दूरस्थ रूप से एन्क्रिप्टेड सिस्टम को चालू करना

11

मेरा सिस्टम बहुत संवेदनशील डेटा से भरा है, इसलिए मुझे यथासंभव इसे एन्क्रिप्ट करने की आवश्यकता है।

मेरे पास एक एन्क्रिप्टेड डेबियन इंस्टॉलेशन है जो बूट के दौरान हर बार एक लंबा पासवर्ड मांगता है। क्या इसे स्थापित करने का एक सरल तरीका है ताकि मैं उस पासवर्ड को दूरस्थ रूप से इनपुट कर सकूं?

अगर कुछ अन्य वितरण कर सकते हैं, तो मुझे डेबियन के बजाय कुछ और स्थापित करने में कोई आपत्ति नहीं है।

debian  remote  luks 
user2363676
स्रोत
2
आप किस तरह के हमले के वेक्टर के बारे में चिंतित हैं? क्या एक हार्डवेयर कुंजी स्टोर (जहां निजी कुंजी को सॉफ्टवेयर द्वारा नहीं निकाला जा सकता है, लेकिन हार्डवेयर के उस टुकड़े को रखने वाला कोई व्यक्ति आपकी सामग्री को डिक्रिप्ट कर सकता है)? (BTW, ध्यान दें कि कई फुल-डिस्क एन्क्रिप्शन सिस्टम मास्टर कुंजी अनलॉक करते हैं जब आप उन्हें संलग्न करते हैं, और फिर रैम में उस कुंजी को संग्रहीत करते हैं - जिसका अर्थ है कि पर्याप्त विशेषाधिकार वाले व्यक्ति संभावित रूप से अनलॉक किए गए सिस्टम से उस मास्टर कुंजी को कॉपी कर सकते हैं, भले ही वे डॉन हों। 'कभी अपना पासवर्ड प्राप्त न करें; यह एक ऐसा स्थान है जहाँ हार्डवेयर में वास्तविक डिक्रिप्शन होने से सुरक्षित हो सकता है)।
चार्ल्स डफी
@CharlesDuffy मुख्य चिंता सर्वर (या उसके डिस्क) के शारीरिक रूप से चोरी होने की है, इसलिए हार्डवेयर कुंजी प्रश्न से बाहर है, क्योंकि इसे चोरी भी किया जा सकता है। मैंने विशेष रूप से 40+ प्रतीक फ़ाइल सिस्टम पासफ़्रेज़ और 20+ प्रतीक रूट पासवर्ड (जो पूरे सिस्टम में एकमात्र उपयोगकर्ता है) सेट किया है, इसलिए मुझे ज्यादातर मामलों में सुरक्षित होना चाहिए?
user2363676
1
हटाए गए और चोरी हो गए, या क्या आप एक हमलावर को भौतिक एक्सेस प्राप्त करने के बारे में चिंतित हैं जबकि हार्डवेयर अभी भी संचालित है? यदि कोई पीसीआई बस में नए उपकरणों को हॉटप्लग कर सकता है, तो वे भौतिक मेमोरी की एक प्रति बना सकते हैं, इसलिए वे एन्क्रिप्शन कुंजी को एक रनिंग, अनलॉक सिस्टम से चुरा सकते हैं। (वे कुंजी को एन्क्रिप्ट करने के लिए उपयोग किए गए पासवर्ड को चोरी नहीं कर सकते हैं, लेकिन यदि आपके पास कुंजी स्वयं है, तो यह अप्रासंगिक है)।
चार्ल्स डफी
1
डिक्रिप्ट / अनलॉक प्रक्रिया के दौरान पासवर्ड की प्रतिलिपि बनाने के लिए बूट अनुक्रम को संशोधित करने के लिए एक और हमला वेक्टर किसी के लिए है, अपनी मशीन को रिबूट करें, और फिर आप में लॉग इन करने और इसे अनलॉक करने के लिए प्रतीक्षा करें (इस प्रकार कोड को जोड़कर उन्होंने कॉपी को स्टोर किया। हार्डवेयर चोरी करने से पहले पासवर्ड आउट-ऑफ-बैंड)। व्यापक खतरे वाले मॉडल के साथ आने (और उनके खिलाफ कम करने) को कभी-कभी मुश्किल हो जाता है। (मैं देख रहा हूँ madscientist159 पहले से ही उस संभावना को इंगित करता है)।
चार्ल्स डफी

जवाबों:

16

आप अपनी SSH कुंजियों को कॉन्फ़िगर करने के निर्देशों को स्थापित dropbear-initramfsऔर अनुसरण करके इसे सक्षम कर सकते हैं । यह initramfs से एक SSH सर्वर शुरू करेगा, जिससे आप दूरस्थ रूप से कनेक्ट हो सकते हैं और अपना एन्क्रिप्शन पासफ़्रेज़ दर्ज कर सकते हैं।

स्टीफन किट
स्रोत
3
इस बात से अवगत रहें कि मशीन का भौतिक उपयोग करने वाला कोई भी व्यक्ति आपके इनट्रामाफ़्स को अपने स्वयं के दुर्भावनापूर्ण संस्करण से बदल सकता है, एक MITM हमले के लिए आपकी SSH निजी कुंजी निकाल सकता है, और अन्य विभिन्न प्रकार की कुरूपता कर सकता है। कम से कम आपको एक टीपीएम को देखना चाहिए, यदि अधिक उन्नत सुरक्षा तकनीक नहीं है, अगर किसी दुर्भावनापूर्ण अभिनेता द्वारा बॉक्स को शारीरिक रूप से एक्सेस किए जाने की कोई संभावना है।
madscientist159
1

यदि आपने डेबियन को एक डेल या एचपी सर्वर पर स्थापित किया है - डेल में आईड्रैक है और एचपी के पास आईएलओ है, तो इन दोनों में वेब आधारित वर्चुअल कंसोल हैं जो आपको बूट करते समय मशीन के साथ बातचीत करने की अनुमति देगा।

bk201
स्रोत
हालांकि मेरा एचपी आईएलओ दुर्भाग्य से पुराना है, हालांकि सुझाव के लिए धन्यवाद।
user2363676
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.