते की अनुमति दी जाएगी (इस प्रकार एन्क्रिप्टेड डेटा तक पहुंच की अनुमति नहीं है अगर इसे किसी अन्य नेटवर्क कनेक्शन पर बूट किया गया था) और प्रशासकों द्वारा अक्षम किया जा सकता है यदि मशीन चोरी हो गई थी।

  2. इसे USB स्टोरेज डिवाइस पर स्टोर करें जो किसी तरह से होस्ट की तुलना में चोरी करने के लिए काफी कठिन है। होस्ट से इसे दूरस्थ रूप से पता लगाना, जैसे कि पांच मीटर की यूएसबी केबल के अंत में, जो कमरे के किसी दूसरे कोने या किसी अन्य कमरे में जाती है, संभवतः हमलावरों के इसे लेने की संभावना में काफी कमी आएगी। इसे किसी तरह से सुरक्षित करना, जैसे कि इसे किसी इमोबाइल का पीछा करना, या यहां तक ​​कि इसे एक सुरक्षित स्थान पर रखना, और भी बेहतर काम करेगा।

तो इसे स्थापित करने के लिए मेरे पास क्या विकल्प हैं? जैसा कि मैंने पहले कहा था, मैं सब कुछ करना पसंद करूँगा (शायद एक छोटे बूट विभाजन से (जिसमें / आदि शामिल नहीं है) एन्क्रिप्ट किया गया है, ताकि मुझे इस बात की चिंता न हो कि मैं फ़ाइलों को कहाँ रख रहा हूँ, या वे कहाँ हैं ' गलती से उतरना।

हम Ubuntu 9.04 चला रहे हैं, अगर इससे कोई फ़र्क पड़ता है।

security  encrypting-file-system  boot 
कर्ट जे। सैम्पसन
स्रोत
1
क्या आपका धमकी मॉडल उस पर तीन अक्षरों के साथ वर्दी पहनता है? :)
स्वेन
वे वर्दी नहीं पहनते हैं। :-) लेकिन गंभीरता से, नहीं; किसी भी सरकारी एजेंसी, गुप्त या नहीं, हार्डवेयर के सभी को लेने के लिए पर्याप्त स्मार्ट होने की संभावना है, न कि वे क्या जल्दी से हड़प सकते हैं।
कर्ट जे। सैम्पसन
1
आपका प्रश्न स्वयं विरोधाभासी लगता है। पहले आप कहते हैं कि "मैं उन पर चोरी के खिलाफ डेटा सुरक्षित करना चाहूंगा", फिर आप कहते हैं कि "स्मार्ट हमलावर डेटा को शामिल नहीं करते हैं"। आपको डेटा की परवाह है या नहीं?
ज़ॉडेचे जूल 2'09
1
मुझे इसकी परवाह है हाँ। यदि आप एक समान लागत के लिए, यह स्मार्ट हमलावरों के साथ-साथ गूंगा लोगों के खिलाफ सुरक्षित कर सकते हैं, महान, मैं ऐसा करूँगा। यदि नहीं, तो कम से कम मैं उस स्थिति से बचता हूं, जहां कोई रीसायकल की दुकान पर इस्तेमाल की गई गाड़ी खरीदता है और उस पर मेरे सभी ग्राहकों का डेटा पता करता है।
कर्ट जे। सैम्पसन
+1 वास्तव में खतरे के मॉडल के माध्यम से सोचने के लिए, एक समान प्रश्न वाले कई लोग करना भूल जाते हैं।
10:52

जवाबों:

8

मैं विकल्प 1 के एक चतुर संस्करण को जानता हूं जिसे मैंडोस कहा जाता है।

यह एक GPG कुंजी जोड़ी, Avahi, SSL और IPv6 के संयोजन का उपयोग करता है, जो आपके रूट विभाजन की कुंजी पासवर्ड को सुरक्षित रूप से प्राप्त करने के लिए आपकी प्रारंभिक रैम डिस्क में जोड़ा जाता है। यदि Mandos सर्वर LAN पर मौजूद नहीं है, तो आपका सर्वर एक एन्क्रिप्टेड ईंट है या Mandos सर्वर ने कुछ समय के लिए Mandos क्लाइंट सॉफ़्टवेयर से कोई दिल की धड़कन नहीं देखी है, यह उस प्रमुख जोड़ी और सर्वर के लिए भविष्य के अनुरोधों की अनदेखी करेगा। अगली बार जब यह बूट होता है तो यह एक एन्क्रिप्टेड ईंट है।

