원격으로 암호화 된 시스템 켜기

11

내 시스템은 매우 민감한 데이터로 가득 차 있으므로 가능한 많은 데이터를 암호화해야합니다.

부팅 할 때마다 긴 암호를 요구하는 암호화 된 데비안 설치가 있습니다. 비밀번호를 원격으로 입력 할 수 있도록 설정하는 간단한 방법이 있습니까?

다른 배포판에서 할 수 있다면 데비안 대신 다른 것을 설치해도 상관 없습니다.

debian  remote  luks 
사용자 2363676
소스
2
어떤 종류의 공격 벡터가 걱정됩니까? 하드웨어 키 저장소 (개인 키는 소프트웨어로 추출 할 수 없지만 해당 하드웨어를 소유 한 사람은 귀하의 콘텐츠를 해독 할 수 있음)가 적절합니까? (BTW, 많은 전체 디스크 암호화 시스템은 마스터 키를 사용하면 마스터 키를 잠금 해제 한 다음 해당 키를 RAM에 저장합니다. 즉, 충분한 권한이있는 사람은 잠금을 해제 한 시스템에서 마스터 키를 복사 할 수 있습니다. 절대 암호를 얻지 마십시오. 하드웨어에서 실제 암호 해독을 수행하는 것이 더 안전 할 수있는 곳입니다).
Charles Duffy
@CharlesDuffy 주요 관심사는 서버 (또는 디스크)가 물리적으로 도난당하는 것이므로 하드웨어 키도 문제가되지 않습니다. 도난 당할 수 있기 때문입니다. 특히 40 + 기호 파일 시스템 암호 및 20 + 기호 루트 암호 (전체 시스템에서 유일한 사용자)를 설정하므로 대부분의 경우 안전해야합니다.
user2363676
1
제거 및 도난 또는 하드웨어 전원이 여전히 켜져있는 동안 공격자가 물리적 액세스를 얻는 것에 대해 걱정하십니까? 누군가 새 장치를 PCI 버스에 핫 플러그 ​​할 수있는 경우 실제 메모리 사본을 만들 수 있으므로 실행중인 잠금 해제 된 시스템에서 암호화 키를 훔칠 수 있습니다. 키를 암호화하는 데 사용 된 비밀번호를 도용 할 수는 없지만 키 자체가있는 경우에는 관련이 없습니다.
Charles Duffy
1
또 다른 공격 경로는 다른 사람이 부팅 순서를 수정하여 암호 해독 / 잠금 해제 프로세스 중에 암호 사본을 만들고 시스템을 재부팅 한 다음 로그인 및 잠금 해제를 기다립니다 (추가 한 코드가 사본을 저장하도록 함) 하드웨어를 도용하기 전에 대역 외의 암호). 포괄적 인 위협 모델을 제시하고이를 완화하는 것은 때때로 까다로울 수 있습니다. (나는 madscientist159가 이미 그 가능성을 지적한 것을 본다).
Charles Duffy

답변:

16

SSH 키를 구성하기 위한 지침 을 설치 dropbear-initramfs하고 지시 에 따라 이를 활성화 할 수 있습니다 . 그러면 initramfs에서 SSH 서버가 시작되어 원격으로 연결하고 암호화 암호를 입력 할 수 있습니다.

스티븐 키트
소스
3
머신에 물리적으로 액세스 할 수있는 사람이라면 누구나 initramfs를 자신의 악성 버전으로 교체하고 SSH 개인 키를 추출하여 MITM 공격 및 기타 다양한 형태의 부정 행위를 수행 할 수 있습니다. 악의적 인 행위자가 상자에 물리적으로 액세스 할 가능성이있는 경우 고급 보안 기술이 아닌 경우 최소한 TPM을 확인해야합니다.
madscientist159
1

Dell 또는 HP 서버에 데비안을 설치 한 경우-Dell에는 iDrac과 HP에는 ILO가 있으며, 둘 다 웹 기반 가상 콘솔을 가지고있어 부팅 중에 컴퓨터와 상호 작용할 수 있습니다.

bk201
소스
내 HP는 너무 오래되어 ILO를 유감스럽게 생각하기에 너무나 좋습니다.
user2363676
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.