Lopásbiztos HDD

Merevlemezek, vezérlők

Van itt egy Microserver. Azt szeretném, hogy ha ellopják, ne tudják azonnal megnézni a rajta tárolt cuccokat, viszont nekem meg ne kelljen minden újraindításnál jelszót beírni (mivel se billentyűzet, se monitor nem lesz rajta). Ha választani kell, a kényelem fontosabb, mint a biztonság.

Ha titkosítás van a lemezeken, az jó (ZFS lesz, az tud valamit alapból), de nem muszáj (HDD jelszó is jó, hacsak nem triviális feltörni).

Amik eszembe jutottak:
1. A gép induláskor egy közelben levő bluetooth jeladótól vagy wifin keresztül kapja meg a jelszót automatikusan. Én ezt pedig jól eldugom.
2. A gép induláskor várja a jelszót, bedugok egy pendrive-ot, és minden további nélkül magától bebootol, én pedig jól eldugom a pendrive-ot.
3. Boot során valami script az IP címből deriválja a jelszót. Persze nekem lesz egy backup jelszavam is, amit akkor használok, ha megváltozik az IP.
4. A gép elindul jelszó nélkül, de az érzékeny adatokat tartalmazó ZFS dataset már jelszavas (ha megszerzik az /etc/shadow tartalmát, nem érdekel). SSH-n át oldható meg a jelszó beírása. Nem a legjobb, mert kézzel kell szarakodni, és az adattól függő szolgáltatások is sírni fognak, hogy nincs felcsatolva a cucc, de legalább távolról megy.

Csinált már ilyet valaki?

  • 1863 megtekintés

( szilas | 2017. 12. 20., sze – 22:47 )

Van ilyen leírás a neten. Pl a Grub is tud lekódolt lemezt nyitni. Pl PXE-n behívja a nyitó image-t(?).

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

( Elbandi v | 2017. 12. 20., sze – 22:59 )

initrd-ben van ssh, oda be tudsz lepni kulcssal, es tudsz parancsot kiadni, ami kilockolja a disket

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

muszaj neki varnia, mivel a root is kodolva van nalam.

esetleg ami meg eszembe jutott hogy valami kartyan van az unlock kod, igy egy boot utan eleg csak oda menni es a kartyaolvasoba berakni a kartyat, az unlockol, utana ki lehet venni.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

+1 Egyszer olvastam is egy leirast, hogy ezt hogy lehet megcsinalni... de en magam vegul sose csinaltam meg.

Ennel eggyel gagyibb (es sokkal egyszerubb), ha a / -t nem titkositod, viszont ami igazan fontos azt egy kulon (titkositott) particiora teszed. Ilyenkor nincs gond a boot-tal, be tudsz ssh-zni es felmountolni a maradekot.

( joco01 v | 2017. 12. 20., sze – 23:26 )

Az 1-eshez jutott eszembe, hogy pont ruuvi tag vásárlásán gondolkodok. Az broadcastolni fog egy egyedi azonosítót. Csak egy bluetooth dongle kell a szerverbe. A hátrány az, hogy fel kell állnia az egész gépnek, hogy legyen bluetooth stack. Mint írtam, nem gáz, ha látják a root fs-t, nem sok érdekes dolog lesz rajta. De utána lehetne egy script, ami unlockolja a ZFS-t. Erre konkrétan rákeresve nincs semmi találat. De viszonylag kevés scriptelés kell hozzá. Így a LUKS-ot is megúszom. Még akár systemd-vel is össze lehet gányolni, hogy addig ne induljon a Samba, amíg a ZFS nincs nyitva, és bootkor fusson ez a script.

A crypto része annyi, hogy a ruuvi által sugárzott azonosítót állítom be egy az egyben ZFS jelszónak. Ennek a biztonsági szintje nyilván siralmas, de mennyi az esélye, hogy egy tolvaj erre rájön, és próbálkozni fog? A jelszó persze fel is lesz írva valahova (akár Google Docs is jó, vagy egy eldugott papír), így ha a beacon elromlik, kézzel is tudok nyitni.

( uid_6201 v | 2017. 12. 21., cs – 00:01 )

Hagyd hogy rendesen bootoljon a rendszer, de a /home mappába csatolandó partícióhoz kérj jelszót (fstab-ból hagyd ki). Ekkor ha áramszünet vagy bármi után indul a szervered, távolról be tudsz lépni ssh-val és a védett tartalmat jó hosszú jelszó ellenében fel tudod távolról kézzel csatolni.
Lásd: cryptsetup

( malom v | 2017. 12. 21., cs – 09:25 )

Üdv
Nekem a laptopom van hasonlóan megoldva.
A rendszer bebootol, van egy normál user, automata bejelentkezés, böngészni tud stb.

van egy titkositott particio, azt egy scriptel oldom fel,
(cryptsetup luksOpen bla bla)
ezen van a home-om.

Korábban az egész lemez titkosítva volt, de ez a megoldás jobban tetszik.

( KoGa v | 2017. 12. 21., cs – 10:59 )

Ha jól tévedek erre szolgál a TPM modul az alalapokon. Hogy a Microserverben van-e illetve hogy a szoftveres támogatása milyen, arról nem tudok nyilatkozni, de notebookokon, Windowsal használjuk.

( wpeople v | 2017. 12. 21., cs – 13:33 )

Mi volna akkor, ha boot-kor a gép lép be valahová (SSH, web, bármi) és onnan tölti le magának a kulcsot?
Nyilván, ha nem érhető el a kulcs távolról (mert pl nincs éppen net) akkor be is tudod gépelni.

Ha ellopják, kikapcsolod a kulcs elérhetőségét, és kész.

( Nyosigomboc v | 2017. 12. 21., cs – 13:47 )

Feltetelezve, hogy nem kritikus a szolgaltatas, en igy csinalnam:
-boot titkositatlan rendszerrol, titkositott particioval
-kuld egy mailt a telefonodra, hogy elindult, es szeretne hozzaferni a dolgaihoz
-telefonodrol bessh-zol ra (esetleg kulccsal), es felcsatolod, amit kell (opcionalisan scripttel, pl. termux+termux widget.. esetleg, ha otthon vagy, es alszol, akkor magatol is reagalhat ra)

--
Worrying about killer AI and the superintelligent robots is like worrying about overcrowding on Mars. - Garry Kasparov