मंडोस मुखपृष्ठ

मांडोस README

हाकोन
स्रोत
1
दिलचस्प विचार है। मैं मान रहा हूँ कि आप पीएक्सई ग्राहकों को बूट कर रहे होंगे ताकि सार्वजनिक / निजी कीपर हार्ड डिस्क ड्राइव पर न हो। फिर भी, आप वायर से कीपर को स्नूप कर सकते हैं और फिर ड्राइव कंप्यूटर को डिक्रिप्ट करने के लिए सर्वर कंप्यूटर द्वारा बल्क एन्क्रिप्शन कुंजी के ट्रांसमिशन की सूंघ के साथ संयोजन में उपयोग कर सकते हैं। अगर यह xxx समय विंडो में एक दिल की धड़कन नहीं सुना है, तो पूरे "सर्वर एक कुंजी को हाथ नहीं लगाएगा", एक मानव को पाश में लाने के लिए एक साफ-सुथरा तरीका लगता है। नीट परियोजना। हारने के लिए बहुत कठिन नहीं है यदि आपके पास भौतिक पहुंच है, लेकिन साफ-सुथरा है।
इवान एंडरसन
2
इवान, आप मांडोस README में अक्सर पूछे जाने वाले प्रश्न पढ़ना चाहते हैं, मुझे लगता है ....
कर्ट जे। सैम्पसन
हम्म। मैं स्पष्ट नहीं हूं कि मैंडोस केवल एक लैन पर क्यों चलता है। क्या ऐसा इसलिए है क्योंकि यह एक इंटरनेट का उपयोग करने के लिए एक आईपी पते और मार्गों को सेट नहीं कर सकता है?
कर्ट जे। सैम्पसन
1
कर्ट, मांडोस संचार करने के लिए ipv6 लिंक स्थानीय पते का उपयोग करता है जो स्थानीय लेन तक सीमित है। हालांकि इसका मतलब यह है कि इसे किसी भी बाहरी कॉन्फ़िगरेशन (dhcp) या उसी LAN पर अन्य सर्वर के साथ संघर्ष की आवश्यकता नहीं है। en.wikipedia.org/wiki/…
Haakon
1
मैंडोस के सह-लेखक के रूप में, मैं केवल हाकोन के साथ सहमत हो सकता हूं। मंडोस के लिए वास्तव में कर्नेल ip=और mandos=connectमापदंडों का उपयोग करके वैश्विक IPv4 पतों का उपयोग करने का एक तरीका है , इस मेल को देखें: mail.fukt.bsnet.se/pipermail/mandos-dev/2009-Febdays/… लेकिन ध्यान दें कि यह कुछ हद तक नाजुक है ग्राहक केवल एक बार निर्दिष्ट सर्वर से जुड़ने का प्रयास करेंगे और अन्यथा अन्यथा विफल होंगे। अनुशंसित कॉन्फ़िगरेशन LAN के माध्यम से है। मैं यह भी उल्लेख कर सकता हूं कि मैंडो उबंटू में 9.04 के बाद से उपलब्ध है (और डेबियन परीक्षण में भी)
टेडी
6

यदि आप गैर-तकनीकी हमलावरों से बचाव करना चाहते हैं तो मुझे लगता है कि आपकी सबसे अच्छी शर्त बेहतर शारीरिक सुरक्षा है।

मेरी सोच इस प्रकार है:

यदि आप एक बूट की तलाश कर रहे हैं जिसमें महत्वपूर्ण सामग्री को दर्ज करने के लिए मानव संपर्क की आवश्यकता नहीं है, तो आप किसी भी समाधान के साथ नहीं आने वाले हैं जो किसी भी तकनीकी कौशल के साथ एक अनुलग्नक द्वारा आकस्मिक चोरी से सुरक्षित होगा (या, अधिक उचित रूप से, तकनीकी कौशल के साथ किसी को भुगतान करने की क्षमता)।

