Шифрование системного диска для удалённых станций

#linux #безопасность #шифрование

Доброй ночи.

Имеется сервер на котором содержится небольшое количество приватной информации (IP
адреса хостов, хеши паролей). Сервер отсылается клиентам и поддерживается удаленно
по ssh/IPMI через VPN-роутер. 

Есть ли способ шифрования диска в случае попытки его прочтения на другой машине в
котором не нужно вводить пароль при загрузке?

Сервера - в моем случае это 1u Supermicro физическое устройство, осылаемое клиенту
по почте.

Клиент - это компания с которой заключен котракт.

Думал о LUKS, но там нужен ключ при загрузке.
    

Ответы

Ответ 1

Есть несколько вариантов, я могу предположить как делал бы я:


Вариант шифруем все LUKS если нужно закрыть доступ в случае когда диск извлекается
и осуществляется попытка чтения диска на другом железе. Паролей в этом случае от доступа
к файловой системе может быть несколько (до 8 слотов). Пароль это или фраза (к примеру
есть у вас и есть у клиента) или файл который клиент может хранить на usb носителе.
(все они могут быть изменены в любой момент времени и введены к примеру через IPMI/SSH).
Если диск содержит корневой раздел то пароль вводим при загрузке через IPMI (или вставляем
usb носитель с файлом), если же это отдельный диск, то можно после загрузки по ssh
подключится и разблокировать раздел. Пример кофигурации
Вариант шифруем конкретную директорию используя возможности ext4 тут есть свои плюсы
и минусы подробнее можно посмотреть пример1 или пример2
LUKSом можно шифровать и домашнюю директорию пример


Есть и другие варианты - ECryptfs или EncFS они все очень похожи по замыслу как и 2,3


Ответ 2

Насколько предположил из написания текста: удаленные компы - это бездисковые станции,
или в старой терминологии "терминалы". Т.к для загрузки они получают образ системы
с сервера, то и доступ к месту хранения указанных Вами данных у них отсутствует. Предполагаю,
что эти конфиденциальные данные есть суть информация для серверных демонов для идентификации
терминалов. Следовательно, необходимо правильно настроить доступны для тех папок, куда
могут ходить терминальные станции на сервере


Ответ 3

На платах 1U Supermicro есть хедеры под USB. Адаптеры под них стоят порядка $5, плюс
флешка. Как уже сказали в другом ответе, LUKS умеет брать пароли с флешки. Конечно,
флешку можно забрать вместе с диском, но это вопрос решается с помощью эпоксидки. Сами
кейсы тоже стоит опломбировать и запретить договором их вскрывать.

Более экзотическим вариантом будет зашифровать диск какими-то другими данными, например,
серийным номером материнской платы, но это так себе вариант так как скрипты получающие
этот пароль не будут зашифрованы, можно будет их посмотреть, спокойно получить пароль
и расшифровать. Аналогичный трюк можно сделать с флешкой. Так или иначе всё сводится
к физической безопасности устройства.

Другим вариантом будет ручной ввод пароля после перезагрузки, или же разблокировка
отдельного раздела тоже вручную. Опять же, систему можно доработать до перехватки этого
пароля в момент ввода, что не то чтобы очень хорошо.