Van itt egy Microserver. Azt szeretném, hogy ha ellopják, ne tudják azonnal megnézni a rajta tárolt cuccokat, viszont nekem meg ne kelljen minden újraindításnál jelszót beírni (mivel se billentyűzet, se monitor nem lesz rajta). Ha választani kell, a kényelem fontosabb, mint a biztonság.
Ha titkosítás van a lemezeken, az jó (ZFS lesz, az tud valamit alapból), de nem muszáj (HDD jelszó is jó, hacsak nem triviális feltörni).
Amik eszembe jutottak:
1. A gép induláskor egy közelben levő bluetooth jeladótól vagy wifin keresztül kapja meg a jelszót automatikusan. Én ezt pedig jól eldugom.
2. A gép induláskor várja a jelszót, bedugok egy pendrive-ot, és minden további nélkül magától bebootol, én pedig jól eldugom a pendrive-ot.
3. Boot során valami script az IP címből deriválja a jelszót. Persze nekem lesz egy backup jelszavam is, amit akkor használok, ha megváltozik az IP.
4. A gép elindul jelszó nélkül, de az érzékeny adatokat tartalmazó ZFS dataset már jelszavas (ha megszerzik az /etc/shadow tartalmát, nem érdekel). SSH-n át oldható meg a jelszó beírása. Nem a legjobb, mert kézzel kell szarakodni, és az adattól függő szolgáltatások is sírni fognak, hogy nincs felcsatolva a cucc, de legalább távolról megy.
Csinált már ilyet valaki?
- 1863 megtekintés
Hozzászólások
Van ilyen leírás a neten. Pl a Grub is tud lekódolt lemezt nyitni. Pl PXE-n behívja a nyitó image-t(?).
---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.
- A hozzászóláshoz be kell jelentkezni
initrd-ben van ssh, oda be tudsz lepni kulcssal, es tudsz parancsot kiadni, ami kilockolja a disket
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
És az initrd mitől fog az unlockra várni?
- A hozzászóláshoz be kell jelentkezni
muszaj neki varnia, mivel a root is kodolva van nalam.
esetleg ami meg eszembe jutott hogy valami kartyan van az unlock kod, igy egy boot utan eleg csak oda menni es a kartyaolvasoba berakni a kartyat, az unlockol, utana ki lehet venni.
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
+1 Egyszer olvastam is egy leirast, hogy ezt hogy lehet megcsinalni... de en magam vegul sose csinaltam meg.
Ennel eggyel gagyibb (es sokkal egyszerubb), ha a / -t nem titkositod, viszont ami igazan fontos azt egy kulon (titkositott) particiora teszed. Ilyenkor nincs gond a boot-tal, be tudsz ssh-zni es felmountolni a maradekot.
- A hozzászóláshoz be kell jelentkezni
Az 1-eshez jutott eszembe, hogy pont ruuvi tag vásárlásán gondolkodok. Az broadcastolni fog egy egyedi azonosítót. Csak egy bluetooth dongle kell a szerverbe. A hátrány az, hogy fel kell állnia az egész gépnek, hogy legyen bluetooth stack. Mint írtam, nem gáz, ha látják a root fs-t, nem sok érdekes dolog lesz rajta. De utána lehetne egy script, ami unlockolja a ZFS-t. Erre konkrétan rákeresve nincs semmi találat. De viszonylag kevés scriptelés kell hozzá. Így a LUKS-ot is megúszom. Még akár systemd-vel is össze lehet gányolni, hogy addig ne induljon a Samba, amíg a ZFS nincs nyitva, és bootkor fusson ez a script.
A crypto része annyi, hogy a ruuvi által sugárzott azonosítót állítom be egy az egyben ZFS jelszónak. Ennek a biztonsági szintje nyilván siralmas, de mennyi az esélye, hogy egy tolvaj erre rájön, és próbálkozni fog? A jelszó persze fel is lesz írva valahova (akár Google Docs is jó, vagy egy eldugott papír), így ha a beacon elromlik, kézzel is tudok nyitni.
- A hozzászóláshoz be kell jelentkezni
kosz a tippet, ha legkozelebb gepet lopni megyek megnezem, van-e bluetooth jel a kozelben :-) Amugy jo otletnek tunik...
--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...
- A hozzászóláshoz be kell jelentkezni
Hagyd hogy rendesen bootoljon a rendszer, de a /home mappába csatolandó partícióhoz kérj jelszót (fstab-ból hagyd ki). Ekkor ha áramszünet vagy bármi után indul a szervered, távolról be tudsz lépni ssh-val és a védett tartalmat jó hosszú jelszó ellenében fel tudod távolról kézzel csatolni.
Lásd: cryptsetup
- A hozzászóláshoz be kell jelentkezni
Üdv
Nekem a laptopom van hasonlóan megoldva.
A rendszer bebootol, van egy normál user, automata bejelentkezés, böngészni tud stb.
van egy titkositott particio, azt egy scriptel oldom fel,
(cryptsetup luksOpen bla bla)
ezen van a home-om.
Korábban az egész lemez titkosítva volt, de ez a megoldás jobban tetszik.
- A hozzászóláshoz be kell jelentkezni
+1
____________________
echo crash > /dev/kmem
- A hozzászóláshoz be kell jelentkezni
feliratkozás
- A hozzászóláshoz be kell jelentkezni
Ha jól tévedek erre szolgál a TPM modul az alalapokon. Hogy a Microserverben van-e illetve hogy a szoftveres támogatása milyen, arról nem tudok nyilatkozni, de notebookokon, Windowsal használjuk.
- A hozzászóláshoz be kell jelentkezni
+1, nem kell újra feltalálni a melegvizet :)
- A hozzászóláshoz be kell jelentkezni
Jó dolog a TPM az alaplapon, de ha meglovasítják a gépet, akkor megy a winyóval együtt. A TPM chip is. Vagy van valami, amit rosszul tudok?
- A hozzászóláshoz be kell jelentkezni
+1 kíváncsi vagyok. Tényleg lenne hozzá TPM modul.
- A hozzászóláshoz be kell jelentkezni
A TPM (és a device encryption, mint olyan) addig véd, amíg az OS betöltődik, vagyis nem lehet pl. bedugni másik gépbe a cuccot, és lemásolni róla az adatokat. Ha az egész gépet viszik, akkor az OS login fogja meg a próbálkozásokat, business as usual.
- A hozzászóláshoz be kell jelentkezni
nálam: encfs login mount van
- A hozzászóláshoz be kell jelentkezni
Mi volna akkor, ha boot-kor a gép lép be valahová (SSH, web, bármi) és onnan tölti le magának a kulcsot?
Nyilván, ha nem érhető el a kulcs távolról (mert pl nincs éppen net) akkor be is tudod gépelni.
- A hozzászóláshoz be kell jelentkezni
Feltetelezve, hogy nem kritikus a szolgaltatas, en igy csinalnam:
-boot titkositatlan rendszerrol, titkositott particioval
-kuld egy mailt a telefonodra, hogy elindult, es szeretne hozzaferni a dolgaihoz
-telefonodrol bessh-zol ra (esetleg kulccsal), es felcsatolod, amit kell (opcionalisan scripttel, pl. termux+termux widget.. esetleg, ha otthon vagy, es alszol, akkor magatol is reagalhat ra)
--
Worrying about killer AI and the superintelligent robots is like worrying about overcrowding on Mars. - Garry Kasparov
- A hozzászóláshoz be kell jelentkezni
up
- A hozzászóláshoz be kell jelentkezni