USB थंब-ड्राइव की तरह कुछ महत्वपूर्ण सामग्री डालने से कोई वास्तविक सुरक्षा नहीं मिलेगी। हमलावर सिर्फ थंब ड्राइव से चाबी को पढ़ सकता था। अंगूठा ड्राइव यह नहीं जान सकता है कि जिस कंप्यूटर में इसे प्लग किया गया है वह सर्वर कंप्यूटर है या हमलावर का लैपटॉप। सभी हमलावरों को यह सुनिश्चित करना होगा कि वे या तो सब कुछ ले लें, या एक सुरक्षित के अंदर फंसे 15 फुट लंबे यूएसबी एक्सटेंडो-केबल के अंत में अपनी यूएसबी कुंजी के मामले में, अपने पीसी में एक्स्टेंडो-केबल प्लग करें और पढ़ें चाबी।

यदि आप नेटवर्क पर कुंजी स्थानांतरित करने जा रहे हैं तो आप शायद इसे "एन्क्रिप्ट" करेंगे। सभी हमलावरों को कुंजीयन प्रक्रिया पर छिपकर देखना है, सर्वर को चोरी करना है, और फिर किसी भी "एन्क्रिप्शन" को रिवर्स-इंजीनियर करना है जब आपने नेटवर्क में कुंजी भेजा था। परिभाषा के अनुसार, नेटवर्क भर में एक "एन्क्रिप्टेड" कुंजी प्राप्त करने वाले सर्वर कंप्यूटर को इसका उपयोग करने के लिए उस कुंजी को "डिक्रिप्ट" करने में सक्षम होना चाहिए। तो, वास्तव में, आप कुंजी एन्क्रिप्ट नहीं कर रहे हैं - आप इसे एन्कोडिंग कर रहे हैं।

अंततः, आपको सर्वर में कुंजी को इनपुट करने के लिए एक (आर्टिफिशियल?) इंटेलिजेंस की आवश्यकता होती है। एक जो कह सकता है कि "मुझे पता है कि मैं किसी को भी कुंजी नहीं सौंप रहा हूँ, लेकिन सर्वर कंप्यूटर, और मुझे पता है कि उसने चोरी नहीं की है।" एक इंसान ऐसा कर सकता है। एक USB अंगूठे ड्राइव नहीं कर सकता। यदि आप एक और बुद्धिमत्ता पाते हैं जो यह कर सकती है तो मुझे लगता है कि आपके पास कुछ बिक्री योग्य होगा। > मुस्कान <

यह सबसे अधिक संभावना है, मुझे लगता है, कि आप किसी भी सुरक्षा प्राप्त नहीं करते हुए कुंजी खो देंगे और आपके डेटा को नष्ट कर देंगे। एन्क्रिप्शन गेम के साथ आपकी रणनीति के बदले में, मुझे लगता है कि आप बेहतर शारीरिक सुरक्षा के लिए बेहतर हैं।

संपादित करें:

मुझे लगता है कि हम "खतरे के मॉडल" शब्द की विभिन्न परिभाषाओं से काम कर रहे हैं, शायद।

यदि आपका खतरा मॉडल हार्डवेयर की चोरी है, तो आपका प्रस्तावित समाधान फिर से: डिस्क एन्क्रिप्शन है, जैसा कि मैं इसे देखता हूं, खतरे का मुकाबला करने के बारे में कुछ भी नहीं कर रहा हूं। आपका प्रस्तावित समाधान डेटा की चोरी के प्रति विरोधाभास की तरह दिखता है, हार्डवेयर की चोरी से नहीं।

यदि आप हार्डवेयर को चोरी होने से रोकना चाहते हैं, तो आपको इसे नीचे झुकाना होगा, इसे लॉक करना होगा, इसे कंक्रीट में रखना होगा, आदि।

मैंने पहले ही कहा है कि मैं क्या कहना चाहता हूं: डेटा की चोरी, इसलिए मैं उस पर फिर से वीणा नहीं करूंगा, कहने के अलावा: यदि आप कुंजी को एक भौतिक उपकरण में डालने जा रहे हैं और आप सुरक्षा नहीं कर सकते सर्वर कंप्यूटर को चोरी होने से बचाने के लिए आप कुंजी डिवाइस को चोरी होने से नहीं बचा सकते।

मुझे लगता है कि आपका सबसे अच्छा "सस्ता" समाधान नेटवर्क-आधारित कुंजी विनिमय के कुछ प्रकार को रिग करना है। मैंने एक या एक से अधिक मनुष्यों को रिबूट की स्थिति में कुंजी के "रिलीज" को प्रमाणित करने के लिए लूप में रखा था। यह तब तक डाउनटाइम का कारण होगा जब तक कि मानव "कुंजी" जारी नहीं करता है, लेकिन कम से कम आपको यह पता लगाने का मौका देगा कि कुंजी "रिलीज" का अनुरोध क्यों किया जा रहा है और यह तय करें कि ऐसा करना है या नहीं।

इवान एंडरसन
स्रोत
यह सुरक्षा विश्लेषण के लिए एक अच्छा अतिरिक्त है, इसलिए मैंने इसे एक उत्थान दिया है, लेकिन यह मेरे सवाल का जवाब नहीं है क्योंकि आप एक अलग खतरे वाले मॉडल का उपयोग कर रहे हैं। ध्यान दें कि मैंने उस प्रश्न के बारे में क्या कहा है जिसके बारे में मैं हूं और जिसका बचाव नहीं कर रहा हूं।
कर्ट जे। सैम्पसन
1
बेहतर शारीरिक सुरक्षा के लिए, मैं पहले कम खर्चीले विकल्प देखना चाहता हूं। हमारे मौजूदा माहौल में, हमें कई हजारों डॉलर खर्च करने पड़ेंगे, ताकि किसी को बोल्ट कटर की जोड़ी से जल्दी हराया नहीं जा सके।
कर्ट जे। सैम्पसन
इसे फिर से पढ़ना, मुझे यकीन नहीं है कि आप स्पष्ट हैं कि मेरा खतरा मॉडल प्रति सेफ्टी चोरी नहीं है , जो मूल रूप से सिर्फ एक असुविधा है, लेकिन इसके साथ जाने वाले डेटा की सहवर्ती चोरी। यही कारण है कि हार्डवेयर चोरी के बजाय मेरा प्रस्तावित समाधान डेटा चोरी के खिलाफ प्रतिवाद है।
कर्ट जे। सैम्पसन
लगभग 8 साल पुराने सवाल पर एक टिप्पणी देखना दिलचस्प है। यदि आपका समाधान आपके लिए काम करता है तो मुझे निश्चित रूप से खुशी है।
इवान एंडरसन
मैं सोच रहा था "मुझे नेक्रोपोस्ट नहीं करना चाहिए", फिर मैंने इन अंतिम टिप्पणियों को देखा। मुझे लगता है कि कर्ट का खतरा मॉडल मेरे जैसा ही है ... हार्डवेयर चोरी करने वाले के खिलाफ डेटा की रक्षा करना। इस और इसी तरह की पोस्ट पर कई टिप्पणियों में कहा गया है कि लोग महत्वपूर्ण प्रक्रिया पर सिर्फ "ईगलड्रॉप" कर सकते हैं और बाद में इसका पता लगा सकते हैं। केवल वास्तव में हास्यास्पद रूप से खराब प्रक्रिया को किसी भी प्रकार के रीप्ले द्वारा तोड़ा जा सकता है। इसके अलावा ... "सभी हमलावर को करना है" ... "रिवर्स इंजीनियर किसी भी एन्क्रिप्शन को आपने किया है" ... हम किसके बारे में बात कर रहे हैं? क्या संभावना है कि एक आम चोर में इतनी क्षमता होगी ... या ऐसा करने की इच्छा भी?
डारोन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.